需求

监听通过网卡的所有mysql流量,进行解析,可在不影响现有业务情况下,进行入侵检测(IDS)或数据集成

协议要点

起初发现 用mysql-front访问数据库和mysql 的客户端访问时数据包格式不同,纠结很久,不明白,mysql-front源码看了眼,delphi,不懂,弃

压缩解析

当链接mysql时,若启用-C参数表示,对于连接数据启用压缩,压缩格式为zlib

mysql的压缩函数为:

 // mysql-source/mysys/my_compress.c

 my_bool my_compress(uchar *packet, size_t *len, size_t *complen)

 {

   DBUG_ENTER("my_compress");

   if (*len < MIN_COMPRESS_LENGTH)

   {

     *complen=;

     DBUG_PRINT("note",("Packet too short: Not compressed"));

   }

   else

   {

     uchar *compbuf=my_compress_alloc(packet,len,complen);

     if (!compbuf)

       DBUG_RETURN(*complen ?  : );

     memcpy(packet,compbuf,*len);

     my_free(compbuf);

   }

   DBUG_RETURN();

 }

 uchar *my_compress_alloc(const uchar *packet, size_t *len, size_t *complen)

 {

   uchar *compbuf;

   uLongf tmp_complen;

   int res;

   *complen=  *len *  /  + ;

   if (!(compbuf= (uchar *) my_malloc(key_memory_my_compress_alloc,

                                      *complen, MYF(MY_WME))))

     return ;                    /* Not enough memory */

   tmp_complen= (uint) *complen;

   res= compress((Bytef*) compbuf, &tmp_complen, (Bytef*) packet, (uLong) *len);

   *complen=    tmp_complen;

   if (res != Z_OK)

   {

     my_free(compbuf);

     return ;

   }

   if (*complen >= *len)

   {

     *complen= ;

     my_free(compbuf);

     DBUG_PRINT("note",("Packet got longer on compression; Not compressed"));

     return ;

   }

   /* Store length of compressed packet in *len */

   swap_variables(size_t, *len, *complen);

   return compbuf;

 }

其中第35行调用了zlib中的compress()函数,但是该处仅对compress()进行了封装,并没有协议解析部分,我们继续往下看。

整个项目寻找目标代码比较费劲,可以先在头文件中寻找关键信息,于是找到了下面的代码

// mysql-source/include/sql_state.h
{ ER_NET_UNCOMPRESS_ERROR                 ,"08S01", "" }

这是在mysql在解析压缩的数据时如果出错的提示信息和错误码,依次可以查找其引用,发现了真正的数据包压缩代码

 // mysql-source/sql/net_serv.cc

 static uchar *

 compress_packet(NET *net, const uchar *packet, size_t *length)

 {

   uchar *compr_packet;

   size_t compr_length;

   const uint header_length= NET_HEADER_SIZE + COMP_HEADER_SIZE;

   compr_packet= (uchar *) my_malloc(key_memory_NET_compress_packet,

                                     *length + header_length, MYF(MY_WME));

   if (compr_packet == NULL)

     return NULL;

   memcpy(compr_packet + header_length, packet, *length);

   /* Compress the encapsulated packet. */

   if (my_compress(compr_packet + header_length, length, &compr_length))

   {

     /*

       If the length of the compressed packet is larger than the

       original packet, the original packet is sent uncompressed.

     */

     compr_length= ;

   }

   /* Length of the compressed (original) packet. */

   int3store(&compr_packet[NET_HEADER_SIZE], static_cast<uint>(compr_length));

   /* Length of this packet. */

   int3store(compr_packet, static_cast<uint>(*length));

   /* Packet number. */

   compr_packet[]= (uchar) (net->compress_pkt_nr++);

   *length+= header_length;

   return compr_packet;

 }

从8-19行可以看到,压缩数据的组包过程,前面分别加了NET_HEADER_SIZE + COMP_HEADER_SIZE 长的控制字段

查找该宏,发现其定义如下

 // mysql-source/include/mysql_com.h

   /* Constants when using compression */

 #define NET_HEADER_SIZE 4        /* standard header size */

 #define COMP_HEADER_SIZE 3        /* compression header extra size */

NET_HEADER_SIZE 字段中 长度字段存储 数据部分 未解压时的长度

COMP_HEADER_SIZE 字段是用来存储  解压后的 数据的长度,我们可以依次申请内存,然后调用zlib对压缩内容进行解析即可。

如果不分析直接进行对wireshark抓到的数据进行zlib解析的话,由于控制字段的存在会解压缩失败,在python中的报错如下

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

zlib.error: Error -3 while decompressing data: incorrect data check

起初看到这个错误很头痛也不想看zlib解析细节,才有了从mysql找原因的本文,现在可以记录zlib 压缩字符串的开头常常是\x78\x9c,出现同样错误的可以看看是否正确

Mysql 协议嗅探的更多相关文章

  1. 基于MySQL协议的数据库中间层项目Atlas - 360团队

    一.简介 Atlas是由 Qihoo 360公司Web平台部基础架构团队开发维护的一个基于MySQL协议的数据中间层项目.它在MySQL官方推出的MySQL-Proxy 0.8.2版本的基础上,修改了 ...

  2. MySQL协议分析

    MySQL协议分析 标签: mysql 2015-02-27 10:22 1807人阅读 评论(1) 收藏 举报  分类: 数据库(19)    目录(?)[+]   1 交互过程 MySQL客户端与 ...

  3. TiDB:支持 MySQL 协议的分布式数据库解决方案

    [编者按]TiDB 是国内 PingCAP 团队开发的一个分布式 SQL 数据库.其灵感来自于 Google 的 F1,TiDB 支持包括传统 RDBMS 和 NoSQL 的特性.在国内 ITOM 管 ...

  4. MySQL协议分析2

    MySQL协议分析 议程 协议头 协议类型 网络协议相关函数 NET缓冲 VIO缓冲 MySQL API 协议头 ● 数据变成在网络里传输的数据,需要额外的在头部添加4 个字节的包头. . packe ...

  5. MySQL协议学习(1):准备工作

    MySQL Client/Server协议 准确的说应该是MySQL Client/Server协议,另一个叫X Protocol的暂不涉及.地址如下:MySQL Client/Server Prot ...

  6. mixer: mysql协议分析

    综述 要实现一个mysql proxy,首先需要做的就是理解并实现mysql通讯协议.这样才能通过proxy架起client到server之间的桥梁. mixer的mysql协议实现主要参考mysql ...

  7. mysql 协议分析

    MYSQL Binlog协议分析 此处不讨论建立连接,验证和handshake的交互协议 Binlog协议 一个MYSQL 通信包由包头包体组成 包体根据具体的交互协议有自身的组成结构, 在binlo ...

  8. mysql协议简析

    前言 如果要在命令行中连接mysql,最常用的便是 mysql -u root -p 这样指定用户名和密码 当然还可以使用远程连接 mysql -h 127.0.0.1 -u root -p 还有一种 ...

  9. MySQL协议分析(2)

    MySQL协议分析(2) 此阶段是在压缩传输无加密条件下进行的协议分析 思路 结合Oracle官网的说明和自己用wireshark加python进行数据包分析 步骤 客户端与服务器端是否压缩的协商阶段 ...

随机推荐

  1. 编译安装httpd 2.4

    author:JevonWei 版权声明:原创作品 官方网站下载httpd2.4.apr及apr-util的相关软件包,并传输到centos 7系统中的/usr/local/src(apr1.6版本过 ...

  2. .NET技术基础总结 ----第一章

    . 一..NET定义 很多人常说我是做.NET开发的,但是,NET到底是什么呢?是一个开发工具?还是一个平台?或者是一个软件环境? 其实,我觉得吧,他是一种概念.一种构想吧.微软的产品发布会上,主持人 ...

  3. input长度随输入内容动态变化 input光标定位在最右侧

    <input type="text" onkeydown="this.onkeyup();" onkeyup="this.size=(this. ...

  4. python __name__ 变量的含义

    python __name__ 变量的含义 if __name__ == '__main__': tf.app.run() 当python读入程序时,会初始化一些系统变量.如果当前程序是主程序,__n ...

  5. 【Alpha】——Seventh Scrum Meeting

    一.今日站立式会议照片 二.每个人的工作 成员 昨天已完成的工作 今天计划完成的工作 李永豪 将项目做成APK 用户界面改善 郑靖涛 协助设计账目一览表板块 用户界面改善 杨海亮 查询功能测试 用户界 ...

  6. 201521123039 《java程序设计》第七周学习总结

    1. 本周学习总结 2. 书面作业 ArrayList代码分析 1.1 解释ArrayList的contains源代码 答:ArrayList的Contains的源码如上图所示,如果o为null,那么 ...

  7. 201521123110 《Java程序设计》第7周学习总结

    1. 本章学习总结 2. 书面作业 1.ArrayList代码分析 1.1 解释ArrayList的contains源代码 public boolean contains(Object o) { re ...

  8. 201521123065《Java程序设计》第2周学习总结

    1.本周学习总结 字符串创建后是不可变的,可以使用加号进行字符串之间的拼接. 使用for循环对字符串进行修正会不断产生新的字符串,应使用StringBuilder. 字符串内容的比较要用equal. ...

  9. 201521123018 《Java程序设计》第13周学习总结

    1. 本章学习总结 2. 书面作业 一.1. 网络基础 1.1 比较ping www.baidu.com与ping cec.jmu.edu.cn,分析返回结果有何不同?为什么会有这样的不同? 返回时间 ...

  10. 201521123113《Java程序设计》第9周学习总结

    1. 本周学习总结 2. 书面作业 本次PTA作业题集异常 Q1.常用异常 题目5-1 1.1 截图你的提交结果(出现学号) 1.2 自己以前编写的代码中经常出现什么异常.需要捕获吗(为什么)?应如何 ...