如何抓包分析BLE 空口报文(GAP + GATT + LESC procedure)?

最新推荐文章于 2024-10-19 07:25:05 发布
最新推荐文章于 2024-10-19 07:25:05 发布
阅读量2w 收藏 67
点赞数 15
分类专栏: 流云的博客 Bluetooth技术 嵌入式调试跟踪 文章标签: BLE Sniffer wireshark LESC pair bond GAP GATT SM ble_app_hrs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37621078/article/details/115181768
版权
本文详细介绍了如何使用BLE sniffer工具,如Wireshark和nRF Sniffer,抓取并分析BLE空口报文,包括GAP、GATT、LESC配对过程。内容涵盖连接建立、报文交互、安全连接建立等,适用于BLE设备的开发与调试。
摘要由CSDN通过智能技术生成

文章目录

前篇博文介绍了如何调试嵌入式代码? 但对于通讯协议,我们要了解通讯过程的详细信息,需要获取通讯过程中交互的报文以及时间,如何抓取通讯报文呢?如何解析抓取到的报文呢?

一、如何抓取BLE 空口报文?

我们最常使用的以太网抓包工具有wireshark 和tcpdump,前者提供可视化界面,方便直观了解报文格式,后者侧重命令行工具,方便通过自动化脚本抓包。这些抓包工具可以抓取BLE / Wi-Fi 这类无线通讯协议报文吗?

对于以太网这类有线通讯协议,数据包的传送分发主要是通过路由器和交换机完成的,路由器和交换机分发数据包主要是靠维护的路由表和MAC 地址表获知数据包下一跳的分发路径的。对于BLE / Wi-Fi 这类无线局域网通讯协议,主从设备之间通讯并没有路由器或交换机,无线数据报文是如何传送转发的呢?

博文链路层通信模式和空口协议设计 介绍了BLE 广播通信与连接通信模式,广播通信是Advertiser 将数据包发送给附近所有的Scanner,而Scanner 可以接收到周围所有Advertiser 的数据包(包括过滤规则的需要符合过滤规则要求),所以抓取广播报文比较简单。

连接通信模式则是主从设备之间先建立连接,连接的本质 是通信双方之间记录并同步维护的状态构成的,比如对端设备的MAC 地址、绑定信息等,BLE 连接通信实际上就是只接收目标设备的数据报文,忽略掉非目标设备的数据报文,这是由协议层定义的。如果想抓取BLE 连接通信报文,需要修改协议层代码,让其在非连接模式下接收处于连接模式的通信报文,这种修改后的非标准协议代码通常配合专用的硬件使用(当然也可以使用标准硬件比如开发板配合非标准的sniffer 驱动代码使用,但驱动应与硬件匹配),比如BLE sniffer 设备。
sniffer 设备连接示意图
Nordic 为方便抓取并分析BLE 数据报文,提供了BLE sniffer hex文件,可以烧录到开发板或者dongle 设备中使用,nRF Sniffer for BLE 配合Wireshark 的使用说明详见文档:nRF_Sniffer_BLE_UG_v3.2.pdf, Nordic 提供的nRF Sniffer for BLE 驱动程序以及适用的开发板或dongle 如下表:
nRF Sniffer firmware
比如采用nRF52840 Dongle 作为sniffer 硬件设备,sniffer_nrf52840dongle_nrf52840_7cc811f.hex 作为sniffer 驱动程序,可以使用nRF connect for desktop --> Programmer 工具借助nRF52840 Dongle 内置的bootloader_usb 代码烧录sniffer 驱动程序)。比如采用nRF52 DK 作为sniffer 硬件设备(板载J-Link 并引出SWD 接口),sniffer_nrf52dk_nrf52832_7cc811f.hex 作为sniffer 驱动程序,可以使用nrfjprog 或J-Flash工具烧录sniffer 驱动程序。

Sniffer 设备烧录适用的sniffer 驱动程序后,PC 端安装wireshark,并在线安装nRF Sniffer capture tool,添加并选用Wireshark Profile_nRF_Sniffer_Bluetooth_LE,就可以使用sniffer BLE 设备配合wireshark 抓取BLE 数据包了,详细步骤可以参阅nRF_Sniffer_BLE_UG_v3.2.pdf,抓取到的BLE 数据报文格式如下:
wireshark抓取BLE 数据报文图示
借助wireshark 和nRF Sniffer 抓取的数据报文,可以对其进行过滤,只显示我们关注的数据报文(常见过滤条件如下表,多个过滤条件可通过逻辑运算符&& 或 || 组合在一起使用)。Wireshark 除了显示数据报文的原始数据,还可以解析BLE 报文每个协议层每个字段的含义,不用来回查询Core Spec 即可获知当前报文中关键字段的值是否合适。

Display filter Description
btle.length != 0 Filter that displays only packets where the length field of the Bluetooth Low Energy packet is not zero, meaning it hides empty data packets.
btle.advertising_address Filter that displays only packets that have an advertising address (advertising packets).
btle Protocol filter that displays all Bluetooth Low Energy packets.
btatt
btsmp
btl2cap		 Protocol filters for ATT, SMP, and L2CAP packets, respectively.

如果连接双方配对或绑定了,也即BLE 交互数据报文加密了,在Wireshark --> Passkey / OOB Key 窗口输入6位配对码就可以解析加密的报文了(LESC 配对采用ECDH 密钥协商算法,sniffer 只靠6 位配对码无法计算出用于解密报文的共享密钥,还需要知道配对双方之一的私钥才能计算出配对双方加解密报文使用的共享密钥)。
Enter the credentials for pairing by type of encryption
Wireshark 可以显示抓取数据报文中每个字段的解析注释,也包含时间信息,但wireshark 是为分析TCP/IP 协议而生的,分析BLE 时序图、瞬时数据流量、信道频谱、网络拓扑等信息还是略显不足。如果想获取更详细直观的BLE 数据报文交互信息,可以使用Ellisys 来抓包分析BLE 数据报文,其抓取到的报文解析图示如下:
Ellisys 抓包分析图示
Ellisys 抓包需要借助专用的设备(蓝牙协议分析仪)比如Ellisys Bluetooth Explorer、Ellisys Bluetooth Tracker 等,这些专业设备成本大概二三十万,一般专业的蓝牙开发团队才会选择使用这些蓝牙分析仪。相比较而言,前面介绍的wireshark 配合nRF sniffer 的抓包分析方案成本或门槛低得多,一般简单的BLE profile/service 开发使用这种低成本的抓包分析方案也能满足需求,本文就使用这种方案介绍BLE 通信过程中数据报文的交互了。

二、BLE 通信报文是如何交互的?

从博文协议栈架构设计,我们知道BLE 协议栈类似TCP/IP 协议栈,也是分层设计的,从下到上依次是Physical Layer、Link Layer、L2CAP、Security Manager 或Attribute Protocol、GAP 或GATT 这几层,每层协议都有相应的header 和payload,BLE 数据包也是逐层协议字段封装嵌套的。
softdevice stack architecture
BLE Host 不同模块也不是同时工作的,GAP 主要负责广播通信与连接建立过程,Security Manager 主要负责通信双方之间的配对和绑定过程,GATT 主要负责服务发现、服务数据传输等连接通信过程,本文也分这几个过程简单介绍BLE 数据报文的封装与交互。

下文使用的软硬件环境如下:

  • SDK project:.\nRF5_SDK_17.0.2_d674dde\examples\ble_peripheral\ble_app_hrs (s132_nrf52_7.2.0_softdevice.hex)
  • BLE peripheral:nRF52 development kits (PCA10040)
  • BLE central:nRF connect for mobile version 4.24 (Android phone)
  • BLE sniffer:nRF52840 Dongle (sniffer_nrf52840dongle_nrf52840_7cc811f.hex) + Wireshark-win64-3.4.4
  • Development Environment:Setup_EmbeddedStudio_ARM_v540b_win_x64 + Windows 10_x64

编译工程ble_app_hrs 并将其烧录到nRF52 DK 中(softdevice 也需要烧录进去),PC 端打开wireshark(先插上BLE sniffer)并选择nRF Sniffer for Bluetooth LE COM* 开始捕获周围的BLE 数据包,wireshark --> nRF Sniffer toolbar --> Device 选择“Nordic_HRM” 设备只抓取该设备发送或接收的数据包。

手机端打开nRF connect 扫描并连接“Nordic_HRM” 设备,点击“Enable CCCDs” 使能notifications,为了看到更多LL Control Packet 可以点击“Request MTU”、“Request connection priority”、“Set preferred PHY” 等以更新MTU、connection parameters、PHY 等。为了抓取配对绑定过程的交互报文,可以点击"Bond"(工程ble_app_hrs 默认使用LE Secure Connections pairing with Just Works)手机端弹窗“配对请求” --> 点击“配对” ,Nordic_HRM 设备与手机完成配对与绑定过程。
nRF connect enable CCCDs / request MTU / set PHY / Bond
Wireshark 借助BLE Sniffer 抓取到了上述过程的交互报文,在双方完成配对和绑定过程后,Wireshark 抓取到的报文提示“Encrypted packet decrypted incorrectly (bad MIC)”,也即无法解密抓取到的加密报文。这说明BLE 4.2 之后使用的LE Secure Connections pairing 安全性大幅提升,密钥协商与加密报文可以防止被嗅探泄密,我们如何分析LESC 配对加密后的报文呢?这个问题下文再解答,我们先简单分析目前抓取到的报文。

2.1 GAP Discovery and Connection establishment procedures

BLE peripheral “Nordi

最低0.47元/天 解锁文章
流云IoT
关注
专栏目录
【蓝牙抓包篇】BLE抓包分析GATT连接过程
TommyMusk的博客
01-02 1万+
工具:蓝牙分析仪 软件:ComProbe 本文讲解通过BLE抓包分析GATT链接过程。 背景知识: GAP中的四个角色 Broadcaster, Observer, Peripheral(外设), and Central(集中器) GAPATT、GATT三者的联系 GATT的两个角色 GATT defines two roles: Server and Client. The GATT client is also an ATT client. The GATT server .
BLE 技术(八)--- BLE MESH 各层报文是如何设计的(上)?
流云
06-15 4712
前篇博文从解决问题的角度介绍了SIG MESH 协议的设计方案,本篇博文从MESH 消息报文在各协议层的传递过程,介绍SIG 是如何设计MESH 报文结构的,又是如何处理MESH 报文消息的?Bearer Layer 有哪几种报文格式?各报文每个字段是如何实现设计功能的?Provisioning Process 是如何进行的?Key Refresh 和IV Update 是如何进行的?Network Layer 是如何实现认证加密和模糊混淆的?Transport Layer 是如何分段重组的?
低功耗蓝牙抓包及其分析
09-01
环境是DA14580芯片,就是小米手环用到的蓝牙芯片,目前业界功耗最低,但是现在网上关于它的资料非常少,所以尽力将自己的学习及总结知识都分享出来
结合空口包(ellisys抓包分析BLE连接建立过程
10年蓝牙协议软件工作经验,仅代表自己的理解,不一定正确,欢迎置评
09-24 610
结合空口包(ellisys抓包分析BLE连接建立过程
空口分析经典蓝牙A2DP和AVRCP协议
最新发布
10年蓝牙协议软件工作经验,仅代表自己的理解,不一定正确,欢迎置评
10-19 1496
经典蓝牙的音乐播放依靠AVDTP协议进行数据传输,AVRCP进行播放控制,下面还是以手机和耳机为例,看看AVDTP和AVRCP是如何在音乐播放中协调和配合:
进阶利用OmniPeek进行空口抓包以及802.11报文分析
09-26
进阶利用OmniPeek进行空口抓包以及802.11报文分析
BLE LL层数据结构分析——抓包分析
qq_42529070的博客
03-29 4794
一.数据链路层报文结构 后期补充:在最新的core spec 5.2中,有1M PHY和2M的PHY,对应前导符变为1-2个字节。前导符用于频率同步、时序评估和自动增益控制训练。前导符第一bit应该与接入地址的LSB相同。 二.广播通道的 PDU 格式 Core_v5.3规定的数据格式 字段解析: 报文类型(低 4 个 bit): ADV_IND(0000) ——通用广播 ADV_DIRECT_IND(0001) ——定向连接广播 ADV_NONCONN_IND(0010) ——不可连接广播 ADV_
炫技来了!使用SDR设备成功抓到蓝牙air packet, 并且wireshark实时解析, 没错就是蓝牙空口抓包
朝气蓬勃
06-08 2810
本文章主要介绍是用ZYNQ7020+AD9361+Gnu radio是搭建一个蓝牙抓包器的文章。 用SDR(Software Defined Radio)设备研究了下BLE抓包,通过BLE抓包了解下蓝牙的controller的一点点内容,日拱一卒,拱了2个周终于可以抓到蓝牙37通道的广播数据,并且可以把数据传送到Wireshark中。整份工程是C语言+gnu radio来完成,没有借用python等。
项目篇:ble透传速率抓包分析
qq_41996931的博客
11-07 1239
ble速率分析
利用OmniPeek进行空口抓包以及802.11报文分析.docx
02-11
利用OmniPeek进行空口抓包以及802.11报文分析 omnipeek是一款不错的网络报文扫描软件,他不仅可以扫描有线网络下的报文信息,还可以针对无线网卡进行监控和扫描。通过该软件我们就可以更清晰更快捷的定位无线网络故障,根据扫描结果调整自己无线设备的位置和参数信息。
BLE 技术(五)--- Generic Access Profile + Security Manager(Core_v5.2)
流云
09-16 7002
GAP(Generic Access Profile) 定义了蓝牙设备之间如何发现彼此、建立连接以及如何实现配对与绑定,同时描述了设备如何实现无需连接的数据传输、如何实现等时同步数据传输、如何建立ACL与CIS 连接、如何建立安全连接实现加密通信。 GAP 规范为设备提供四种角色(可分为两组),每组角色都可以借助模式和过程来描述蓝牙设备的状态和行为,比如广播、发现、连接、绑定、周期广播、等时同步广播模式与过程。同时介绍了每组角色跟安全性相关的模式和过程,比如加密、认证、授权、数字签名模式和过程。
空口抓包指南
10-24
wifi问题log 复现问题抓取信息前,或者抓取后,记得收集以下信息: a.本机的 wifi mac 地址及分配到的 ip 地址 b.本机连接的路由器的 AP/SSID/IP 地址 c.测试开始时间点 d.测试出现问题的大概时间点
BLE数据包解析(Beacon)
06-21
对蓝牙搜索到的数据包进行初步解析,便于查找
BLE蓝牙抓包
11-15
BLE蓝牙抓包器 ,蓝牙协议分析软件,通过该软件可以轻松的了解和解析蓝牙通讯协议,利于开发应用BLE蓝牙通讯。
如何实现BLE 最大数据吞吐率并满足设计功耗要求?
流云
04-08 4152
我们开发BLE 设备多数都有两点要求:一是低功耗,电池供电需要持续工作数周甚至数个月;二是将BLE peripheral 产生的数据快速传送给central,传输数据功耗较高,提高传输速率缩短传输时间也有利于降低平均功耗。我们该如何设置广播参数与连接参数以达到我们要求的功耗呢?该如何设置连接参数与报文长度(PDU / MTU)以尽可能达到最大传输速率呢?
如何为BLE 设备实现OTA DFU 空中升级功能(上)?
流云
04-16 5114
我们开发的BLE peripheral 设备通常都有代码升级的需求,不管是解决先前的bug,还是增加新的功能。很多BLE peripheral 仅留出一个BLE 无线通讯接口,我们如何通过OTA 方式实现BLE 程序代码的空中升级呢?BLE DFU 的工作原理和升级过程是怎样的?如何实现无任何人工干预的OTA 升级?我们如何保证BLE DFU 过程的安全性?如何校验DFU Package 与当前固件是否兼容?BLE DFU 对存储空间有何要求?Unbonded DFU 和Bonded DFU 有何区别?
Ellisys系列-1 如何抓取蓝牙空中封包
Jessie_tianye的博客
08-26 2758
抓取蓝牙封包的无敌利器Ellysis Bluetooth Analyzer 做蓝牙的工程师,绝对需要知道如何使用这套软体,来抓空中封包并协助你debug
AIR INTERFACE PACKETS(空口报文
sugar0_1的博客
05-05 489
数据包Access Address为一个32bit的随机值,由Initiator生成。数据包只在数据信道上传输,即除37/38/39之外的其余37信道。==每建立一次连接,重新生成一次Access address。==数据包是给连接通信使用的,即用于master和slave之间通信的。CRC之后是可选的恒定音调扩展,该扩展由不断调制的一系列未变白的1组成。恒定音调扩展不包括在CRC或MIC计算中。所有链路层分组都具有前导码,如果是。
蓝牙抓包工具使用教程
m0_57693242的博客
02-03 4199
RF1和RF2连接天线Power口接电源供电,Computer口用Type-C线连接电脑,电脑打开Ellisys Bluetooth Analyzer软件确认Record的配置,如下,勾上要抓的是经典蓝牙BR/EDR还是低功耗蓝牙BLE点击“Record”开始抓取 air sniffer log找到要抓空包的设备,双击添加。Keep All 抓所有设备通信Exclude Background 默认设置。抓除了环境干扰外的所有设备通信。
BLE MESH协议难还是BLE GATT更难?
06-09
这个问题的答案取决于你的经验和背景知识。如果你已经熟悉了蓝牙技术和协议,则BLE MESH协议可能会更容易一些,因为它是一个独立的网络协议,需要熟悉不同的数据包类型和消息格式。而BLE GATT则更加专注于单个设备的数据传输和处理,需要更深入的了解GATT的数据结构和特性。但是如果你对蓝牙技术和协议都不熟悉,那么它们可能都会很难理解和实现。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流云IoT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值