在物联网高速发展的今天,蓝牙(Bluetooth)已经成为了应用最广泛的短距离无线通信协议。在蓝牙家族中,BLE(Bluetooth Low Energy)由于其低功耗的特性,备受各种智能设备的青睐。BLE也因此在蓝牙家族中占据了举足轻重的地位。目前针对BLE的攻防研究大多集中于破解消费级智能设备和挖掘操作系统的BLE协议栈漏洞,而针对BLE链路层本身的攻防研究则十分罕见,相关的工具仅有GitHub用户virtualabs于DEF CON 26上发布的BtleJack。首先指出BtleJack难以劫持连接参数更新频繁的BLE连接,并分析出导致该问题的原因是该工具在逆向BLE连接参数时花费的时间过长。然后,阐述了逆向已建立BLE链路层连接的方法,并相对BtleJack优化了嗅探access address、破解CRCInit和破解hop increment的效率。其中对于access address使用了快速切换信道的方法提高其嗅探效率;对于CRCInit引入了pseudo CRCInit提高其破解效率;对于hop increment使用了troikas(从下位机转移至上位机的LUT)提高其破解效率。接着基于逆向BLE链路层连接得到的连接参数,提出先阻断BLE链路层master与slave间的双向通信链路,再接管BLE设备的攻击方法。其中阻断连接的核心思想是使用恶意数据填满目标BLE连接的跳频信道。在接管BLE设备时,阐述了在匿名状态下识别目标BLE设备的方法,以及接管目标设备GATT服务器的方法。最后,设计并完成了4个用于量化效率提升程度和验证攻击方法有效性的实验。最终的实验结果表明,优化后的方案相对于BtleJack在嗅探access address的效率上提升了约80.91%;在破解CRCInit的效率上提升了约52.17%;在破解hop increment的效率上提升了约21.68%。同时,实验结果也证明了先阻断BLE链路层连接,再接管BLE设备的攻击方法是有效的。