1. BLE空口报文抓取基础想要分析BLE设备间的通信过程抓取空口报文是最直接有效的方法。这就像在两个人对话时用录音设备记录下他们的每一句话。不过BLE通信使用的是2.4GHz无线频段我们无法直接用耳朵听到这些对话需要借助专门的工具。传统有线网络抓包常用的Wireshark和tcpdump工具在BLE场景下需要配合专用硬件才能使用。原因在于有线网络依赖交换机/路由器转发数据包BLE设备直接通过无线电波通信没有中间转发设备广播报文相对容易抓取因为BLE设备会主动向周围所有设备发送广播数据。这就像一个人在广场上公开演讲任何人都能听到他的声音。而连接状态下的报文则像两个人在私密通话只有通信双方能听懂内容其他设备会自动忽略这些数据。2. 抓包工具与硬件准备2.1 常用抓包方案对比目前主流的BLE抓包方案主要有两种方案类型代表工具优点缺点适用场景低成本方案Wireshark Nordic nRF Sniffer成本低(约$20)、易获取功能相对基础日常开发调试专业方案Ellisys蓝牙分析仪功能强大、支持高级分析价格昂贵(约$20万)专业协议分析2.2 Nordic nRF Sniffer使用指南对于大多数开发者我推荐使用Nordic的nRF Sniffer方案。具体配置步骤如下硬件准备nRF52840 Dongle或nRF52 DK开发板一台安装好驱动程序的电脑烧录Sniffer固件# 使用nrfjprog烧录固件示例 nrfjprog --program sniffer_nrf52840dongle_nrf52840_7cc811f.hex --sectorerase nrfjprog --reset软件配置安装Wireshark(3.4.4或更高版本)安装nRF Sniffer插件选择正确的COM端口开始抓包基本过滤命令btle.advertising_address # 只显示广播包 btatt.opcode 0x12 # 过滤特定ATT操作码 btle.length 0 # 排除空数据包3. BLE通信全流程解析3.1 GAP广播与连接建立当BLE设备上电后首先会进入广播状态。通过Wireshark抓取的ADV_IND广播包通常包含这些关键信息广播地址设备的MAC地址Flags发现模式(如LE General Discoverable)Service UUIDs设备支持的服务类型厂商自定义数据如iBeacon信息连接建立过程由Central设备发起发送CONNECT_IND报文。这个报文中最重要的部分是连接参数connInterval(7.5ms-4s)决定通信频率connSlaveLatency(0-499)允许从设备跳过的连接事件connSupervisionTimeout(100ms-32s)连接超时时间3.2 链路层控制协议连接建立后设备会交换能力信息并协商通信参数。关键的控制过程包括功能交换(Feature Exchange)协商支持的PHY(1M/2M/Coded)确定是否支持数据长度扩展数据长度更新// 典型的数据长度更新请求 LL_LENGTH_REQ { MaxRxOctets 251, MaxRxTime 2120, MaxTxOctets 251, MaxTxTime 2120 }PHY更新1M PHY兼容性好速率低(1Mbps)2M PHY速率高(2Mbps)兼容性稍差3.3 GATT服务发现与数据交互GATT通信是BLE应用开发的核心主要流程包括MTU交换协商最大传输单元(默认23字节最大可达247字节)服务发现通过Primary Service Discovery查找服务使用Include Discovery查找包含的服务特征值操作读取(Read)获取当前值写入(Write)修改值通知(Notify)服务端主动推送数据典型的心率服务交互示例# 伪代码示例 hrm_service discover_service(0x180D) # 心率服务UUID hrm_char discover_characteristic(hrm_service, 0x2A37) # 心率测量特征 enable_notification(hrm_char) # 启用通知 def callback(value): print(f当前心率: {parse_heart_rate(value)}) set_notification_callback(hrm_char, callback)4. LESC安全通信解析4.1 配对流程与安全机制BLE 4.2引入的LE Secure Connections(LESC)采用ECDH密钥交换算法安全性显著提升。配对过程分为三个阶段配对特性交换协商IO能力(如是否支持输入PIN码)确定认证要求认证与加密交换公钥进行MITM保护(如Numeric Comparison)生成LTK(长期密钥)密钥分发分发IRK(身份解析密钥)分发CSRK(连接签名密钥)4.2 解密加密报文的方法由于LESC的安全特性常规抓包工具无法直接解密通信内容。需要通过以下方式之一实现解密Debug模式 修改设备固件使用预置的调试密钥对// Nordic SDK中的调试密钥设置 #define LESC_DEBUG_MODE 1 const uint8_t LESC_DEBUG_KEY[32] {0x3f,0x49,...,0xbd};私钥导入 专业分析仪支持导入设备私钥Passkey捕获 对于LE Legacy Pairing可以在Wireshark中输入配对码4.3 典型配对过程分析以Just Works配对为例的报文交互流程Pairing Request/Response协商配对方法(AuthReq)确定密钥分发需求Public Key Exchange交换P-256椭圆曲线公钥DHKey计算双方各自计算共享密钥加密启动Central-Peripheral: LL_ENC_REQ (Rand, EDIV, SKD, IV) Peripheral-Central: LL_ENC_RSP (Rand, EDIV, SKD, IV) Central-Peripheral: LL_START_ENC_REQ Peripheral-Central: LL_START_ENC_RSP5. 实战案例分析5.1 心率监测器通信解析通过nRF Sniffer抓取的心率服务完整交互过程广播阶段设备广播包含HRM服务UUID(0x180D)可能包含电池服务(0x180F)等附加服务连接建立后交换MTU(通常协商为默认23字节)发现所有Primary Service订阅心率测量特征通知(CCCD写入0x0001)数据传输心率数据格式(8位或16位)RR-Interval(用于计算心率变异性)5.2 安全配对问题排查当遇到配对失败时可以通过以下步骤分析检查Pairing Failed报文中的错误码确认双方支持的配对方法验证公钥交换是否成功检查加密参数(SKD, IV)是否正确同步常见错误码- 0x01: PASSKEY_ENTRY_FAILED - 0x02: OOB_NOT_AVAILABLE - 0x03: AUTH_REQ_CANNOT_BE_MET - 0x04: CONFIRM_VALUE_FAILED6. 高级技巧与注意事项6.1 优化抓包效果信道选择BLE使用37/38/39三个广播信道连接后会在37个数据信道间跳频时间同步对于时序敏感的分析需要校准嗅探器的时钟多设备协同使用多个嗅探器覆盖不同信道6.2 常见问题解决问题1抓不到连接建立后的报文检查是否在连接前就开始抓包确认嗅探器与目标设备距离足够近问题2无法解密加密报文确认设备是否使用LESC配对检查是否启用了Debug模式尝试捕获配对过程中的密钥交换信息问题3抓包数据不完整调整嗅探器位置减少干扰尝试降低PHY速率(从2M切换到1M)