我正在尝试在 WPA2 EAPOL 身份验证中捕获已完成的握手帧。源可以是 pcap 文件或实时捕获。我的想法是
- 识别 EAPOL 的消息类型(消息 1、2、3 和 4)
- 比较 Key Nonce(对于消息 1&3、2&4 应该是相似的)
- 验证所有 4 条消息的源和目标。如果这 4 组 EAPOL 帧满足这些条件,则它是一个完整的握手。(在重复帧的情况下检查时间戳)
但我观察到,在一次完整的握手中,很多时候消息#4 带有零值的 Nonce,而不是消息#2 的 Nonce。
那么在确定一个完整的握手时还应该考虑哪些其他字段呢?