使用 Pyspinel 进行数据包嗅探

在 GitHub 上查看源代码

本指南介绍了如何配置 Wireshark 和运行 Pyspinel 以从 Thread 网络嗅探数据包。

如需使用 Wireshark extcap 插件进行嗅探，请参阅使用 extcap 进行数据包嗅探。

设置嗅探器环境

开始之前，请完成以下步骤：

• 查看数据包嗅探要求。
• 安装和配置 Wireshark。
• 在没有 extcap 的情况下安装 Pyspinel 和依赖项。

构建嗅探器

使用 ot-rcp 二进制文件输出构建并刷写一个 NCP 设备作为嗅探器。

北欧 nRF52840

要设置 Nordic nRF52840 示例以用作嗅探器，请克隆 openthread/ot-nrf528xx 并设置构建环境：

git clone https://github.com/openthread/ot-nrf528xx --recursive
./script/bootstrap

将波特率设为 460800。在 src/nrf52840/transport-config.h 中找到 #define UART_BAUDRATE NRF_UARTE_BAUDRATE_115200 这一行，并将其替换为 #define UART_BAUDRATE NRF_UARTE_BAUDRATE_460800。

构建二进制文件：

./script/build nrf52840 UART_trans

将 ot-rcp 二进制输出转换为十六进制：

arm-none-eabi-objcopy -O ihex build/bin/ot-rcp ot-rcp.hex

如刷写 nRF52840 中所述，将 ot-rcp.hex 文件刷写到 nRF52840 开发板。

在 nRF52840 上停用大容量存储设备 (MSD)，以避免在使用调试端口时发生数据损坏或数据丢失问题：

expect <<EOF
spawn JLinkExe
expect "J-Link>"
send "msddisable\n"
expect "Probe configured successfully."
exit
EOF

spawn JLinkExe
SEGGER J-Link Commander V6.42b (Compiled Feb  5 2019 17:35:31)
DLL version V6.42b, compiled Feb  5 2019 17:35:20
 
Connecting to J-Link via USB...O.K.
Firmware: J-Link OB-SAM3U128-V2-NordicSemi compiled Jan  7 2019 14:07:15
Hardware version: V1.00
S/N: 683411111
VTref=3.300V
 
Type "connect" to establish a target connection, '?' for help
J-Link>msddisable
Probe configured successfully.

线程网络属性

在继续操作之前，请获取您想嗅探的 Thread 网络的以下属性。您需要使用它们进行 Wireshark 配置并运行 Pyspinel Sniffer。

网状本地前缀

如需从目标线程网络中的设备获取 Mesh Local 前缀，请执行以下操作：

1. 使用 OpenThread CLI：

   dataset active
   Mesh Local Prefix: fd33:3333:3344:0/64
   

2. 将 wpanctl 与 NCP 搭配使用：

   wpanctl getprop IPv6:MeshLocalPrefix
   IPv6:MeshLocalPrefix = "fd33:3333:3344:0::/64"
   

3. 使用 OTBR 网络 GUI，选择状态。Mesh 本地前缀列为 IPv6:MeshLocalPrefix，类似于 wpanctl。

（按频道）

如需从目标线程网络中的设备获取渠道，请执行以下操作：

1. 使用 OpenThread CLI：

   channel
   15
   

2. 将 wpanctl 与 NCP 搭配使用：

   wpanctl getprop NCP:Channel
   NCP:Channel = 15
   

3. 使用 OTBR 网络 GUI，选择状态。与 wpanctl 类似，该频道列为 NCP:Channel。

网络密钥

Wireshark 会使用 Thread Network Key 来解密捕获后的数据包。如需从目标线程网络中的设备获取网络密钥，请执行以下操作：

1. 使用 OpenThread CLI：

   networkkey
   33334444333344443333444433334444
   

2. 将 wpanctl 与 NCP 搭配使用：

   wpanctl getprop Network:Key
   Network:Key = [33334444333344443333444433334444]
   

OTBR 网络 GUI 中不提供线程网络密钥。

Sniffer 选项

选项
-u or --uart	默认值 无 - 如果您使用的串行连接不是套接字连接，则必须提供此字段。 说明 -u 或 --uart 标志，后跟设备路径，例如 /dev/ttyUSB0。
-c or --channel	默认值 11 说明 -c 或 --channel 标志，后跟在线程网络上配置的通道，以嗅出数据包。
--no-reset	默认值 此标志会替换默认行为。 说明 如果您的 NCP 设备使用原生 USB 连接连接到主机，则需要使用 --no-reset 标志。
--crc	默认值 此标志会替换默认行为。 说明 TI 和北欧半导体线程板等平台需要使用 --crc 标记。该标志会重新计算 CRC，以避免 Wireshark 中出现“FCS 错误”（帧检查序列）。
-b or --baudrate	默认值 115200 说明 -b 或 --baudrate 标志用于替换默认波特率。将该值设置为与 NCP build 相同的波特率（我们建议使用 460800）。
--rssi	默认值 此标志会替换默认行为。 说明 --rssi 标志用于确保 RSSI 包含在 pcap 输出中。如果在 Wireshark 中启用了 TI CC24xx FCS 格式选项，则必须使用此标记。
--tap	默认值 此标志会替换默认行为。 说明 --tap 标志为帧格式指定 DLT_IEEE802_15_4_TAP(283)，其中伪标头包含带有元数据（例如 FCS、RSSI、LQI、频道）的 TLV。如果未指定，则默认使用 DLT_IEEE802_15_4_WITHFCS(195) 以及 PHY 帧之后的额外 RSSI 和 LQI，如 TI CC24xx FCS 格式。如果在 Wireshark 中启用了 ITU-T CRC-16 选项，则必须使用此标记。如果 Wireshark 中未启用该选项，请勿使用此标记。

运行嗅探器

确保为 NCP 使用特定的设备路径，并为您尝试嗅探的 Thread 网络使用通道。

如果按照本指南操作，nRF52840 DK 应通过调试端口连接到宿主机，如刷写 nRF52840 中所述。如需运行 Pyspinel Sniffer，请使用 -b 标志指定波特率（如果已更改默认值），并省略 --no-reset 标志。

如果您配置 Wireshark 以显示 RSSI，则在运行嗅探器工具时还必须添加 --rssi 标志。例如，如需使用装载在 /dev/ttyACM0 且 Wireshark 输出中包含的 RSSI 的设备嗅探第 15 频道，请执行以下操作：

cd path-to-pyspinel
python sniffer.py -c 15 -u /dev/ttyACM0 --crc --rssi -b 460800 | wireshark -k -i -

现在，您应该能够在 Wireshark 中查看此配置的数据包和相关协议：

如需详细了解如何运行 Pyspinel Snifer，请参阅 Spinel Snifer 参考文档。

原生 USB 连接

使用 nRF52840 DK USB 端口需要使用 USB_trans 构建 OpenThread ot-rcp 二进制文件：

./script/build nrf52840 USB_trans

刷写 nRF52840 DK，通过 USB 端口将其连接到宿主机，然后使用 --no-reset 标志，但在运行嗅探器时省略 -b 标志：

python sniffer.py -c 15 -u /dev/ttyACM0 --crc --no-reset --rssi | wireshark -k -i -

资源

如需了解其他北欧工具，请参阅北欧半导体 - 基于 nRF52840 和 Wireshark 的线程嗅探器。