如何使用Wireshake解密Wi-Fi QoS Data报文？

1. 使用Wireshake解密Wi-Fi数据报文

通常当Wi-Fi发生某些问题时，我们都会抓取Wi-Fi sniffer log，用以协助分析问题，但是如果Wi-Fi使用了加密，则我们无法从sniffer log中获取到IP数据的层级，因为在Wi-Fi报文中，IP数据报文数据Qos Data类型的报文，并且被加密了，所以我们在Wireshake中看到的都是如下的报文格式，无法进行分析。

从上如报文中，我们也无法判断是那个IP报文，更无法解析报文数据层级了。所以就需要对QoS Data报文进行解密，如下我们就开始讲解如何使用Wireshake解密Wi-Fi sniffer报文。

1.1 解析的具体步骤

则在Wireshark中，需要提供预共享密钥 (PSK) 来解密数据包。步骤如下：

• 依次点击Edit > Preferences，然后在左侧栏中选择"Protocols"。

• 在协议列表中找到并选择"IEEE 802.11"。
• 在右侧的"Decryption Keys"部分，点击&#"按钮。

• 在弹出的窗口中点击"New"，如果Wi-Fi使用的是WPA/WPA2-PSK的加密方式（WPA3好像也是这种方式），则在"Key Type"中选择"wpa-pwd"。
• 输入格式为"password:ssid"的"PSK"密钥（例如：yourpassword:yourssid）。如下图所示：

• 点击 OK 保存设置。

1.2 启用加密数据解密

在同一个"IEEE 802.11"协议设置页面上，确保勾选"Enable Decryption"。具体如下所示：

1.3 解密后的数据

完成上述步骤后，就可以获得具体的IP数据，可以进行分析。如下所示，是一个ICMP的示例，以供参考：