确定EAPOL帧完整握手的正确方法

Question

我正在尝试在WPA2 EAPOL身份验证中捕获已完成的握手帧。源可以是pcap文件或实时捕获。我的想法是

1. 识别EAPOL的消息类型（消息1,2,3和4）
2. 比较Key Nonce（消息1＆amp; 3,2＆amp; 4应该类似）
3. 验证所有4条消息的来源和目的地。 如果这些条件满足4套EAPOL帧，则完全握手。 （如果有重复的帧，请检查时间戳）

但我观察到，在一次完整的握手中，很多时候＃4消息带有一个零值的Nonce而不是消息＃2的Nonce。

然后在确定完整握手时应考虑哪些其他字段？