分析藍牙低能量流量

Question

在試圖研究BLE時，我想知道是否可以通過wireshark和snort等工具來分析它？我遇到了一個名爲「ubertooth」的產品，但這是一個USB設備，需要購買才能讓我們在BLE幀上執行DPI是不是？是否有可能捕捉並分析線鯊魚上的BLE幀？

Answer 1

您的確需要一個BLE功能的設備才能分析BLE信號，因此如果您的設備不具備BLE功能，則無法對其進行分析。

Answer 2

是否有可能捕獲和分析線鯊魚上的BLE幀？

如果你以某種方式成功地捕捉到藍牙LE通信與鏈路層包頭類型LINKTYPE_BLUETOOTH_LE_LL或LINKTYPE_BLUETOOTH_LE_LL_WITH_PHDR的PCAP或pcapng文件，你可以對它們進行分析。

然而，the Wireshark Wiki page on capturing Bluetooth traffic只談到的

1. 捕捉流量，並從你的機器上的Linux;
2. 與Ubertooth被動地捕獲第三方流量;

所以，雖然你可能能夠分析使用Wireshark的交通，你可能不能夠捕獲它使用Wireshark。正如Josh Baker指出的那樣，您可以從命名管道捕獲ubertooth-btle工具的輸出到Wireshark。 （如果有一個用於Ubertooth的libpcap模塊會很好，這樣你就可以直接用Wireshark捕獲）

但是，如果你不想購買一個Ubertooth設備，你可能無法捕獲藍牙LE流量。

Answer 3

BLE在大多數Android設備上都支持。只需轉到開發人員選項 - >啓用Bluetooth HCI snoop log，即可錄製藍牙包。日誌將保存在/sdcard/btsnoof_hci.log。但是，如果您的目標是被動地監控，那麼這將不起作用，它只會從您的設備獲取流量。

Answer 4

是的，它可以使用wireshark來分析BLE數據包，但您將需要額外的硬件。嗅探連接需要藍牙芯片組內部實現的基帶層的支持。計算機內部芯片組的軟件不支持嗅探，因此您需要另一個可以控制其軟件的芯片組。

我使用nRF51 Dongle，它是Nordic Semi的BLE + Cortex M0 SoC nRF51的開發套件。 Nordic爲這塊主板提供固件，將其變成嗅探器。他們還提供了一個Windows應用程序，通過USB與該固件進行通信以獲取嗅探數據，並以WireShark可理解的方式對其進行格式化。

如果您在Windows上，則只需使用the tools provided by Nordic on this page，然後按照用戶指南中的說明進行操作。

如果像我一樣，你是在Mac上，你將需要：

• RKNRFGO到自定義固件
• nrf-ble-sniffer-osx與它管的報文Wireshark的溝通程序。

nrf-ble-sniffer-osx Wiki解釋瞭如何設置它。感謝Roland King製作這些工具。爲Mac設置

兩個重要的注意事項：

• NRF-BLE-嗅探器，OSX之前安裝Wireshark的。這是因爲nrf-ble-sniffer-osx需要爲Wireshark安裝一些額外的過濾器，以便它可以解碼Nordic固件添加到數據包的標頭，並且如果之後安裝Wireshark則不會這樣做。
• 使用Wireshark版本1.12。在撰寫本文時，沒有使用此設置的新版本。是的，這意味着你必須使用XQuartz。

如果你在Linux上，it looks like it's also possible to use this dongle，但我還沒有嘗試過。

然後完成所有的工作，你的管道包Wireshark的，你可以使用所有的真棒Wireshark的內置過濾器用於藍牙和BLE：btatt，btl2cap，btle，...