广播数据包是平时工作中使用BLE时最经常用到的，任何设备要发起广播，就要在RF通道上发出广播数据包，广播数据包包含很多种类型的数据，这些数据都是很重要。早几年飞哥接触蓝牙的时候，学习起来非常累，这里总结一下，希望对其他人有所帮助。

一 、广播数据包

BLE广播数据包是在广播通道（37、38、39三个通道）发出的，数据包格式如图1-1所示，由2字节的包头和1-255字节的有效数据组成。

图1-1 BLE广播数据包格式

BLE广播数据包包头格式如图1-2所示。

图1-2 包头格式

其中“PDU Type”字段表示广播包的类型，长度4个bit，图1-3列出了所有广播类型。

图1-3 广播类型

实际工作中用的较多的是ADV_IND、ADV_DIRECT_IND、SCAN_REQ、SCAN_RSP。

“RFU”字段未定义，用来以后协议拓展用，长度1个bit。

“ChSel”字段是通道选择，长度1个bit。

“TxAdd”字段是广播设备地址类型，长度1个bit。

“RxAdd”字段是目标设备地址类型，长度1个bit。

“Length”字段是广播包净荷的长度，长度1个字节。

二、ADV_IND 普通广播包

ADV_IND包净荷格式如图2-1所示，由6字节的地址和0-31字节的数据组成。特别注意，AdvData不能超过31个字节，否则开启广播会有问题。

图2-1 ADV_IND净荷

AdvData由多个元素组成，每个元素由“长度”、“类型”、“数据”三部分组成，如图2-2所示。

图2-2 AdvData格式

下面看一个ADV_IND例子，图2-3展示了一个完整的普通广播数据包。

图2-3 ADV_IND包

依次点击左侧描述，在右侧可以看到对应的数值。

(1) PDU Type为0000b，表示广播包类型为ADV_IND，如图2-4所示。

图2-4 PDU Type

(2) ChSel字段为0b，表示不支持通道选择，如图2-5所示。

图2-5 通道选择

(3) TxAdd字段为0b，表示广播设备地址类型是public，如图2-6所示。

图2-6 广播设备地址类型

(4) Length地段为0x23(35)，表示广播数据包净荷长度为35个字节，如图2-7所示。

图2-7 净荷长度

(5) AdvA字段为0xa4c1382e6f3c，是广播设备的地址，如图2-8所示。

图2-8 广播设备地址

(6) AdvData字段为广播地址后面的29个字节，是广播包携带的信息，如图2-9所示。

图2-9 广播数据

一般AdvData都会包含“Device Name”、“Flags”、“Appearance”、“UUID”，在图2-3中可以看到这些元素。设备名就是我们搜索设备时看到的名字；Flags是标识发现模式和是否使用BR/EDR的；外观是定义该产品的类型，如键盘、鼠标、遥控器等等；UUID一般用来标识设备使用哪些属性。

这里着重说一下AdvData中比较重要的一种数据类型——“Manufacturer Specific”，如图2-10所示。

图2-10 厂商自定义数据

该元素的长度为0x05；类型为0xff，表示后面的数据是厂商自定义数据；附加数据为0x0004005d，其中0x005d是厂商的ID（此处代表Realtek），0x0004为厂商自定义的用于某种用途的数据。

因为很多时候，远程主机端可以根据这些数据去判断是否是他们想要连接的设备，一旦这些数据符合他们的要求，就发起连接，这样就不需要人为搜索再连接了，整个配对过程可以自动完成。比如，电视机连接遥控器、小米运动APP连接小米手环，等等。当然，有的主机设备会检查所有的AdvData，而不仅仅是厂商自定义数据。

AdvData有很多种类型，具体可以参考飞哥从官网摘录出来的文件，链接：https://pan.baidu.com/s/13Q1MQf3xV_RcxnLTDbTNuw 密码：403s。

三、ADV_DIRECT_IND 直连广播包

ADV_DIRECT_IND包净荷格式如图3-1所示，由6字节的广播设备地址和6字节的目标设备地址组成。

图3-1 ADV_DIRECT_IND净荷

下面看一个ADV_DIRECT_IND例子，图3-2展示了一个完整的直连广播数据包。

图3-2 ADV_DIRECT_IND包

(1) PDU Type字段为0001b，表示广播包类型为ADV_DIRECT_IND，如图3-3所示。

图3-3 PDU Type

(2) ChSel字段为0b，表示不支持通道选择，如图3-4所示。

图3-4 通道选择

(3) TxAdd字段为0b，表示广播设备地址类型是public，如图3-5所示。

图3-5 广播设备地址类型

(4) RxAdd字段为0b，表示目标设备地址类型是public，如图3-6所示。

图3-6 目标设备地址类型

(5) Length地段为0x0c(12)，表示广播数据包净荷长度为12个字节，如图3-7所示。

图3-7 净荷长度

(6) AdvA字段为0xa4c1382e6f3c，是广播设备的地址，如图3-8所示。

图3-8 广播设备地址

(7) TargetA字段为0x84a6c8c06bdc，是目标设备的地址，如图3-9所示。

图3-9 目标设备地址

四、SCAN_REQ和SCAN_RSP

(1) SCAN_REQ 扫描请求

SCAN_REQ包净荷格式如图4-1所示，由6字节的扫描设备地址和6字节的广播设备地址组成。

图4-1 SCAN_REQ净荷

远程发起连接的设备，搜索到周围正在广播的设备后，一般会发送扫描请求。

图4-2展示了一个完整的SCAN_REQ包。这里不详细看每个字段的值了，可参考二、三章节中的分析。

图4-2 SCAN_REQ包

(2) SCAN_RSP 扫描响应

SCAN_RSP包净荷格式如图4-3所示，由6字节的广播设备地址和0-31字节的扫描响应数据组成。

图4-3 SCAN_RSP净荷

SCAN_RSP包中的ScanRspData与ADV_IND包中的AdvData格式一样。当广播设备接收到其它设备发来的SCAN_REQ包后，一般会回复SCAN_RSP包。

图4-4展示了一个完整的SCAN_RSP包。

图4-4 SCAN_RSP包

此例子中ScanRspData只携带了设备名信息，为什么要这样做呢？因为前面说过AdvData最大不能超过31个字节，如果设备名以外的数据很多，那么在AdvData中可以使用短名字，比如就用一两个字节，这样总数据长度就不会超过31个字节。但是实际别人扫描并显示出来的设备名却是比较长的名字，这就是通过SCAN_REQ包发起扫描请求，并从SCAN_RSP扫描响应包中获取的名字。

最后，给出一个空中抓取的数据包，有需要的同学可以下载看看，链接：https://pan.baidu.com/s/187yKiBQyqfifST4j3Oudmw 密码：9ud6。要打开这个抓包文件，要用Frontline官方软件，链接：https://pan.baidu.com/s/1_aBeEwQwJToDCDfwbc-QBQ 密码：pm7t。