蓝牙低能耗流量分析

Question

在尝试研究BLE时，我想知道是否可以通过Wireshark和snort等工具对其进行分析？我遇到了一个叫"ubertooth“的设备，但这是一个USB设备，我们需要购买它才能在BLE帧上执行DPI，对吧？是否可以在Wireshark上捕获和分析BLE帧？

Answer 1

是的，可以使用wireshark来分析BLE数据包，但您需要额外的硬件。嗅探连接需要来自蓝牙芯片组内部实现的基带层的支持。你电脑内部芯片组的软件不支持嗅探，所以你需要另一个你可以控制其软件的芯片组。

我使用的是nRF51 Dongle，它是nRF51的开发工具包，来自北欧Semi的BLE + Cortex M0 SoC。北欧公司为这块板提供了固件，使其成为一个嗅探器。它们还为Windows提供了一个应用程序，该应用程序通过USB与固件通信，以取回嗅探数据，并以Wireshark可理解的方式格式化数据。

如果你使用的是Windows，你可以只使用the tools provided by Nordic on this page，并按照用户指南中的说明进行操作。

编辑2018-10：北欧已经发布了测试版的苹果和Linux应用程序来支持他们的嗅探器，所以这篇文章的其余部分应该不再有必要。你可以使用download the new tool here。

一旦一切正常，你可以使用Wireshark内置的蓝牙和BLE过滤器：btatt，btl2cap，btle，...

原始帖子

如果你像我一样使用Mac，你需要：

用于对自定义firmware

• nrf-ble-sniffer-osx进行编程以与其通信并通过管道将数据包发送到Wireshark的
• RKNRFGO。

nrf-ble-sniffer-osx Wiki解释了如何设置它。感谢Roland King制作了这些工具。

Mac设置有两个重要的注意事项：

• 在nrf-ble-sniffer-osx之前安装Wireshark。这是因为nrf-ble-sniffer-osx需要为Wireshark安装一些额外的过滤器，以便它可以解码北欧固件添加到数据包的报头，而如果Wireshark安装了afterwards.
• Use wireshark1.12版，它就不会这样做。在写这篇文章的时候，还没有新的版本可以与这个设置一起工作。是的，这意味着你必须使用XQuartz。

如果你用的是Linux，it looks like it's also possible to use this dongle，但我还没试过。

Answer 2

大多数android设备都支持BLE。您只需转到开发人员选项->启用蓝牙HCI snoop日志，即可记录蓝牙数据包。日志将保存在/sdcard/btsnoof_hci.log中。然而，如果你的目标是被动监控，这将不会起作用，它只会获得进出你设备的流量。

Answer 3

是否可以在wire shark上捕获和分析BLE帧？

如果您以某种方式将蓝牙LE流量捕获到链路层头类型为LINKTYPE_BLUETOOTH_LE_LL或LINKTYPE_BLUETOOTH_LE_LL_WITH_PHDR的pcap或pcapng文件中，则可以对其进行分析。

然而，the Wireshark Wiki page on capturing Bluetooth traffic只提到了

在Linux;

• passively上捕获进出计算机的流量使用

1. 捕获第三方流量；

因此，虽然您可以使用Wireshark分析流量，但您可能无法使用Wireshark捕获流量。正如Josh Baker所指出的，您可以从命名管道捕获，并通过管道将ubertooth-btle工具的输出发送到Wireshark。(如果有一个用于Ubertooth的libpcap模块，那就更好了，这样你就可以用Wireshark更直接地捕获了。)

但是，如果你不想购买Ubertooth设备，你可能无法捕获蓝牙LE流量。