Spesso un file .pcap contenente l’handshake WPA catturato con tool automatici come Wifite risulta sporcato da altri dati, pacchetti catturati che non riguardano il four way handshake tra router e client Wi-Fi. Ecco perché è necessario ripulire la cattura, lasciando soltanto i pacchetti EAPOL che ci interessano.
Su Question Defense ho trovato un metodo che fa uso di tshark, lo riporto come memo personale, ma credo possa tornare utile a chi si diverte con il wireless hacking:
tshark -r -R "eapol || wlan_mgt.tag.interpretation eq|| (wlan.fc.type_subtype==0x08 && wlan_mgt.ssid eq )" -w
Se invece vi è sufficiente soltanto visualizzare i pacchetti EAPOL potete utilizzare Wireshark, inserendo la parola “eapol” all’interno del campo di ricerca “Filter” come ben spiegato in How To Crack WPA / WPA2 – Finding the Four-way Handshake.