Wireshark实战：解密WLAN四次握手与密钥交换

1. 为什么需要关注WLAN四次握手？

作为网络安全工程师，我经常遇到这样的场景：办公室Wi-Fi突然大面积掉线，或者监控系统频繁报警显示异常连接。这时候第一个反应就是抓包分析，而四次握手过程就像无线网络的"指纹识别"，能直接反映连接的安全状态。

记得去年排查某企业网络故障时，发现员工手机频繁断开重连。用Wireshark抓包后发现，超过60%的四次握手在第三阶段失败。进一步分析发现是AP的GTK密钥生成算法存在兼容性问题。这个案例让我深刻意识到，理解四次握手就像掌握无线网络的"听诊器"。

2. 四次握手前的准备工作

2.1 搭建抓包环境

在开始前需要准备：

• 支持监控模式的无线网卡（推荐Intel 7260或Atheros AR9271）
• Wireshark 3.6以上版本（内置更完整的802.11解析器）
• 测试用AP（建议关闭MAC过滤等附加功能）

关键配置步骤：

bash复制# 设置网卡监控模式
sudo airmon-ng start wlan0
# 只捕获EAPOL帧（四次握手专用协议）
tshark -i wlan0mon -Y "eapol" -w handshake.pcap

2.2 必须知道的几个核心概念

• PMK：像网络连接的"身份证号"，由预共享密钥(PSK)和SSID通过PBKDF2算法生成
• Nonce：每次握手独有的随机数，相当于一次性密码本
• MIC校验码：类似文件的MD5校验值，用于验证消息完整性

3. 四次握手全流程解析

3.1 第一次握手：AP发起挑战

AP发送包含以下要素的EAPOL帧：

• A-Nonce（AP生成的随机数）
• 关键字段解析：
  • Key Descriptor Version：标识WPA/WPA2版本
  • Key MIC位：初始为0（尚未生成MIC）

常见问题：如果抓包看不到第一次握手，可能是STA的探测请求未被AP响应，建议检查信道配置。

3.2 第二次握手：STA响应挑战

STA收到A-Nonce后：

1. 结合已知的PMK、双方MAC、A-Nonce生成S-Nonce
2. 计算PTK（包含KCK、KEK、TK三部分）
3. 用KCK计算MIC值

Wireshark技巧：右键帧→Protocol Preferences→勾选"Validate key MIC"可自动验证MIC正确性。

3.3 第三次握手：AP确认密钥

这个阶段AP会：

1. 用收到的S-Nonce重新计算PTK
2. 比较自己计算的MIC与STA发送的是否一致
3. 生成GTK（用于组播加密）

重要细节：GTK是用KEK加密后传输的，在Wireshark中显示为"Encrypted Key Data"。

3.4 第四次握手：最终确认

STA需要：

1. 验证AP发来的MIC
2. 安装加密密钥
3. 发送确认帧

典型故障：如果此阶段失败，通常会在系统日志看到"0x3-0xE"错误代码，表示MIC校验失败。

4. 实战安全分析技巧

4.1 识别KRACK攻击特征

KRACK攻击的关键特征：

1. 重复的Message 3帧（重传计数器异常）
2. 相同的Nonce值多次出现
3. MIC校验失败记录激增

检测方法：

bash复制tshark -r attack.pcap -Y "eapol && wlan.rsn.ie.pmkid" | grep -A 3 "Message 3"

4.2 密钥生成验证

手动验证PTK生成（以WPA2-PSK为例）：

python复制import hashlib, hmac

def generate_ptk(pmk, a_nonce, s_nonce, ap_mac, sta_mac):
    # 简化版的PTK生成算法
    prf = lambda k,s: hmac.new(k, s, hashlib.sha1).digest()
    return prf(pmk, b"".join([a_nonce, s_nonce, ap_mac, sta_mac]))[:32]

4.3 常见故障排查表

5. 高级分析技巧

5.1 解密数据报文

获得PTK后，可以在Wireshark中解密流量：

1. 编辑→Preferences→Protocols→IEEE 802.11
2. 添加PTK（格式：hex冒号分隔）
3. 勾选"Enable decryption"

实测发现TKIP加密的数据需要额外配置：

config复制wlan.enable_decryption: TRUE
wlan.decryption.key_count: 1
wlan.decryption.key(0): xx:xx:xx...

5.2 性能优化建议

处理大型抓包文件时：

• 使用显示过滤器eapol && wlan.rsn.ie.pmkid
• 禁用"Update list of packets in real time"
• 设置100MB的自动分段存储

6. 实际案例：诊断间歇性断连

某咖啡店Wi-Fi出现随机断开现象，抓包分析发现：

1. 70%的Message 4延迟超过300ms
2. 存在重复的Message 3帧
3. AP的Beacon帧间隔不稳定

最终定位是AP固件bug导致GTK更新异常。通过抓包分析，我们不仅解决了问题，还优化了AP的部署位置。