在尝试研究BLE时，我想知道是否可以通过Wireshark和snort之类的工具对其进行分析？我碰到一个名字叫“ ubertooth”的东西，但这是一个USB设备，需要购买它才能使我们在BLE框架上进行DPI，对吗？是否可以在Wireshark上捕获和分析BLE帧？

是的，可以使用wireshark分析BLE数据包，但是您将需要其他硬件。嗅探连接需要蓝牙芯片组内部实现的基带层的支持。计算机内部芯片组的软件不支持嗅探，因此您需要另一个可以控制其软件的芯片组。

我使用的是nRF51 Dongle，这是用于Nordic Semi的BLE + Cortex M0 SoC nRF51的开发套件。 Nordic为该板提供固件，从而将其转变为嗅探器。他们还为Windows提供了一个应用程序，可通过USB与该固件进行通信以获取嗅探数据，并以Wireshark可以理解的方式对其进行格式化。

如果您使用的是Windows，则可以使用the tools provided by Nordic on this page，然后按照《用户指南》中的说明进行操作。

Edit 2018-10：Nordic已发布Beta版Mac和Linux应用程序以支持其嗅探器，因此本文的其余部分不再需要。您可以download the new tool here。

然后，一切正常，然后将数据包传递到Wireshark时，您可以使用所有很棒的Wireshark内置过滤器用于蓝牙和BLE：btatt，btl2cap，btle，...



原始帖子

如果像我一样，您使用的是Mac，则需要：


RKNRFGO编程自定义固件
nrf-ble-sniffer-osx与之通信并将数据包通过管道传送到Wireshark。


nrf-ble-sniffer-osx Wiki解释了如何设置。感谢Roland King制作了这些工具。

Mac设置的两个重要警告：


在nrf-ble-sniffer-osx之前安装Wireshark。这是因为nrf-ble-sniffer-osx需要为Wireshark安装一些其他过滤器，以便它可以解码Nordic固件添加到数据包的标头，并且如果以后安装Wireshark也不会这样做。
使用Wireshark版本1.12。在撰写本文时，没有新版本可用于此设置。是的，这意味着您必须使用XQuartz。


如果您使用的是Linux，请it looks like it's also possible to use this dongle，但是我还没有尝试过。