Итак есть задача проснифать трафик жертвы подключенной к глобальной сети по средствам вай фай роутера, защита WPA2 (но защита это не проблема, у жертвы Yota модем, и настроен WPS так что за пару часов взлом пароля готов). но MITM атаку провести не получается, так как похоже у клиента стоит какой то сторонний брандмауэр, и этот брандмауэр отслеживает изменение мак адресов в ARP таблицах (я на самом деле весьма слабо пока во всем этом разбираюсь, так что если я где то путаюсь в терминологии, то не ругайте сильно). в общем я проверял на собственной сети, с брендмауром от NOD 32 действительно ничего не проснифать, на машине-жертве ( на которой как раз и установлен нод32) на запрос в командной строке ARP -a, никаких дублированных мак адресов нет, а как только отключаю фильтрацию сетевого трафика, то прямо тут же подмена мак адреса происходит. на компе этом 7 стоит кстати.

это все собственно предыстория. И вот что я подумал, ок ну а что если я просто в режиме монитора послушаю сеть (раз уж жертва по вай фай в сети) и попытаюсь перехватить нужные пакеты?

стал ловить все пакеты передаваемые по этому каналу, но естественно они все зашифрованы.

собственно вопрос: если я знаю пароль от данной сети с защитой WPA2 есть ли шанс расшифровать пакеты? я примерно понимаю технологию работы защиты WPA2, 4 рукопожатия обмен ключами и все такое. стало быть невозможно расшифровать пакеты передаваемые по воздуху, так как они уже шифруются совершенно другим паролем, присвоенным при этих самых "рукопожатиях"? а если мне удастся перехватить эти самые рукопожатия то тогда есть шанс расшифровать пакеты?

и еще, почему при MITM атаке других сетей (например своей собственной, при отключенном NODовском брендмауре) я без проблем перехватываю пакеты (без всякой расшифровки)? ведь вроде они тоже должны бы идти с шифрованием? как же так получается?

вроде все, ничего не забыл.

если что не так извеняйте, я новенький.