我正在尝试使用tcpdump从蓝牙(BT)协议中嗅探 POLL / NULL 数据包。
据我所知,POLL / NULL数据包是主设备和从设备之间发送的数据包(ACL?),用于跟踪连接同步信息(时钟漂移,抖动,增量等)如果我在两个设备之间创建了一个l2cap连接,我不发送任何数据包,我希望无论如何都能看到这些数据包。 (它是否正确?)
我用tcpdump嗅探BT流量,但我看不到任何数据包捕获,但数据包通过l2cap层发送。
这些数据包是由BT无线电芯片在“线路”级别生成的,所以tcpdump无法捕获它们吗?
非常感谢 塞尔吉奥
P.S。这是我正在使用的tcpdump命令:
的 sudo ./tcpdump -n -s0 -tt -vv -i bluetooth0 -w bt_tcpdump.pcap
答案 0 :(得分:1)
POLL / NULL数据包在链路层中以非常低的级别进行交换。发送和接收这些数据包是由您的蓝牙硬件设备自动完成的。这些数据包永远不会通过主机控制接口(HCI)传递到主机软件堆栈,因此您无法通过软件嗅探它们。要嗅探此流量,需要使用外部蓝牙嗅探器来捕获无线流量。
为什么要嗅探POLL / NULL数据包?