Ellisys Bluetooth分析教程
介绍
本文将提供有关Ellisys蓝牙分析软件的快速演练。
样本捕获
评估Ellisys蓝牙分析软件的最简单方法是查看随安装提供的预捕获文件。可以从 “文件” 菜单 > “加载样本” 加载这些样本捕获。
我们将从HfpSco.btt示例开始,该示例包含耳机和手机之间的流量。
Ellisys协议概述
Ellisys 概述 是该软件的核心视图。这些视图将显示捕获的流量在协议层中的分组,直到最高层。每种媒介(经典蓝牙BR/EDR,低能耗和HCI)同时被捕获,并提供自己的概述。以下是一些经典蓝牙流量:
这里有一些低功耗流量:
Ellisys 概述 易于阅读。流量在树中按层次分组到协议层。通过导航到树节点可以轻松查看协议堆栈。我们来看看下面的截图。我们可以看到AT HFP事务,包括AT命令,AT响应和AT握手。每个AT数据包都使用RFCOMM帧传输,该帧位于基带上的L2CAP上。在BR/EDR概述中可以非常容易地看到这种叠加。
详细信息查看
可以在 “详细信息(Details)” 视图中详细查看 概述 中的每个选定行。以下屏幕截图显示了SDP服务搜索事务的详细信息。如您所见,不仅显示了SDP信息,还显示了较低层(例如L2CAP和基带)。默认情况下,较低层会关闭并汇总,但可以展开这些行以查看每个细节。
如果我们仔细查看SDP流量,我们会看到主设备发布了SDP服务搜索请求,以便发现可用的服务类和协议描述符。响应清楚地以非常有效的方式显示返回的信息。但是如果你了解SDP,你也知道它是一个非常灵活的协议,需要很多字段来描述这个动态结构。上面的截图实际上看起来太简单了。默认情况下,Ellisys软件仅显示最相关的信息,并隐藏通常对理解无用的所有信息,例如CRC,长度,保留字段等。当然,这些隐藏字段可以根据需要显示,而如果它们有任何问题,则会自动显示(例如,不会错过不正确的CRC)。下面显示了相同的SDP事件,并启用了所有字段。灰色线条是默认隐藏的线条。
Ellisys协议工具栏
如上所示,Overview在单个视图中方便地显示所有协议。这对于理解事件的顺序非常有用。例如,很容易看到寻呼,L2CAP连接,RFCOMM建立,然后是AT流量。但有时您需要关注给定的协议或某些特定的流量。有两个功能对此非常有用,本节中描述的Ellisys协议工具栏和下一节中描述的Ellisys Instant Filters。
每个 概述 中的协议工具栏只需单击一下即可切换协议级别。默认情况下,启用 “所有图层” 按钮,同时显示所有协议图层。虽然这对于理解全局事件序列非常有用,但有时关注单个协议层会更合适。例如,我们想要查看AT的内容,因此我们只需单击AT按钮即可快速获得此视图:
或者说我们希望检查LMP,所以只需单击LMP按钮即可:
您可以注意到,可以为每个不同的协议独立配置列,这在同时广泛使用多个协议时非常方便。不仅列会自动切换,而且协议特定字段的Instant Filters也会自动切换。
Ellisys即时过滤器
基于列的 即时过滤器(Instant Filters) 对于快速地将显示过滤器(display filters)应用于 概述 非常有用。这些过滤器基于简单的文本模式,也可以接受通配符(*)。让我们来看一个例子。我们希望只保留AT和SCO音频流量。我们只需在 “项目(Item)” 列的 “即时过滤( Instant Filter)” 框中键入 “at,audio” 即可。这将保持/显示以“at”或“audio”开头的任何行,如下所示:
也可以使用NOT符号!排除流量,例如输入!at,audio。这将排除/隐藏以at或audio开头的行,并显示所有其他流量。
支持诸如 *(接受任何字符,零或更多)或 ?(接受任何单个字符)的通配符。例如,键入*ev3 将匹配包含文本ev3的任何行。
数字列支持范围。指定范围,例如start..stop。例如,要使项目保持在0到1秒之间,只需在 “时间” 列的 “即时过滤” 框中键入0..1即可。
指定过滤器的更简单方法是右键单击特定列位置的行,然后上下文菜单将根据所选行保留或排除流量。
按设备过滤
使用全波段嗅探器时,将捕获该区域中的所有设备活动。应用设备过滤器非常有用,以便仅关注感兴趣的设备和/或通信。 Ellisys软件可在“设备流量过滤器”窗口中快速轻松地进行过滤。
默认情况下,将显示所有设备。过滤器窗口将显示跟踪中捕获的所有设备,以及它们之间建立的通信列表。仅保留相关/所需通信的简单方法是在“过滤器”框中键入设备名称(或LMP名称),公司ID或BDADDR。部分文本条目也有效。这会将列表缩减为与框中键入内容相匹配的设备(并将概览中显示的内容减少到此列表)。
然后可以将设备添加到左侧区域,以便仅保留指定设备之间的流量。如果仅指定了一个设备,则将显示进出该设备的所有流量。如果指定了多个设备,则将显示这些设备之间的所有流量。
自定义概述
能够完全按照您的意愿过滤概述是很好的,但如果无法进一步定制以适应各种协议则不会有用。在Ellisys软件中以非常简单的方式完成定制。只需获取 “详细信息” 窗格中的任何字段,将其拖放到 “概览” 中,它将立即显示在新列中。与Instant Filters结合使用时效果尤其强大。以下屏幕截图显示了为审核TCP流量而自定义的概述。已从 “详细信息” 窗格中拖放IP地址和TCP端口。
关于此功能的好处是,只要将 “详细信息” 字段添加到 “概览” 中以创建新列,就可以对其进行过滤,搜索,用于着色,导出等。这将打开整个世界的可能性。没有更多的挫折:当显示某些东西时,它可以被使用。
搜索和着色
可以搜索和着色项目(突出显示)。最简单的搜索功能是位于概述右上角的搜索框,称为即时搜索。将在所有概览项目和列中搜索此框中键入的文本模式。
可以在“搜索”对话框中实现更精确的搜索,可通过CTRL + F访问。可以搜索数据,以及文本和字段。可以组合搜索条件以创建更高级的搜索。可以搜索项目,也可以使用相同的标准对项目进行着色和计数。以下屏幕截图显示了如果IpSrc为172.10.20.3并且SrcPort为http,则配置为以绿色着色的搜索框:
结果如下:
也可以通过右键单击给定列中的一行来添加着色,然后选择“着色”。
Ellisys Instant Timing
Instant Timing窗格显示具有精确时间表示的基带数据包。
可以使用鼠标滚轮,键盘UP和DN箭头或通过拖动缩放栏来缩放视图。可以通过拖动比例尺或键盘上的左箭头和右箭头来平移视图。将鼠标放在数据包上时会自动出现数据包详细信息。在数据包区域中拖动鼠标时会出现测量光标。
Instant Timing窗格的动态范围非常高。此视图可以以百纳秒的精度显示细节(准确地说是125ns,因此是符号的1/8):
或者,它可以显示大局,通过显示数百秒的流量:
默认情况下,在 “按主设备” 模式下配置视图,因此每行代表主设备及其从设备传输的流量。也可以使用Instant Timing工具栏上的Display菜单按钮在“by RF channel”模式下配置视图。在这种情况下,数据包将按频率/ RF信道排列,如下所示:
也可以从“显示”菜单按钮中选择显示过滤器,以隐藏建立流量(例如查询,分页和广告)和空闲流量(例如轮询/空数据包和空数据包)。
Ellisys Instant Piconet
Instant Piconet窗格旨在以图形方式显示所有捕获的微微网和散射网的拓扑。除拓扑外,Instant Piconet窗格还显示查询和寻呼事件以及活动ACL和SCO连接的数据吞吐量。与Ellisys软件中的所有视图一样,此视图可以实时(捕获期间)工作,也可以在回放模式下用于重放捕获的流量。
以下屏幕截图显示了Instant Piconet中相当复杂的scatternet:
所有视图/窗格都链接在一起,因此更改 概述 中的所选事件会将Instant Piconet更新到此位置。单击Instant Piconet中的时间戳将同步 概述。 Instant Timing有一个特殊的光标显示Instant Piconet的确切时间(移动此光标将更新Instant Piconet)。
以下是您可以在Instant Piconet中找到的各种表示的快速摘要:
表示主设备和从设备之间的空闲连接。主设备始终具有蓝色轮廓。从设备始终具有黑色轮廓。侧面的仪表代表设备的RSSI。
表示活动数据连接。指示吞吐量。
表示由两个简单的微微网组成的散射网。中心的设备是右侧设备的从设备,是左侧设备的主设备。
代表一项查询(Inquiry)。查询器设备用蓝色轮廓表示,与主设备一样,而响应设备用黑色轮廓表示。
表示寻呼。寻呼设备用蓝色轮廓表示,就像主设备一样,而被寻呼设备用黑色轮廓表示。
捕获流量
请参考我们的专家说明 “您的第一个宽带捕获”,了解如何正确配置和操作您的分析仪以获取干净的捕获。
获取软件
该软件可在Ellisys网站上索取:http://www.ellisys.com/products/bex400/download.php
下载需经过批准,但可能会批准任何属于Bluetooth SIG或重要的参与蓝牙开发的公司。
反馈
对我们的专家说明的反馈总是很感激。如需对本文提供任何形式的评论或批评,请随时通过expert@ellisys.com与我们联系。
1129
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
