Я пытаюсь захватить завершенные кадры рукопожатия в аутентификации EAPOL WPA2. Источником может быть файл pcap или запись в реальном времени. Моя идея состоит в том, чтобы
- определить тип сообщения EAPOL (сообщения 1, 2, 3 и 4)
- сравнить Key Nonce (должно быть похоже на сообщения 1 и 3, 2 и 4)
- проверить источник и место назначения для всех 4 сообщений.
если эти условия удовлетворяют для 4 комплектов кадра EAPOL, то это полное рукопожатие. (проверьте временные метки в случае дублирования кадров)
Но я заметил, что при полном рукопожатии много раз сообщение № 4 несет Nonce с нулевым значением вместо Nonce сообщения № 2.
Какие еще поля следует учитывать при определении полного рукопожатия?