1. 环境准备硬件与软件双管齐下搞蓝牙协议分析就像侦探破案没有趁手的工具可不行。我去年调试智能手环时就因为没配好环境浪费了两天时间。咱们先从必备装备说起硬件三件套缺一不可nRF52840 Dongle这玩意儿相当于蓝牙监听器建议买正版某宝约200元盗版容易驱动失灵。我吃过亏某次用山寨货抓包全是乱码USB延长线直接插电脑可能干扰严重实测用带磁环的线缆能减少30%的误码待测设备最好准备两个BLE设备比如手机智能手环方便模拟连接场景软件方面需要这三个关键组件Wireshark 4.0新版对BLE支持更好但注意避开4.1.2那个有内存泄漏的版本Python 3.7-3.93.10以上会有库兼容问题我电脑里专门留着3.8.6的绿色版nRF Sniffer固件一定要和Dongle硬件版本匹配下错会导致无法识别注意所有安装路径不要有中文和空格我见过太多人因为桌面\新建文件夹这种路径导致插件加载失败2. 软件安装避坑指南2.1 Wireshark定制安装双击安装包时这几个选项必须特别注意USB Capture不勾这个后面抓不到硬件接口Install Npcap in WinPcap API-compatible Mode老项目兼容必备自定义安装路径建议直接C:\Wireshark省去后续权限问题装完后别急着打开先做这两步右键快捷方式属性→兼容性→勾选以管理员身份运行进入安装目录给extcap文件夹添加Everyone读写权限2.2 Python环境配置新手最容易栽在环境变量上。推荐这样操作# 验证安装成功的正确姿势 python --version # 应该显示3.7.x或3.8.x pip list # 查看已有包确保没有冲突遇到pip安装慢的问题可以创建pip.ini文件[global] index-url https://mirrors.aliyun.com/pypi/simple/ trusted-host mirrors.aliyun.com2.3 嗅探插件部署把下载的nrf_sniffer_for_bluetooth_le_4.1.1.zip解压后将extcap下的四个文件复制到Wireshark\extcap整个Profile_nRF_Sniffer_Bluetooth_LE文件夹扔到profiles关键一步在extcap目录打开CMD执行pip install -r requirements.txt --user如果报错提示pyserial版本问题试试pip install pyserial3.4 --force-reinstall3. 实战抓包技巧3.1 设备识别与启动正确的操作顺序很重要先插入Dongle等设备管理器出现CP210x端口再开Wireshark接口列表会出现nRF Sniffer选项双击接口名称这时Dongle的LED会开始快闪如果找不到接口检查设备管理器是否有黄色感叹号尝试换USB口USB3.0蓝色接口有时兼容性差重启Wireshark时用管理员权限3.2 过滤广播包蓝牙设备未连接时用这个过滤条件抓广播btle.advertising_header.type 0x00我常用的显示过滤栏配置btle.advertising_header.type区分广播类型btle.data.advertising_data.type查看厂商数据frame.time_delta分析广播间隔稳定性3.3 连接过程分析建立连接时的关键帧CONNECT_IND主设备发出的连接请求LL_VERSION_IND协商协议版本LL_FEATURE_REQ特性交换ATT_MTU_REQ传输单元大小协商用这个过滤条件专注连接过程btle.control_opcode 0x01 || btle.control_opcode 0x034. 数据解析实战4.1 解码厂商自定义数据遇到加密的厂商数据时在协议树展开Bluetooth ATT→Attribute Value右键选择Decode As...添加新解析器指向自定义Lua脚本比如解析小米手环数据local mi_band_protocol Proto(MiBand, Xiaomi Mi Band Protocol) local fields { header ProtoField.uint8(miband.header, Header, base.HEX), length ProtoField.uint8(miband.length, Length, base.DEC) } mi_band_protocol.fields fields function mi_band_protocol.dissector(buffer, pinfo, tree) local subtree tree:add(mi_band_protocol, buffer()) subtree:add(fields.header, buffer(0,1)) subtree:add(fields.length, buffer(1,1)) end register_postdissector(mi_band_protocol)4.2 分析连接参数在LL_CONNECTION_UPDATE_REQ包中重点关注connInterval1.25ms的倍数值越大越省电connSlaveLatency从设备可跳过的连接事件supervisionTimeout超时断开时间用这个Tshark命令导出关键参数tshark -r capture.pcapng -Y btle.control_opcode 0x02 -T fields -e btle.conn_interval -e btle.conn_latency -e btle.conn_timeout4.3 信号质量评估在统计菜单选择IO GraphsY轴设为btle.rssi看信号强度波动添加过滤器btle.control_opcode 0x00专注数据包启用Smoothed模式观察趋势典型问题模式RSSI持续-90dBm距离过远或遮挡严重突发性丢包可能有WiFi信道干扰周期性波动检查天线匹配电路5. 高级调试技巧5.1 时间戳分析在视图→时间显示格式选择Seconds Since Previous Displayed Packet然后筛选连接事件btle.control_opcode 0x00统计→会话列表→蓝牙LE→查看传输间隔异常值通常对应着手机省电模式激活从设备处理延迟射频干扰事件5.2 重传问题定位用这个组合条件找重传btle.control_opcode 0x00 (btle.flags.retransmit 1 || btle.flags.more_data 1)常见原因排查表现象可能原因解决方案单方向重传天线方向性问题调整设备朝向突发密集重传WiFi同频干扰换蓝牙信道周期性重传时钟不同步更新设备固件5.3 功耗估算通过连接间隔和包长计算理论功耗导出数据包长度tshark -r capture.pcapng -Y btle.control_opcode 0x00 -T fields -e btle.length计算平均电流理论电流(mA) (Tx电流×Tx时间 Rx电流×Rx时间 休眠电流×休眠时间) / 连接间隔对比实际测量值差异超过20%需要检查射频匹配电路电源纹波软件休眠配置6. 常见问题排查上周帮同事解决的问题就很典型抓包看到设备不断发CONNECT_REQ但没响应。最后发现是手机端蓝牙协议栈bug重启后正常。这里分享几个典型case设备可见但抓不到包检查Dongle与设备距离建议3米确认设备广播信道在37/38/39尝试关闭手机蓝牙5.1的扩展广播功能抓包全是乱码重新烧写Dongle固件更换USB接口避免USB3.0干扰检查Wireshark是否加载了正确解析器连接频繁断开分析LL_TERMINATE_IND包的错误码检查连接参数是否超出设备能力用频谱仪查看2.4GHz频段干扰记得有次调试运动手环抓包发现每5分钟就有次异常的加密失败。后来发现是手环的加密密钥每5分钟刷新但手机端没及时同步。这类问题不抓包根本想不到