蓝牙 - 抓包工具BPA600介绍

BPA 600开箱后，先把天线(antenna)装在后面的SMA接口上。

SMA connectors:

SMA（SubMiniature version A）连接器是在20世纪60年代开发的半精密同轴射频连接器，是一种用于同轴电缆的最小连接器接口，具有螺旋式耦合机制。该连接器具有50Ω的阻抗。SMA最初设计用于从直流（0Hz）到12GHz的范围，然而随着时间的推移，这个范围已经扩大，可以达到18GHz和26.5GHz。SMA连接器最常用于微波系统、手持式无线电和移动电话天线，最近还用于WiFi天线系统和USB软件定义的无线电加密狗。

Status LED：

有两个状态LED，LOW ENERGY和BR/EDR的灯。

LED Color	Frontline BPA 600 Activity
LED Off	设备未工作。
Green	设备正在主动sniffing，等待蓝牙设备连接。
Blue	蓝牙设备已连接。
Intermittent Blue (蓝灯闪烁)	正在监听蓝牙设备数据中。

将BPA 600和PC用USB线连接起来，用于通讯和供电。

有两个网口，IN和OUT，这个是用于和其他Frontline硬件的ProbeSync，用来共享clock，来保证精确的时间戳同步。

需要配合相应的软件，比如下载并安装exe文件：Frontline11.1-16.10.12321.12856_signed.exe

下载网站： http://www.fte.com

连接BPA 600硬件，打开ComProbe Protocol Analysis System软件后，运行后，如果设备的固件版本和软件工具版本不匹配，则会提示升级Firmware，当版本匹配后可正常使用。另外PC软件配套工具不是所有版本可用，而是根据你的设备的购买时间，购买之后一定时间内发布的工具才可用。所以要找对版本，新的可能是不能用的。还有，BPA 600在厂家产品系列里是已淘汰产品，有其他型号产品作为替代品。

数据抓取方法

安装TELEDYNE LECROY Frontline Protocol Analysis System软件后，运行ComProbe Protocol Analysis System.exe。

选择运行BPA 600。

控制窗口 Control Window:

分析仪在多个窗口中显示信息，每个窗口显示不同类型的信息。当在Select Data Capture Method（选择数据采集方法）窗口中单击Run（运行）按钮时，Control（控制）窗口打开。控制窗口提供对每个Frontline分析仪功能与设置的访问，以及对采集文件中数据的简要概述。工具栏上的每个图标代表一个不同的数据分析功能。

控制窗口的工具栏 Toolbar

所有的工具栏图标，都有相应的菜单栏条目或选项。

如上面的截图，各个工具栏图标的功能依次是：

打开一个capture file；

I/O设置；

开始抓取数据；

结束抓取数据；

保存capture file；

清除capture file；

Event显示；

Frame显示；

Notes对话框；

消息队列表；

窗口层叠排列；

数据包时间线；

。。。。

其他信息

在工具栏下面，是Configuration信息、Capture file和Status信息。

Status包括Not Active, Paused和Running。

Utilization/Events: 状态栏的后半部分给出了当前的利用率和网络上看到的事件总数。这是监控的事件总数，而不是捕获的事件总数。分析仪一直在监测电路，即使在没有主动捕获数据的时候。这些图表使你能够密切关注电路上发生的事情，而不需要你捕捉数据。

Frame Information on the Control Window：Frame Decoder信息在Control Window的最下面。显示两个信息(It displays two pieces of information).

Frame Decoder (233 fps) 表示每秒钟抓取的数据帧。

#132911表示抓取的总数据帧数。

100%表示缓冲空间的使用率。

根据是在实时抓取数据，还是在查看保存的cfa文件，Control Window的菜单可能不同。

抓取数据

下面的Devices Under Test窗口，用来设置分析仪需要的信息，以使其能够与piconet同步和抓取数据。

为了一开始蓝牙设备连接后，就能和其保持同步，协议分析仪需要蓝牙地址和时钟同步所用方法，然后才能对蓝牙通讯数据进行sniff。

可以选择BLE only，Classic only Single connection，Classic Only Multiple connections, Dual Mode Combination of Classic and low energy。

也就是监听的数据是两个BLE设备连接，两个Classic蓝牙设备连接，一个经典蓝牙master和两个slave连接，一个dual mode蓝牙设备同时和classic及BLE设备连接。

指定要抓取数据的设备时，可以手动直接输入设备地址，12位16进制数，也可以在下拉列表里选择。下拉列表里的设备可以点击工具栏的望远镜图标来进行扫描，来发现周围的设备。或者在菜单中选择BPA 600->Discover Devices。

抓取经典蓝牙数据，选择蓝牙设备时，不需要指定Master或Slave角色，所有的经典蓝牙连接都是角色无关的roleless。如上图。

当开始连接受，中间的箭头会显示连接的方向。比如下图，显示的就是手机作为Master连接一个外放Speaker的Slave：

下面是手机，上面是speaker。

如果Master和Slave的角色发生更换，则箭头方向也会发生变化。

抓取的数据被称为Datasource，使用Start Sniffing按钮开始抓取数据。

Channel Map (Classic Bluetooth)

Channel Map显示了哪些通道是可以用于Adaptive Frequency Hopping。

如下图：

这里白色表示通道可用，红色表示通道不可用，蓝色表示在此通道上捕捉到数据包。

当有通道从不可用变为可用，会reset此通道显示图，或者点击clear按钮，清除当前通道状态，全部变为白色。

如果是LE Only的监听方式，通道显示图是不可用的。

BPA 600 Devices Under Test - LE Only

Configure the BPA 600 protocol analyzer for sniffing Bluetooth low energy communications.

LE设备下拉列表里的默认选项是Sync with First Master。按下红色按钮开始sniffing后，分析仪会抓取第一个创建连接master设备的数据。如果要抓取广播通讯和连接数据(advertising traffic and the connections)，需要指定设备地址。

输入设备地址，12位的hex number(digit hex number - 6 octets)。“0x”前缀会自动添加。

如果设备地址被识别了，下一步就是要设置加密信息。

Enter the Long Term Key for the LE Encryption：BLE中的Long Term Key和Classic中的Link key是类似的。这是个持久密钥(persistent key)，在连接OK的两个设备上都会存储。并在每次设备加密时用于导出一个新的加密密钥(encryption key)。

但有一些区别：

在经典蓝牙中，链接密钥更具两个设备的输入来生成，并由两个设备以相同的方式独立计算，然后持久地存储。在配对过程中，链接密钥本身不会在空中传输。

在LE中，长期密钥只在从属(slave)设备上产生，然后在配对过程中，被分配给想要在未来与该从属设备建立加密连接的主设备。因此，LTK在空中传输，但它是被加密的，使用的是在配对过程中产生的一次性(one-time key)密钥进行加密，并在使用之后丢弃（所谓的短期密钥 the so called short term key）。

与link key不同，这个LTK是有方向性的，也就是说(i.e.)，它只用于从master到slave的连接（指配对过程中设备的角色）。如果设备在将来也想以另一种方式连接，那么在配对过程中处于master角色的设备（在配对过程中）也需要在配对过程中向处于slave角色的设备发送它自己的长期密钥（当然也要用short term key进行加密），这样在配对过程中处于从角色的设备在将来就可以成为主角色，并连接到在之前配对过程中处于主角色的设备（但此时会处于从角色）。

由于大多数简单的LE设备只做过从属设备，根本没有做过主设备，所以在配对过程中，第二次长期密钥交换是可选的。

当使用Copy/Paste来输入LTK时，Frontline会自动纠正格式，去除多余的空格。

Enter a Pin or out-of-band(OOB) value for Pairing: 这个可选信息提供了备选的配对方法。

1. PIN是一个(six-digit)六位数（如果省略前面的零，则更少 - or less if leading zeros are omitted）的十进制数字。

2. Out-of-Band（OOB）数据是一个16位数的十六进制代码，设备通过一个不同于LE传输的通道进行交换。这个通道被称为OOB。对于现成(off-the-shelf)的设备，我们不能嗅到OOB数据，但在实验室里，你可能会接触到通过这个通道交换的数据。

BPA 600 Devices Under Test - Classic Single Connection

可以手动输入蓝牙设备地址，或者在下拉列表中选择。Bluetooth device address，BD_ADDR。

手动输入的地址，也会添加到Device Database中，显示在下拉列表中。

在设备地址指定后，下一步要设定加密方式(Encryption)，需要选择一种加密，然后输入加密的信息。

Current Link Key字段显示当前提供的链接密钥Link Key以及提供密钥时的日期和时间。链接钥匙的状态以下列图标显示：

蓝牙设备在通信时可以对其数据进行加密。加密链接上的蓝牙设备共享一个共同的链接密钥，以便交换加密数据。该链接密钥的创建方式取决于所使用的配对方法。

在I/O Settings对话框，有三种加密选项：

a. PIN Code (ASCII)

b. PIN Code (Hex)

c. Link Key

o 第一个和第二个选项使用PIN码来生成链接密钥。设备在配对过程中根据PIN码生成链接密钥。从这个过程中产生的链接密钥还需要基于一个随机数，所以安全性不会受到影响。如果分析器得到了PIN码，它可以用同样的算法确定链路密钥。由于分析器也需要随机数，分析器必须捕获整个配对过程，否则它不能生成链路密钥和解码数据。

例子：

如果ASCII字符PIN码是ABC，你选择输入ASCII字符，那么从加密下拉列表中选择PIN码（ASCII），在下面的字段中输入ABC。

如果您选择输入相当于ASCII字符PIN码ABC的十六进制字符，那么从加密下拉列表中选择PIN码（十六进制），并在该字段中输入0x414243。其中41相当于字母A的十六进制，42相当于字母B的十六进制，43相当于字母C的十六进制。

注意：当PIN码（十六进制）从加密下拉列表中被选中时，0x前缀会自动输入。

o 第三种，如果你事先知道链接密钥，你可以直接输入它。在加密列表中选择链接密钥，然后在编辑框中输入链接密钥。如果链接密钥已经在数据库中，在选择了Master和Slave设备后，链接密钥会自动输入编辑框中。你也可以从设备数据库中选择一个Master、Slave和链接密钥Link Key。

注意：当设备处于Secure Simple Pairing (SSP) Debug Mode时，无论加密配置如何，都会自动支持SSP。

o 如果任何一个蓝牙设备处于SSP Debug Mode，那么DPA 600分析仪可以自动计算出链路密钥，而你不必做任何事情。

o 如果蓝牙设备不允许启动调试模式(Debug Mode)，就需要输入链接密钥，按照上面方法或使用其他方法来获得Link Key。

BPA 600 Devices Under Test - Dual Mode