Pulire un file .pcap contenente un WPA handshake

Spesso un file .pcap contenente l’handshake WPA catturato con tool automatici come Wifite risulta sporcato da altri dati, pacchetti catturati che non riguardano il four way handshake tra router e client Wi-Fi. Ecco perché è necessario ripulire la cattura, lasciando soltanto i pacchetti EAPOL che ci interessano.

Su Question Defense ho trovato un metodo che fa uso di tshark, lo riporto come memo personale, ma credo possa tornare utile a chi si diverte con il wireless hacking:

tshark -r  -R "eapol || wlan_mgt.tag.interpretation eq  || (wlan.fc.type_subtype==0x08 && wlan_mgt.ssid eq )" -w 

Se invece vi è sufficiente soltanto visualizzare i pacchetti EAPOL potete utilizzare Wireshark, inserendo la parola “eapol” all’interno del campo di ricerca “Filter” come ben spiegato in How To Crack WPA / WPA2 – Finding the Four-way Handshake.