Правильный способ определения полного рукопожатия кадров EAPOL

Я пытаюсь захватить завершенные кадры рукопожатия при аутентификации WPA2 EAPOL. Источником может быть файл pcap или запись в реальном времени. Моя идея состоит в том, чтобы

1. определить тип сообщения EAPOL (сообщения 1, 2, 3 и 4)
2. сравнить Key Nonce (должно быть похоже на сообщения 1 и 3, 2 и 4)
3. проверьте источник и назначение для всех 4 сообщений. если эти условия удовлетворяют для 4 наборов кадра EAPOL, то это полное рукопожатие. (проверьте метки времени в случае дублирования кадров)

Но я заметил, что при полном рукопожатии много раз сообщение № 4 несет значение Nonce с нулевым значением вместо Nonce сообщения № 2.

Какие еще поля следует учитывать при определении полного рукопожатия?