您的第一个宽带捕获
介绍
宽带嗅探器非常易于使用。启动捕获,连接您的设备,然后所有流量将立即被捕获。然而,有一些事情需要知道,以获得完美的捕获。本文档将指导读者完成确保最佳捕获所需的一些简单步骤。
典型的捕获过程
使用宽带嗅探器的捕获过程如下:
- 放置分析仪和设备(有关最佳放置的详细信息,请参阅EEN_BT04)
- 如有必要,可选择配置录制设置(例如设置RF灵敏度)
- 启动分析仪
- 连接并使用所需的蓝牙设备
- 停止分析仪并保存抓包数据
难以置信?好吧,是有点。 Ellisys宽带嗅探器旨在从捕获的信息中学习设备信息。这对于可用性非常有用,但是在第一次捕获设备时需要注意一些事项。
需要知道诸如BD_ADDR,友好名称,SDP参数,L2CAP信道,链接**等的信息以便成功地显示信息。
自动填充设备数据库
如上所述,Ellisys软件将从捕获的流量中悄悄地(unobtrusively)学习有关设备的各种细节。 Ellisys软件所需的第一条信息是设备的BD_ADDR。当捕获到连接(寻呼)时可以确定两个通信设备之一的BD_ADDR,但是从连接不能知道另一个设备的BD_ADDR。让所有设备发送其BD_ADDR的最简单方法是进行发现(查询)。进行蓝牙查询时,附近的所有设备都将发送包含其BD_ADDR的FHS。更好的是,大多数蓝牙协议栈也会确定LMP名称,因此嗅探器也会“学习”。
当分析仪在捕获设备的流量之前不知道设备的完整BD_ADDR时,嗅探器仍然可以在大多数时间部分地确定BD_ADDR。在这种情况下,将在BD_ADDR高位字节中以“xx”表示为缺失,如下面的分析仪捕获所示。仍然可以成功捕获流量,但如果BD_ADDR未完全已知,则无法即时解密流量,因为这是安全算法的输入之一。
手动填充设备数据库
查询的另一种方法是手动填充设备数据库。这可以在 “设备筛选(Device
Filtering)” 对话框中完成,其中可以看到设备数据库。
“新设备(New Device)” 按钮可以从头开始创建新设备,包括其BD_ADDR,其友好名称和相关颜色。在创建新设备之前,检查设备是否已在数据库中是很有用的。搜索字段对此非常有用。
此对话框还可以更新现有设备的信息,这对于更新部分BD_ADDR尤其有用。如果不再需要,也可以删除现有设备。
学习下一条信息
一旦我们拥有设备的完整BD_ADDR,捕获配对过程将使Ellisys软件能够学习缺失的部分。在配对期间,设备发现彼此的能力并交换有用的信息,以便嗅探器正确解码协议和配置文件。
配对对于确定链接**(Link Key)也很有用。如果是基于PIN码的配对,或者在调试模式下使用SSP配对,嗅探器将自动推倒出链接**(Link Key)。在其他情况下,需要将链接**输入 “安全(Security)” 窗格。
在这些步骤之后,涉及这两个设备的所有其他连接将由嗅探器完美地解码。嗅探器将记住显示有用信息所需的所有数据,包括用于解密数据的链接**(Link Key)。
不同的方法
上述步骤显然只是建议,可以使用各种其他方法。最重要的是要理解上面提到的设备信息只是为了解密数据并将其解码成各种协议。然而,对于捕获本身并不是必需的,因为全频带嗅探器能够在没有该信息的情况下捕获任何蓝牙分组。
另一个重要概念是Ellisys软件学习信息,然后将其存储在本地数据库以及捕获文件本身中。如果捕获时缺少某些信息,则抓包数据可能无法立即使用。然而,丢失的信息可能在稍后更新,并且一旦软件获知该信息,就可以成功地重新打开较旧的抓包数据。
我们举一个简单的例子。我们正在使用分析仪捕获两个全新的设备。这两个设备已经配对,我们不想重新配对。我们也不想进行查询,因此我们立即开始捕获连接。在这种情况下,Ellisys嗅探器只知道主设备的BD_ADDR而不知道其他内容,因此无法解密数据。我们保存这个捕获。然后我们进行第二次捕获,其中原来的从设备现在是主设备。此时我们知道两个设备的BD_ADDR,因此我们可以在提供链接**(Link Key)时解密数据。现在所有信息都已知,我们可以重新打开第一个捕获,这将被成功解密并解码,因为软件已经学习了所需的信息。新信息将保存在此抓包数据中,因此现在包含所需的所有信息。因此,可以与从未访问过实际设备的远程同事交换。
反馈
对我们的专家说明的反馈总是很感激。如需对本文提供任何形式的评论或批评,请随时通过[email protected]与我们联系。