如果您连接到一个开放的、未加密的 Wi-Fi 接入点，您所做的一切都可能被范围内的其他人捕获。

如果您连接到加密点，那么附近的人可以拦截您正在执行的操作，但无法对其进行解密。但是，运行接入点的人可以拦截您正在做的事情，对吗？

其他知道密钥并连接到同一点的人呢？他们可以拦截您的无线传输并解密它们吗？或者他们可以使用数据包嗅探器看到您的数据包吗？

从这个维基页面：

WPA 和 WPA2 使用从 EAPOL 握手派生的密钥来加密流量。除非您尝试解密的会话的所有四个握手数据包都存在，否则Wireshark 将无法解密流量。您可以使用显示过滤器 eapol 来定位捕获中的 EAPOL 数据包。

我注意到解密也适用于 (1, 2, 4)，但不适用于 (1, 2, 3)。据我所知，前两个数据包就足够了，至少对于单播流量而言是这样的。有人可以解释一下 Wireshark 是如何处理的，换句话说，为什么只有前一个序列有效，因为第四个数据包只是一个确认？另外，是否保证 (1, 2, 4) 在 (1, 2, 3, 4) 工作时总是工作？

测试用例

这是 gzipped 握手 (1, 2, 4) 和加密ARP数据包 (SSID: SSID, password: password)base64编码：

H4sICEarjU8AA2hhbmRzaGFrZS5jYXAAu3J400ImBhYGGPj/n4GhHkhfXNHr37KQgWEqAwQzMAgx
6HkAKbFWzgUMhxgZGDiYrjIwKGUqcW5g4Ldd3rcFQn5IXbWKGaiso4+RmSH+H0MngwLUZMarj4Rn
S8vInf5yfO7mgrMyr9g/Jpa9XVbRdaxH58v1fO3vDCQDkCNv7mFgWMsAwXBHMoEceQ3kSMZbDFDn
ITk1gBnJkeX/GDkRjmyccfus4BKl75HC2cnW1eXrjExNf66uYz+VGLl+snrF7j2EnHQy3JjDKPb9
3fOd9zT0TmofYZC4K8YQ8IkR6JaAT0zIJMjxtWaMmCEMdvwNnI5PYEYJYSTHM5EegqhggYbFhgsJ
9gJXy42PMx9JzYKEcFkcG0MJULYE2ZEGrZwHIMnASwc1GSw4mmH1JCCNQYEF7C7tjasVT+0/J3LP
gie59HFL+5RDIdmZ8rGMeldN5s668eb/tp8vQ+7OrT9jPj/B7425QIGJI3Pft72dLxav8BefvcGU
7+kfABxJX+SjAgAA

解码：

$ base64 -d | gunzip > handshake.cap

运行tshark以查看是否正确解密了ARP数据包：

$ tshark -r handshake.cap -o wlan.enable_decryption:TRUE -o …

据我了解，使用 WPA-Enterprise（即 WPA 加 802.1X）的无线接入点可以在连接设置期间向客户端发送公钥证书。客户端可以验证此证书以确保它没有连接到恶意 AP（类似于 HTTPS 中的证书验证）。

问题：

• 我理解正确吗？
• 如果是，有没有办法下载AP证书？理想情况下，我想要一个在 Linux 下工作的解决方案。

我想下载一个自签名证书，用它来验证后续的连接尝试。这比向 AP 的操作员索要文件要简单。

我的家庭网络使用带有 Wi-Fi的威瑞森品牌 Actiontec M1424WR路由器。我的主电脑是硬连线的，没有 Wi-Fi 功能。我正在尝试通过网络连接具有 Wi-Fi的旧Palm TX。

路由器是为 WPA2 设置的，还有其他无线连接，所以我不想弄乱它。Palm TX 提供 WPA（以及 WEP）。

Palm TX 无法升级，因此任何连接都需要通过在路由器中设置某种例外来完成，以允许使用 WPA 连接这台设备。有没有办法做到这一点？

我的笔记本电脑上装有 WPA2-personal 并且我已无线连接到我的家庭 AP。我从 Wireshark 捕获的流量都是未加密的。

几天前，我将路由器安装在 WPA-personal 上，并对我的智能手机进行了中间人攻击，流量也未加密。

WPA 不应该对流量进行加密，而不仅仅是要求输入密码才能进入网络吗？

赏金编辑：

我想对这件事多了解一点。在这件事上，WPA2-PSK (TKIP)、WPA2-PSK (AES) 和 WPA2-PSK (TKIP/AES) 之间的主要区别是什么？我知道它们都是不同的选项，如果我选择了错误的选项，我将拥有一个更慢、更不安全的网络。捕获流量的加密有什么区别，家庭/工作网络的最佳解决方案是什么？谢谢。

我对加密的工作原理有一个非常基本的了解。

到目前为止，我的知识是关于CISCO课程的CCNA 发现级别的知识（以及其他一些内容，例如Steve Gibson和Leo Laporte在各个剧集中的“ Security Now ”）。

我的问题是（是）：

加密不会破坏数据包/帧中源 ip/mac 目标和 MAC 地址的网络概念吗？

因为...

显然，任何“未加密”（密钥）数据都可以与数据一起发送，但这会破坏安全性，同时交换机无法在内部网络上引导数据并构建其 MAC 表。

现在我将对我所知道的做出一些假设。任何一个：

1. 交换机可以使用数据包 IP 和 MAC 地址的封装标头中的内容，以及从先前连接中获知的数据，以对使用源帧和目标帧 MAC 地址封装的数据包进行解密。
2. 路由器可以使用数据包/先前连接数据包中的内容来解密用源和目标 IP 地址封装的数据包。
3. 互联网上的整个加密概念是行不通的（显然是不真实的）
4. 对于加密数据包，源和目标 MACs/ip 以未加密方式发送。（如果是这种情况，这是否意味着中间人可以捕获所有数据，记录它，然后花费尽可能多的时间来暴力破解密钥以对其进行解密？）

否则，我的假设出于某种原因是虚假的（为什么它们是虚假的？）。

这个问题完全是从学习这些课程的理论知识中产​​生的，所以请尽可能多地详细说明你绝对愿意，即使你认为你在陈述显而易见的事情。我问这个纯粹是出于学术原因/强烈的好奇心，而不是因为我有实际问题。

我正在考虑生成 WPA-PSK 密码短语，我在 OpenBSD 联机帮助页中看到wpa-psk(8)：

The passphrase must be a sequence of between 8 and 63
ASCII-encoded characters.

这里“ASCII编码”的标准究竟是什么？只是它们必须是高位未设置的 8 位字符？是否允许使用不可打印的字符？

想想看……我随机生成密码的方法有意义吗？只生成 64 个随机字节并将其用作密钥会更好吗？

我在使用 raspberry pi 连接到特定 wifi 时遇到问题。这是我检查时的输出/var/log/syslog：

Jun 19 09:44:52 raspberrypi wpa_supplicant[447]: wlan0: Trying to associate with 86:2a:a8:2d:35:ea (SSID='XXXX Wi-Fi' freq=2462 MHz)
Jun 19 09:44:52 raspberrypi wpa_supplicant[447]: wlan0: CTRL-EVENT-ASSOC-REJECT status_code=16
Jun 19 09:44:52 raspberrypi wpa_supplicant[447]: wlan0: CTRL-EVENT-SSID-TEMP-DISABLED id=1 ssid="XXXX Wi-Fi" auth_failures=6 duration=90 reason=CONN_FAILED

但是当我连接到其他wifi时，它成功连接：

Jun 19 09:45:24 raspberrypi dhcpcd[437]: wlan0: adding address fe80::c6af:a739:b4bb:4d62
Jun 19 09:45:24 raspberrypi kernel: [    5.610985] IPv6: ADDRCONF(NETDEV_UP): wlan0: link is not ready
Jun 19 09:45:24 raspberrypi avahi-daemon[438]: Joining mDNS multicast group on interface wlan0.IPv6 …

我对 WPA 和 WPA2 安全中的 4 次握手确实有一个大致的了解。我了解 PMK、PTK、GMK、GMK、SNONCE 等术语。我还了解到新的 PMKID 攻击比传统握手捕获方法更加安静。我不明白的是 PMKID，它是什么？它与实际的 PMK 有什么不同。为什么路由器会将 PMKID 泄露给未经授权的陌生人？

我正在寻找可在/etc/network/interfaces文件中使用的 wpa-* 选项的详尽列表。

Debian wiki 有一个如何使用页面：https://wiki.debian.org/WiFi/HowToUse，它指的是/usr/share/doc/wpasupplicant/README.modes.gz“附加” wpa-* 选项，但此文件不包含详尽列表，只是常见选项的列表。

我在哪里可以找到每个可用 wpa-* 选项的列表？

如果失败，是否有选项可以指定在启用 D-Bus 的情况下启动 wpa_supplicant？

编辑：在启用 D-Bus 时，查看/etc/wpa_supplicant/functions.sh，似乎没有任何代码将 a 添加-u到WPA_SUP_OPTIONS变量。我functions.sh在初始化时手动将它添加到我自己的WPA_SUP_OPTIONS：

init_wpa_supplicant () {
        [ -n "$WPA_SUP_CONF" ] || return 0

        local WPA_SUP_OPTIONS
        WPA_SUP_OPTIONS="-s -B -P $WPA_SUP_PIDFILE -i $WPA_IFACE -u"
                                                   inserted here ^^

我不确定这个脚本是通用的，还是特定于 Debian 的。