我有一个问题,我似乎找不到完整的答案。这可能不是可能的,但我希望有人能有解决方案。
在我的工作中,我们在wireshark中处理无线嗅探。我们有一个shell脚本来合并文件并将其过滤到我们想要的表单中,但是我们仍然需要手动生成PSK并将其添加到wireshark首选项中以解密每个文件以进行分析。我希望在过滤之前添加一行来解密主文件,并以解密格式保存。
问题在于: 我知道在运行tshark时可以使用-o标志将psk添加到计算机解密密钥,但是处理是在一台计算机上完成的,然后文件分发给许多员工进行分析,所以我需要将文件解密。 / p>
我知道我可以使用aircrack-ng来解密pcap文件,但是我们使用pcapng文件并且aircrack无法识别这些文件。
有什么解决方案吗?如果我能以某种方式从ssid和密码生成一个psk并将其保存为文本文件,它甚至会有所帮助,但似乎没有一种干净的方法可以做到这一点。
我们使用Ubuntu 16.04作为我们的操作系统。 Wireshark版本2.0.2。
答案 0 :(得分:0)
您可以直接将psk信息附加到位于Wireshark个人配置文件夹中的 80211_keys 文件,然后将该文件与捕获文件一起分发。如果您不想(或者如果用户不想要)覆盖现有的 80211_keys 文件,他们可以设置WIRESHARK_DATA_DIR环境变量,以便使用分布式文件相反,当他们运行Wireshark进行此类分析时。
有关各种Wireshark环境变量的详细信息,请参阅Wireshark man page。
如果aircrack-ng仅支持 pcap 文件,那么我想另一种可能的解决方案可能就是将 pcapng 文件转换为 pcap 使用类似editcap之类的内容,或者如果您未使用任何 pcapng &#39,只需将默认捕获文件格式更改为 pcap ; s功能无论如何,例如,你没有同时在多个界面上捕获,你不使用数据包评论等。