本文中的分析与软件相关的内容,都是以WinCE中的 Microsoft Bluetooth Core Stack为例进行分析;与协议有关的内容,是基于Bluetooth Core 2.1 + EDR Spec进行分析。
1. 如何获取L2CAP包
- 从HCI_ReadPacket()/HCI_WritePacket()中截获
在HCI_ReadPacket()/HCI_WritePacket()中判断eType为2的即是ACL-u数据,也即L2CAP数据。
ACL-u包中包括了Connection Handle,Flag,Data Length以及Data Domain,如下图所示:
其中,Data Domain即是L2CAP包的数据。
- 从MS-Stack中获取
编译Debug版本的MS-Stack,即btd.dll,并打开Debug Zone DEBUG_L2CAP_PACKETS,即可以截取到L2CAP的数据。
|
#define DEBUG_L2CAP_PACKETS 0x00040000 |
一个MS-Stack中截获的L2CAP数据形如:
2. 如何分析L2CAP包
L2CAP是基于Packet进行数据传输的,其传输模型基于Channel。 Channel Identifier(CID)的分类如下图所示:
可以将Channel理解为USB协议中的Endpoint,不同的Channel用做不同的传输,总体上可以分为Connection-oriented channel,Connectionless data channel和Singling Channel,如下图所示:
2.1 Signaling Packet分析
- 如何判别一个包为Signaling Packet
如果L2CAP包的CID为0x0001,则该包即为Signaling Packet。
- Signaling包的结构
如下:
其中Commands域的格式如下:
上面的Code域可能的值如下:
- 各个Code的具体分析方式
可以参照BlueCore Spec中有关各个Code的详细格式来对数据进行分析,以Disconnection Request为例,分析如下:
Destination CID - DCID (2 octets)
This field specifies the endpoint of the channel to be disconnected on the
device receiving this request.
Source CID - SCID (2 octets)
This field specifies the endpoint of the channel to be disconnected on the
device sending this request.
Identifier:
该域为1字节长,Request和Response中的该值是一样的,用来在一对设备之间进行通信的时候判别使用。每一组连续的Response-Request命令都必须有一个不一样的Identifier,长度为2个字节。在其它的通信协议中也经常会存在一个类似的Identifier,显然,0~0xff用完的时候,可以回收之前用过的值。
2.2 分析Data Packet
- 如何判别一个包为Data Packet
Data Packet包括Connection-oriented和Connectionless data两种,它们的CID范围不一样,可以通过CID来进行区分。如果CID为0x2,则是Connectionless data,如果介于0x40和0xfff之间,则为Connection-oriented data Packet。
- Data Packet的结构
两者的结构分别如下图所示:
Connection-oriented结构如下图:
Connectionless结构如下图:
可以看到,Connection-oriented Frame包括三种,Basic Frame(B-FRAME),Supervisory Frame(S-FRAME)和Information Frame(I-FRAME)。通过Control域中的Bit0来区分S-FRAME和I-FRAME,即Bit0=0为I-FRAME,为1是S-FRAME。
那么,如何来区分B-FRAME呢?这些就留到以后进行深究吧!
