Анализ сетевого трафика на сервере с помощью tshark

Атака SMTP-серверов — перечисление пользователей

Перечисление пользователей — это второй тип атак, от которых вы хотите избавиться.
Плохие парни могут легко собрать список адресов электронной почты, принадлежащих вашей компании, с помощью социальной инженерии и проверить их действительность с помощью SMTP.
После успешной проверки их можно затем использовать для атак с использованием паролей и тому подобного — например, против вашего OWA / EWS, O365, VPN или чего-либо еще.

Существует как минимум три метода / команды, позволяющие перечислять пользователей:

VRFY : используется для проверки того, известен ли определенный пользователь SMTP-серверу.EXPN : используется для раскрытия фактического адреса (а) электронной почты псевдонимаRCPT TO : необходимая команда для указания того, кому следует отправить электронное письмо.

Вы можете проверить, доступны ли команды с помощью команды HELP (если таковая имеется).

VRFY и EXPN работают одинаково. Вы вводите команду вместе с учетной записью, именем, псевдонимом или адресом электронной почты, которые хотите проверить. В ответ будет либо 250/251, сообщающее о существовании учетной записи, либо расширение псевдонима, либо 550 , сообщающее о недействительной учетной записи.

Хорошая новость заключается в том, что вы можете без проблем отключить VRFY и EXPN , и, вероятно, вам следует это сделать.
Тогда ответ сервера должен выглядеть так:

Напротив, RCPT TO необходим для того, чтобы все работало.

Интересный факт: когда я проводил исследование для этого сообщения в блоге, в самой первой записи Google, касающейся SMTP и тестирования на проникновение, предлагалось отключить RCPT TO. Если бы это было возможно, вы сделали бы свой SMTP-сервер бесполезным.

Однако вы можете усложнить злоумышленникам подсчет ваших пользователей следующими способами:

• Реализация функции catch-all-address / catch-all-rule / catch-all-server
  Это ответит на каждый запрос 250 Receipient OK . Это может сказать злоумышленнику, что вы используете универсальный вариант, но не выявит реально существующих пользователей. На более позднем этапе, невидимом для злоумышленника, вы можете решить, что делать с электронными письмами, отправленными на неизвестные адреса.
• Ограничение максимального количества неудачных попыток RCPT TO.
  Если возможно и поддерживается, добавьте правило, которое запускает соединения, если слишком много неудачных попыток RCPT TO было сделано одним и тем же исходным IP.

Захват Wi-Fi трафика в Airodump-ng

Чтобы данные были пригодны для расшифровки, нужно чтобы Wi-Fi карта не переключала каналы, а выполняла захват информации на одном канале, на котором работает целевая Точка Доступа. Поэтому начнём со сбора информации о целевой точки доступа.

Смотрим имена беспроводных интерфейсов:

iw dev

Переводим ИНТЕРФЕЙС в режим монитора командами вида:

sudo ip link set ИНТЕРФЕЙС down
sudo iw ИНТЕРФЕЙС set monitor control
sudo ip link set ИНТЕРФЕЙС up

Запускаем airodump-ng командой вида:

sudo airodump-ng ИНТЕРФЕЙС

Например, я хочу захватить и расшифровать трафик для Точки Доступа Paangoon_2G, которая работает на 9 канале.

Тогда мне нужно перезапустить airodump-ng командой вида:

sudo airodump-ng ИНТЕРФЕЙС --channel КАНАЛ --write ИМЯ_ФАЙЛА

Надпись WPA handshake говорит о том, что было захвачено четырёх этапное рукопожатие. Это означает что:

• теперь мы сможем расшифровать Wi-Fi данные (если у нас есть ключ от Wi-Fi сети)
• мы сможем расшифровать данные только для конкретного клиента (с которым было совершено рукопожатие)
• мы сможем расшифровать данные, которые были отправлены только после этого захваченного рукопожатия

Как захватить пакеты данных с Wireshark

Когда вы запускаете Wireshark, на экране приветствия перечисляются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого из них представлен линейный график в стиле ЭКГ, представляющий живой трафик в этой сети.

Чтобы начать захват пакетов с помощью Wireshark:

1. Выберите одну или несколько сетей, перейдите в строку меню, затем выберите « Захват» .

   Чтобы выбрать несколько сетей, удерживайте клавишу Shift во время выбора.

2. В окне « Интерфейсы захвата Wireshark» выберите « Пуск» .

   Существуют и другие способы инициирования захвата пакетов. Выберите акульи плавники на левой стороне панели инструментов Wireshark, нажмите Ctrl + E , или дважды щелкните по сети.

3. Выберите « Файл» > « Сохранить как» или выберите опцию « Экспорт» для записи записи.

4. Чтобы остановить запись, нажмите Ctrl + E . Или перейдите на панель инструментов Wireshark и выберите красную кнопку « Стоп» , расположенную рядом с плавником акулы.

Анализ трафика в Wireshark

В большинстве случаев (почти всегда) анализ перехваченного трафика происходит в оффлайн-режиме. Т.е. ты сначала перехватываешь трафик, потом сохраняешь его в файл перехвата (File->Save). Потом опять перехватываешь и опять сохраняешь, потом объединяешь все файлы перехвата в один (File->Merge). И только потом, в комфортных условиях, анализируешь весь трафик скопом. И, кстати, эти функции, с сохранением и объединением, ты будешь использовать гораздо чаще чем ты думаешь. С сохранением, потому что получить с первого раза сведения которые тебе нужны удаётся далеко не всегда. Да и если анализировать трафик в онлайне — по любому что-нибудь пропустишь. А с объединением потому, что когда у тебя есть несколько файлов перехвата — разбирать их по отдельности — очень глупая и трудоёмкая идея.

Как ты наверняка заметил файлы перехвата содержат огромное количество строк, и что бы быстро в них ориентироваться нужно научится делать несколько вещей:

1. Поиск по пакетам. При нажатии комбинации клавиш Ctrl+F открывается панель поиска. Там есть несколько вариантов поиска, но на данном этапе тебе достаточно будет использовать Display filter который позволяет создать фильтр, чтобы найти только те пакеты, которые отвечают заданному в нем выражению и String — осуществляет поиск в строках по указанным символам (поиск вперед Ctrl+N, поиск назад Ctrl+B;
2. Отметка пакетов. Очень часто бывает что ты нашел нужный пакет, но есть необходимость вернуться к нему позже, для этого этот пакет можно отметить, нажми правой кнопкой на нужный пакет в Packet List и выбери Mark Packet или нажми Ctrl+M, отмечать можно любое количество пактов, а чтобы перемещаться между отмеченными пакетами используются комбинации клавиш Shift+Ctrl+N — следующий и Shift+Ctrl+B — предыдущий.
3. Фильтры. Фильтр — это выражение, в котором задаются критерии для включения или исключения пакетов из анализа. В Wireshark выделяют два вида фильтров: фильтры перехвата и фильтры отображения. Мы рассмотрим некоторые примеры применения фильтров, но про сами фильтры я сделаю отдельную статью. Потому, что там надо будет изучить довольно большой объём информации: логику применения, синтаксис, операторы. Короче это отдельная большая тема.

Отключите лишние расширения

Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.

Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:

• Chrome: chrome://extensions/
• Яндекс Браузер: browser://tune/
• Opera: opera://extensions
• Firefox: about:addons.

Захват Wi-Fi в Wireshark

Трафик Wi-Fi можно захватить непосредственно в Wireshark. Но нам предварительно нужно переключить Wi-Fi карту на тот же канал, на котором работает целевая Точка Доступа. Это делается командами вида:

sudo ip link set ИНТЕРФЕЙС down
sudo iw ИНТЕРФЕЙС set monitor control
sudo ip link set ИНТЕРФЕЙС up
sudo iw dev ИНТЕРФЕЙС set channel КАНАЛ

В этих командах нужно слова ИНТЕРФЕЙС и КАНАЛ заменить на действительные данные.

Когда интерфейс переключён на нужный канал, в Wireshark найдите этот интерфейс, в его свойствах поставьте галочку Capture packets in monitor mode. Затем начните захват данных:

Последующая расшифровка выполняется точно таким же образом, как показано выше.

Администрирование

Некоторые базовые задачи администрирования, связанные с GC, рассмотрены ниже.

Добавить роль GC для КД

Сделать сервер глобальным каталогом вы можете из оснастки Active Directory — сайты и службы . Для этого откройте оснастку, найдите контроллер домена (1), который хотите сделать сервером GC и нажмите правой кнопкой на NTDS Settings (2) нужного вам сервера, открыв свойства:

Откроется окно свойств и на вкладке Общие вам необходимо поставить галочку рядом с Глобальный каталог. Как только репликация данных глобального каталога завершится, через SRV-запись он объявит себя сервером GC.

Добавление UPN-суффикса

Выше я упоминал об UPN-суффиксах. Чтобы добавить дополнительные суффиксы , нужно зайти в оснастку Active Directory — домены и доверие. Далее — нажать правой кнопкой на имя оснастки и зайти в свойства:

Тут вы сможете добавить дополнительные UPN-суффиксы и уже при создании/изменении учетных записей пользователей выбирать нужные.

Создание дополнительного атрибута

Также есть возможность создания собственных атрибутов AD. Сделать это можно через оснастку Схема Active Directory (подробнее см. в статье Schema master — Хозяин схемы Active Directory):

Разумеется при любых изменениях схемы необходимо проявлять осторожность и четко понимать к чему могут привести те или иные действия, в противном случае лучше не лезьте

SRV-запись GC в DNS

Проверить регистрацию серверов глобального каталога в DNS вы можете в соответствующей оснастке в контейнере _tcp зоны прямого просмотра вашего домена:

Ну и последнее.

Проверка готовности GC

Ну а проверить готовность сервера GC можно по инструкции :

Notes:

1. Роль глобального каталога
2. Поиск данных каталога
3. Публикация ресурсов
4. What Is the Global Catalog?
5. Включение или отключение глобального каталога
6. Active Directory — сайты и службы
7. Добавление суффикса имени участника-пользователя
8. Добавление атрибута в глобальный каталог
9. Настройка глобального каталога
10. Подтверждение регистрации DNS глобального каталога
11. Проверка готовности глобального каталога

comments powered by HyperComments

Расшифровка WPA трафика в Wireshark

Начнём с теории, чтобы понять, почему процесс расшифровки Wi-Fi трафика в Wireshark требует некоторых усилий и почему нельзя просто расшифровать любой захваченный Wi-Fi трафик даже если есть пароль от Точки Доступа.

При передаче по Wi-Fi трафик шифруется с использованием PTK (Pairwise transient key — можно перевести как Парный переходной ключ). При этом PTK является динамичным, то есть создаётся заново для каждого нового соединения. Таким образом получается, что Wi-Fi трафик для каждого соединения в одной и той же Точке Доступа зашифрован разными PTK, причём даже для одного Клиента после переподключения PTK меняется. Для вычисления PTK необходимы данные из четырёх этапного рукопожатия, а также пароль от Wi-Fi сети (на самом деле нужна ещё и другая информация, например имя (SSID) сети, но получение этих данных не является проблемой).

Главное, что нужно понять: для расшифровки Wi-Fi трафика необходимо четырёх этапное рукопожатие. Причём не любое, а именно то, которое произошло для передачи того трафика, который нужно расшифровать. Но для использования захваченного рукопожатия необходим пароль от Wi-Fi сети.

Итак, чтобы расшифровать Wi-Fi трафик нужны:

1) рукопожатие, произошедшее между Клиентом и Точкой доступа непосредственно перед обменом расшифровываемой информацией

2) пароль для подключения к Точке Доступа

Далее будет показано два примера захвата Wi-Fi трафика и его расшифровки. Первый захват данных выполнен с помощью Airodump-ng, а затем беспроводной трафик будет расшифрован в Wireshark. Во втором примере данные будут захвачены и расшифрованы с использованием только Wireshark.

Сброс сторон приложения

Если вы определили, что сбросы не вызваны переназначением или неправильным параметром или пакетами, которые будут изменены с помощью сетевого следа, сузить его до сброса уровня приложения.

На приведенных ниже скриншотах видно, что пакеты, которые видны в источнике и пункте назначения, одинаковы без каких-либо изменений или капель, но вы видите явный сброс, отправленный пунктом назначения в источник.

Сторона источника

На трассировку в сторону назначения

Вы также видите пакет флага ACK+RST в случае, если syn пакета создания TCP отправляется. Пакет TCP SYN отправляется, когда клиент хочет подключиться к определенному порту, но если пункт назначения/сервера по какой-либо причине не хочет принимать пакет, он отправляет пакет ACK+RST.

Приложение, вызываее сброс (идентифицированное по номерам портов), должно быть исследовано, чтобы понять, что вызывает его для сброса подключения.

Примечание

Вышеуказанная информация о сбросах с точки зрения TCP, а не UDP. UDP — это протокол без подключения, и пакеты отправляются ненадежно. При использовании UDP в качестве транспортного протокола повторной передачи или сброса не будет. Однако UDP использует ICMP в качестве протокола отчетов об ошибках. Когда пакет UDP отправляется в порт, а пункт назначения не указан в списке, вы увидите недостижимый пункт назначения, отправляемый из хоста назначения ICMP: сообщение порт недостижимое сразу после пакета UDP.

Во время устранения неполадок с подключением можно также увидеть в сетевом следе, на который машина получает пакеты, но не реагирует. В таких случаях может произойть снижение уровня сервера. Чтобы понять, сбрасывает ли локальный брандмауэр пакет, введи аудит брандмауэра на компьютере.

Затем можно просмотреть журналы событий безопасности, чтобы просмотреть падение пакета на определенном порт-IP и связанный с ним фильтровый ID.

Теперь запустите команду, это будет создавать wfpstate.xml файл. После открытия этого файла и фильтра для ID, который вы найдете в вышеупомяемом событии (2944008), вы сможете увидеть имя правила брандмауэра, связанное с этим ID, блокирующее подключение.

Global catalog — Теория

Начнем с теории.

Назначение

Как и было сказано выше, глобальным каталогом могут быть одновременно несколько (или даже все враз) контроллеров домена в лесу. В средах со сложной иерархией доменов и множеством DC необходимо обеспечить приемлемое быстродействие повседневного функционала, например поиска объектов леса. Обычный рядовой контроллер домена хранит у себя полную реплику объектов своего домена, но не других доменов леса. То есть, чтобы найти, например, пользователя из домена А, контроллер домена В должен обратиться к одному из DC домена А для выполнения операции поиска, но такая операция однозначно займет сравнительно продолжительное время, тем более если все контроллеры домена А территориально располагаются совсем в другом месте и к тому же с не самым хорошим каналом связи.

Чтобы иметь возможность быстро выполнить поиск объектов из других доменов, к вам на помощь приходит глобальный каталог, который хранит у себя частичные реплики данных всего леса, помимо БД с объектами собственного домена.

Сказанное выше лучше всего иллюстрирует изображение из официальной документации :

Как видно из рисунка, контроллер домена А, он же и глобальный каталог (сервер справа), содержит частичные реплики доменов B, C, D. Таким образом, для выполнения операции поиска пользователей домена D (или любого другого) сотрудником из домена A, даже не придется обращаться к контроллерам домена D, ведь вся информация уже доступна на сервере глобального каталога его родного домена A. Это также справедливо по отношению к поиску любых объектов, которые опубликованы в AD (пользователи, компьютеры, файлы, принтеры, службы).

UPN

Насколько известно, в доменах могут быть заданы альтернативные — дополнительные — «имена доменов». Это может потребоваться для упрощения входа пользователей или для повышения безопасности. Если у вас уже несколько UPN-суффиксов, для каждой конкретной учетной записи вы можете определить суффикс при создании учетки или в свойствах уже созданной:

Чтобы пользователь [email protected] мог залогиниться на рабочей станции домена dev.corp.bissquit.com, контроллеры домена dev.corp.bissquit.com должны иметь доступ к глобальному каталогу, чтобы проверить подлинность пользователя и предоставленные ему разрешения (разумеется этот пользователь должен иметь права для локального входа на данную рабочую станцию).

Универсальные группы

Global catalog предоставляет сведения о членстве пользователя в универсальных группах в мультидоменной среде. При попытке пользователя залогиниться, контроллер домена, через который проходит процесс авторизации, формирует токен, содержащий идентификаторы (SID’ы) всех групп, в которые включена учетная запись пользователя. В свою очередь, получить сведения о членстве учетной записи в универсальных группах, контроллер домена может только у глобального каталога . Иначе процесс аутентификации в домене с универсальными группами не пройдет (при этом о членстве в других типах групп известно и обычным контроллерам домена).

Как было сказано выше, некоторые приложения очень сильно зависят от доступности глобального каталога. Например Exchange Server извлекает информацию о получателях именно через GC.

Краткие выводы

Сделаем вывод из сказанного выше, а также дополним информацию некоторыми другими фактами:

1. При установке AD DS на первом контроллере домена в лесу, этот же контроллер становится и глобальным каталогом;
2. Данные глобального каталога (частичные реплики других доменов леса) распространяются через механизм репликации;
3. Доступность глобального каталога сильно зависит от сервисов DNS, поскольку при запуске контроллера или при окончании начальной репликации, netlogon публикует SRV-записи, указывающие, что этот сервер является сервером глобального каталога. Впоследствии клиенты узнают о существовании этого сервера GC именно из сведений DNS;
4. Глобальный каталог осуществляет «связь» одного домена леса с другими — выполняет поиск объектов в других доменах, участвует в процессе аутентификации пользователей других доменов на своих рабочих станциях, определяет членство в универсальных группах, разрешает UPN-имена.

Из всего этого следует вывод, что глобальный каталог особенно важен, если речь идет о многодоменной инфраструктуре.

Примечание: для лесов с одним доменом, тем не менее, глобальный каталог все также нужен. Помимо приложений, жестко завязанных на GC, он необходим и для нормальной работы пользователей. Подробнее см. в блоге Ask the Directory Services Team, вопрос «If I have only one domain in my forest, do I need a Global Catalog? Plenty of documents imply this is the case.».

Далее перейдем к лучшим практикам администрирования.

Фильтрация пакетов

Если вы пытаетесь проверить что-то конкретное, например трафик, который программа отправляет при звонке домой, лучше закрыть все другие приложения, использующие сеть, чтобы вы могли уменьшить количество трафика, не имеющего отношение к вашему анализу. Тем не менее, вам, вероятно, всё равно придётся просеивать большое количество пакетов. Вот тут-то и пригодятся фильтры Wireshark.

Самый простой способ применить фильтр — ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать Enter). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнёте вводить текст, Wireshark поможет вам автоматически заполнить фильтр.

Вы также можете нажать Анализ → Дисплейные Фильтры (не очень удачный перевод), чтобы выбрать фильтр из заготовленного списка фильтров по умолчанию, включённых в Wireshark. Отсюда вы можете добавить свои собственные фильтры и сохранить их, чтобы легко получить к ним доступ в будущем.

Приведём несколько примером фильтров Wireshark.

Чтобы увидеть все DNS запросы и ответы:

dns

Фильтр, который показывает только данные, переданные методом POST:

http.request.method == "POST"

Фильтр, который показывает только данные, переданные методом GET:

http.request.method == "GET"

Поиск запросов к определённому сайту (хосту):

http.host == "<URL>"

Поиск запросов к определённому сайту по части имени:

http.host contains "здесь.частичное.имя"

Фильтр для вывода HTTP запросов, в которых передавались кукиз:

http.cookie

Запросы, в которых сервер установил кукиз в браузер пользователя.

http.set_cookie

Нужно понимать, что мы не можем искать по содержимому передаваемых зашифрованных данных (по очевидным причинам — данные зашифрованы). То есть сетевой трафик к сайтам по протоколу HTTPS не всегда доступны для анализа.

Поиск сетевых подключений, в которых портом назначения был порт из диапазона 8000-8180:

tcp.dstport>=8000 && tcp.dstport<=8180

Показать IPv6 трафик:

ipv6

Для показа ARP трафика:

arp

Показать трафик, источником которого является хост с IP адресом 138.201.81.199:

ip.src == 138.201.81.199

Показать трафик, адресатом которого является хост с IP адресом 138.201.81.199:

ip.dst == 138.201.81.199

Более подробный список смотрите в статье: Фильтры Wireshark

Ещё одна интересная вещь, которую вы можете сделать, — это щёлкнуть пакет правой кнопкой мыши и выбрать Следовать → Поток TCP.

Вы увидите полный TCP-диалог между клиентом и сервером. Вы также можете щёлкнуть другие протоколы в меню Следовать, чтобы просмотреть полные разговоры для других протоколов, если это применимо.

Закройте окно, и вы увидите, что фильтр применён автоматически. Wireshark показывает пакеты, из которых состоит беседа.

Установка PortQry

Скачайте Portqry.exe

Приложение PortQry .exe доступно для скачивания из Центра загрузки Майкрософт. Чтобы скачать .exe PortQry, посетите следующий веб-сайт Microsoft:

Дополнительные сведения о загрузке файлов поддержки Майкрософт см. в следующей базе знаний Майкрософт:

Получение файлов поддержки Майкрософт из online-служб

Корпорация Майкрософт отсканирует этот файл для вирусов. Корпорация Майкрософт использовала самое текущее программное обеспечение для обнаружения вирусов, доступное в день публикации файла. Файл хранится на серверах с усиленной безопасностью, которые помогают предотвратить любые несанкционированные изменения в файле.

Графическая версия средства PortQry, называемого PortQueryUI, содержит дополнительные функции, которые могут упростить использование PortQry. Чтобы скачать средство PortQueryUI, посетите следующий веб-сайт Microsoft:

Файрвол и антивирус

Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.

Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) — он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.

Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr.Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 — в фильтр веб-протоколов.

Настройка фильтрации веб-протоколов в ESET

Расшифровка беспроводного трафика

Когда мы запустили захват трафика на интерфейсе wlan0mon ты наверняка обратил внимание, что в Packet List отображается всё что угодно, кроме того что нужно. А именно из полезной информации там можно найти только название сети (SSID) и MAC адреса (на самом деле кое-что ещё есть), а какой-нибудь интересной информации нет, от слова «совсем»

На самом деле она есть, просто она зашифрована. Почему так? Ответ банален — потому что трафик шифруется. Соответственно надо его расшифровать. А для этого надо понимать некоторые процессы которые происходят в wi-fi сетях.

При передаче данных по wi-fi трафик шифруется с использованием ключа PTK (Pairwise Transient Key). При этом этот ключ динамичный, то есть создаётся заново для каждого нового соединения. А соответственно трафик для каждого соединения в одной и той же сети зашифрован разными PTK. Когда какой-нибудь клиент переподключается, то и PTK тоже меняется. Что бы этот самый PTK узнать необходимо перехватить четырёх этапное рукопожатие. Ну и знать пароль, имя (SSID) wi-fi сети и канал на котором она работает.

Перехват handshake

Как узнать пароль wi-fi сети я статью уже писал, поэтому примем за аксиому что он у тебя есть. А SSID и канал мы и так видим в Wireshark, вопрос остаётся только в PTK. Соответственно нужно перехватить рукопожатие и не какое-нибудь, а именно то которое произошло между интересующим нас клиентом и точкой доступа непосредственно перед обменом интересующей нас информацией. Наш адаптер уже в режиме мониторинга, и необходимые нам данные мы видим в Packet Details при нажатии на пакет из интересующей нас сети:

Можем сразу открываем терминал и запускаем перехват рукопожатия:

ждать повторных подключений мы не будем, поэтому помогаем отключится всем устройствам в сети:

и спустя небольшой промежуток времени видим в правом верхнем углу нашего терминала появилась надпись: WPA handshake

это означает, что рукопожатие мы получили, а значит успех близок. Вернемся в Wireshark.

В Filter Toolbar нужно написать:

Это необходимо что бы убедится что рукопожатие действительно у нас, если это так — можем продолжать. Теперь сделаем то, что я чуть раньше предупреждал не делать, а именно поменяем настройки протоколов. Идём Edit-> Preferences и выбираем вкладку Protocols. В ней нам надо найти IEEE 802.11 и поставить галку Enable decryption после чего нажать Edit

в появившемся окне жмём «+» и там где Key type выбрать wpa-pwd. А там где Key нужно ввести через двоеточие «пароль:имя сети». Потом нажать ОК и сохранить изменения в настройках протокола.

сразу после этого захваченный трафик будет расшифрован и начнет приобретать более вразумительный и понятный вид.