用Wireshark提取WPA握手包

進入正文前，先來看一張截圖，如圖1，使用「aircrack-ng wpa.cap -w password.lst」命令後，程序會提示輸入待破解網絡的序號，此時只要提供一個序號便可。注意：1：命令中不須要輸入麻煩的ESSID；2：存在 一個非WPA加密的ESSID。



    當你想把含有WPA握手包的CAP文件分享給別人的時候，你可能會發現CAP包是如此的巨大，實際上，對於aircrack-ng程序而言，CAP包中實際須要的信息可能還不超過10KB，如何將這些信息提取出來呢？

    從CAP文件中提取WPA的握手包實際上就是提取EAPOL（LAN上的EAP）協議包，在Wireshark的Filter中輸入「eapol」便可得到，如圖2：



但這樣得到的CAP文件用aircrack-ng打開會發現丟失了ESSID，注意：那個非WPA加密的ESSID已經消失了，如圖3：



    解決的方法：保留CAP包中的Beacon frame，更改Filter爲：「eapol or wlan.fc.type_subtype == 0x08」，其中，「0x08」爲Subtype，即：「Beacon frame」。如圖4：



再次運行aircrack-ng，發現已經恢復了ESSID，如圖5：



此時CAP包的體積已經小了不少了。

    固然，也能夠進一步將EAPOL-STAR包去掉，更改Filter爲：「(eapol and eapol.type != 1) or wlan.fc.type_subtype == 0x08」，其中，「type != 1」意思是丟掉STAR包，但這樣寫Wireshark會給出一個警告，解決方法：只保留包含KEY信息的包，更改Filter爲：「eapol.type == 3 or wlan.fc.type_subtype == 0x08」，其中，
「3」爲KEY信息包的Subtype。如圖6：



附：保存Filter後數據的方法:File->Save as，分別選中[All packets]和[Displayed]，而後起名保存便可。

個人 Blog ：
http://blog.csdn.net/prince_vegeta
http://vegeta.blog.enorth.com.cn