分析蓝牙低能量流量

Question

在试图研究BLE时，我想知道是否可以通过wireshark和snort等工具来分析它？我遇到了一个名为“ubertooth”的产品，但这是一个USB设备，需要购买才能让我们在BLE帧上执行DPI是不是？是否有可能捕捉并分析线鲨鱼上的BLE帧？

Answer 1

您的确需要一个BLE功能的设备才能分析BLE信号，因此如果您的设备不具备BLE功能，则无法对其进行分析。

Answer 2

是否有可能捕获和分析线鲨鱼上的BLE帧？

如果你以某种方式成功地捕捉到蓝牙LE通信与链路层包头类型LINKTYPE_BLUETOOTH_LE_LL或LINKTYPE_BLUETOOTH_LE_LL_WITH_PHDR的PCAP或pcapng文件，你可以对它们进行分析。

然而，the Wireshark Wiki page on capturing Bluetooth traffic只谈到的

1. 捕捉流量，并从你的机器上的Linux;
2. 与Ubertooth被动地捕获第三方流量;

所以，虽然你可能能够分析使用Wireshark的交通，你可能不能够捕获它使用Wireshark。正如Josh Baker指出的那样，您可以从命名管道捕获ubertooth-btle工具的输出到Wireshark。 （如果有一个用于Ubertooth的libpcap模块会很好，这样你就可以直接用Wireshark捕获）

但是，如果你不想购买一个Ubertooth设备，你可能无法捕获蓝牙LE流量。

Answer 3

BLE在大多数Android设备上都支持。只需转到开发人员选项 - >启用Bluetooth HCI snoop log，即可录制蓝牙包。日志将保存在/sdcard/btsnoof_hci.log。但是，如果您的目标是被动地监控，那么这将不起作用，它只会从您的设备获取流量。

Answer 4

是的，它可以使用wireshark来分析BLE数据包，但您将需要额外的硬件。嗅探连接需要蓝牙芯片组内部实现的基带层的支持。计算机内部芯片组的软件不支持嗅探，因此您需要另一个可以控制其软件的芯片组。

我使用nRF51 Dongle，它是Nordic Semi的BLE + Cortex M0 SoC nRF51的开发套件。 Nordic为这块主板提供固件，将其变成嗅探器。他们还提供了一个Windows应用程序，通过USB与该固件进行通信以获取嗅探数据，并以WireShark可理解的方式对其进行格式化。

如果您在Windows上，则只需使用the tools provided by Nordic on this page，然后按照用户指南中的说明进行操作。

如果像我一样，你是在Mac上，你将需要：

• RKNRFGO到自定义固件
• nrf-ble-sniffer-osx与它管的报文Wireshark的沟通程序。

nrf-ble-sniffer-osx Wiki解释了如何设置它。感谢Roland King制作这些工具。为Mac设置

两个重要的注意事项：

• NRF-BLE-嗅探器，OSX之前安装Wireshark的。这是因为nrf-ble-sniffer-osx需要为Wireshark安装一些额外的过滤器，以便它可以解码Nordic固件添加到数据包的标头，并且如果之后安装Wireshark则不会这样做。
• 使用Wireshark版本1.12。在撰写本文时，没有使用此设置的新版本。是的，这意味着你必须使用XQuartz。

如果你在Linux上，it looks like it's also possible to use this dongle，但我还没有尝试过。

然后完成所有的工作，你的管道包Wireshark的，你可以使用所有的真棒Wireshark的内置过滤器用于蓝牙和BLE：btatt，btl2cap，btle，...