Hola,
he conseguido obtener la clave WEP usando aircrack con exito.
Ahora, quiero intentar ver la dirección ip del AP (no usa DHCP), descifrando paquetes usando airdecap.

he capturado paquetes con airodump:
-rw-r--r--  1 root root 45926646 Jan  3 12:47 cap-06.cap

Ejecuto airdecap de la siguiente manera:
[root@diablo decap]# airdecap -w 3132333435 cap-06.cap
Total number of packets read        548552
Total number of WEP data packets      1728
Total number of WPA data packets         0
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of decrypted WPA  packets         0

y obtengo de salida el archivo siguiente, con tamaño 24:
 1 root root       24 Jan  3 12:50 cap-06-dec.cap

es muy pequeño!!! tan solo 24 bytes,
lo he abierto con visor binario, pero no hay ninguna inf. util,
y menos direcc. ip que es lo que estoy buscando.


Porque no me funciona el airdecap? que estoy haciendo mal?
necesitare capturar mas informacion?

saludos, y gracias a todos

No hace falta descifrar para ver las IPs, sólo tienes que descifrar si quieres ver el texto (por ejemplo e-mails  ), que no deberías hacer. Abre el archivo sin descifrar con el ethereal y busca algo así como:

No sé, a mí no, y son las correctas porque es la red a la que me conecto.

Aún así la clave de vic1972 no es la correcta, el airdecap hace las mismas veces, y el archivo .cap resultante debe poder ser abierto con ethereal.

Salu2

Eso de malformed packet suena mal. Yo tiraría todas las capturas y volería a empezar desde el principio.

Explicó lo de como meter la clave en el ethereal para que quede claro:

Abro uno de mis archivos *.cap y cómo veis no se ve nada puesto que está cifrado:



Ahora me voy al menú Edit --> Preferences. Sale esta pantalla que teneis debajo, pero en la parte izquierda hay que expandir Protocols y pinchar en IEE 802.11. Meteis la clabe wep y no os olvideis de poner Wep key count a 1.



Mirad ahora cómo se ve mi archivo:




Por último os pongo otra captura en la que se puede observar la IP del cliente y del AP en un paquete con protocolo http:



En verde he marcado las MAC del AP y del cliente y al lado en rojo están sus IPs respectivas.

Como veis solo es cuestión de buscar. Pero hay que saber lo que se busca. 


Saludos...

Ok canido, me estaba equivocando yo de archivo.