Ellisys Bluetooth Sniffer 文档 (EEN-BT01) - 正确捕捉蓝牙流量

最新推荐文章于 2024-09-02 10:22:24 发布

CoryXie

最新推荐文章于 2024-09-02 10:22:24 发布

阅读量2.1k

点赞数 1

分类专栏： Bluetooth 文章标签： Bluetooth

Bluetooth 专栏收录该内容

10 篇文章 5 订阅

订阅专栏

正确捕捉蓝牙流量

介绍

蓝牙是一种难以嗅探的技术。诸如跳频，白化和加密等先进的通信技术都是使这种不断发展的技术 “嗅探不友好” 的特征。

本文将介绍这些挑战如何影响工程师，以及我们可以采取哪些措施来改善这种情况。我们将专门介绍无线捕获，重点介绍目前可用的两种嗅探技术：单通道嗅探和全频段并发通道嗅探（whole-band concurrent channel sniffing）。

单通道嗅探

单通道嗅探是最常见的嗅探方法，因为它是从蓝牙开始直到最近，在市场上推出的所有嗅探器都使用的。这种嗅探方法在给定时间仅收听79个可用频道中的一个。由于蓝牙设备每625us使用不同的通道，因此这种嗅探方法需要非常精确地知道何时何地监听，以便捕获来自给定微微网的数据包。

下图显示了来自多个微微网的蓝牙数据包。 79个蓝牙通道垂直显示，水平时间进行。突出显示的数据包由单通道嗅探器捕获，而来自其他微微网的所有其他数据包均未被看到。
在这里插入图片描述
这种嗅探方法可以用标准无线电芯片和特定固件实现。一个简单的单通道嗅探器，其行为或多或少类似于标准设备。它遵循所选择的微微网的跳频序列，并捕获每个时隙中的分组。但是在能够捕获任何数据包之前，它需要与感兴趣的微微网同步。简单的嗅探器就像任何设备一样管理这种同步：它通过发送ID数据包来寻呼微微网的主设备。当主设备看到这些数据包时，它会发送FHS。该FHS包含在主设备上同步和遵循跳频序列所需的所有信息。从这一点开始，也只有从这一点开始，简单的嗅探器才能从这个微微网接收数据包。

到目前为止看起来还好，但这种方法有一些局限性。

第一个，也是最明显的，是这种方法无法捕获不同步的流量，例如查询（Inquiry）或寻呼（Page）。此外，当嗅探过程没有成功时，用户不知道为什么会发生这种情况。是从设备是处于不稳定状态，还是主设备有问题？或者可能是简单的嗅探器配置不正确？

另一个问题涉及如何保持同步。由于简单的嗅探器跟随主设备，并且由于主设备不知道嗅探器，因此主设备不关心它。例如，当主设备没有活动的从设备时，它不会传输任何流量，而由于时钟漂移，简单的嗅探器将无法长时间保持同步。然后，简单的嗅探器将需要再次进行寻呼，导致几秒钟的失明（several seconds of blindness），这可能非常令人沮丧。有时你能得到捕获，有时得不到捕获。

另一个限制（也许是最关键的）与加密有关。基于PIN码的基本安全性的美好时光已经结束；新设备都使用安全简单配对（SSP）。这使得调试更加棘手，特别是对于现成的设备。单通道嗅探器的主要问题是嗅探器必须实时解密流量才能正确跟随微微网。例如，这是为了跟随自适应跳频（AFH）所必需的，因为其是使用加密的LMP请求配置的。由于这种限制，单通道嗅探器不能首先捕获流量，然后通过后处理再解密流量。这种限制还禁止简单的嗅探器捕获SSP配对以及之后的感兴趣的流量，所以这是非常有限的。

最后但并非最不重要的是，单通道嗅探器只能跟随单个微微网，现代用例越来越不能接受，这越来越需要更复杂的拓扑。

全频带并发通道嗅探

嗅探蓝牙的一种更有趣的方式是同时监听所有79个蓝牙通道。这样的嗅探器不会试图跟随跳频序列，而是会监听所有信道，并且只要在任何信道上传输任何数据包，就会捕获它。这样，嗅探器硬件不再需要担心微微网，它可以无状态地捕获任何流量而无需任何配置。然后通过软件中的后处理完成所有情报编辑（intelligence compilations）。

下面的图像表示来自几个微微网的数据包，这些数据已被Ellisys全频带嗅探器捕获。
在这里插入图片描述
Ellisys蓝牙探测器BEX 400是第一个也是唯一一个采用全频带嗅探技术的嗅探器。使用标准蓝牙无线电芯片无法实现这种复杂性。 Ellisys的工程师从头开始设计专有的全频段无线电，包括设备级RF前端，并发信道数字无线电和基带。

重要的是，这种方法使得Ellisys BEX400特别适合未来发展。新的寻呼（Page）技术，基带改进，安全性增强以及附加的协议和配置文件可以单独使用软件更新，而无需更改硬件中的任何内容。

全频带嗅探的另一个巨大优势是捕获异步流量不再是问题。可以完美地捕获寻呼和查询。这种捕获方法本质上对角色切换，自适应跳频，寻呼方案等不敏感。捕获边际流量也不是问题：即使数据包在之前，时间限内或时间之后传输，它仍然会抓获。 BEX400具有125ns子符号（sub-symbol）定时精度，可提供无与伦比的保真度。其超精密，温度稳定的内部振荡器使其成为必须在各种设备之间进行测量的完美参考。

这种方法在捕获加密连接时也开启了新的可能性。由于Ellisys嗅探器不需要解析蓝牙流量，因此它可以捕获加密流量并在后处理中对其进行解密。这允许自动确定PIN码，捕获SSP调试模式设备以及捕获SSP配对，然后通过简单地提供链接密钥（Link Key）来解密100％的流量，这是其他嗅探技术所不可能的。

最后但并非最不重要的是，这种嗅探器方法不仅可以捕获单个微微网，还可以捕获邻域中的所有微微网和散射网。随着用例从简单的点对点连接快速演变为多配置，多点到多点连接，调试复杂拓扑变得越来越重要。
在这里插入图片描述