需求

监听通过网卡的所有mysql流量,进行解析,可在不影响现有业务情况下,进行入侵检测(IDS)或数据集成

协议要点

起初发现 用mysql-front访问数据库和mysql 的客户端访问时数据包格式不同,纠结很久,不明白,mysql-front源码看了眼,delphi,不懂,弃

压缩解析

当链接mysql时,若启用-C参数表示,对于连接数据启用压缩,压缩格式为zlib

mysql的压缩函数为:

 // mysql-source/mysys/my_compress.c

 my_bool my_compress(uchar *packet, size_t *len, size_t *complen)

 {

   DBUG_ENTER("my_compress");

   if (*len < MIN_COMPRESS_LENGTH)

   {

     *complen=;

     DBUG_PRINT("note",("Packet too short: Not compressed"));

   }

   else

   {

     uchar *compbuf=my_compress_alloc(packet,len,complen);

     if (!compbuf)

       DBUG_RETURN(*complen ?  : );

     memcpy(packet,compbuf,*len);

     my_free(compbuf);

   }

   DBUG_RETURN();

 }

 uchar *my_compress_alloc(const uchar *packet, size_t *len, size_t *complen)

 {

   uchar *compbuf;

   uLongf tmp_complen;

   int res;

   *complen=  *len *  /  + ;

   if (!(compbuf= (uchar *) my_malloc(key_memory_my_compress_alloc,

                                      *complen, MYF(MY_WME))))

     return ;                    /* Not enough memory */

   tmp_complen= (uint) *complen;

   res= compress((Bytef*) compbuf, &tmp_complen, (Bytef*) packet, (uLong) *len);

   *complen=    tmp_complen;

   if (res != Z_OK)

   {

     my_free(compbuf);

     return ;

   }

   if (*complen >= *len)

   {

     *complen= ;

     my_free(compbuf);

     DBUG_PRINT("note",("Packet got longer on compression; Not compressed"));

     return ;

   }

   /* Store length of compressed packet in *len */

   swap_variables(size_t, *len, *complen);

   return compbuf;

 }

其中第35行调用了zlib中的compress()函数,但是该处仅对compress()进行了封装,并没有协议解析部分,我们继续往下看。

整个项目寻找目标代码比较费劲,可以先在头文件中寻找关键信息,于是找到了下面的代码

// mysql-source/include/sql_state.h
{ ER_NET_UNCOMPRESS_ERROR                 ,"08S01", "" }

这是在mysql在解析压缩的数据时如果出错的提示信息和错误码,依次可以查找其引用,发现了真正的数据包压缩代码

 // mysql-source/sql/net_serv.cc

 static uchar *

 compress_packet(NET *net, const uchar *packet, size_t *length)

 {

   uchar *compr_packet;

   size_t compr_length;

   const uint header_length= NET_HEADER_SIZE + COMP_HEADER_SIZE;

   compr_packet= (uchar *) my_malloc(key_memory_NET_compress_packet,

                                     *length + header_length, MYF(MY_WME));

   if (compr_packet == NULL)

     return NULL;

   memcpy(compr_packet + header_length, packet, *length);

   /* Compress the encapsulated packet. */

   if (my_compress(compr_packet + header_length, length, &compr_length))

   {

     /*

       If the length of the compressed packet is larger than the

       original packet, the original packet is sent uncompressed.

     */

     compr_length= ;

   }

   /* Length of the compressed (original) packet. */

   int3store(&compr_packet[NET_HEADER_SIZE], static_cast<uint>(compr_length));

   /* Length of this packet. */

   int3store(compr_packet, static_cast<uint>(*length));

   /* Packet number. */

   compr_packet[]= (uchar) (net->compress_pkt_nr++);

   *length+= header_length;

   return compr_packet;

 }

从8-19行可以看到,压缩数据的组包过程,前面分别加了NET_HEADER_SIZE + COMP_HEADER_SIZE 长的控制字段

查找该宏,发现其定义如下

 // mysql-source/include/mysql_com.h

   /* Constants when using compression */

 #define NET_HEADER_SIZE 4        /* standard header size */

 #define COMP_HEADER_SIZE 3        /* compression header extra size */

NET_HEADER_SIZE 字段中 长度字段存储 数据部分 未解压时的长度

COMP_HEADER_SIZE 字段是用来存储  解压后的 数据的长度,我们可以依次申请内存,然后调用zlib对压缩内容进行解析即可。

如果不分析直接进行对wireshark抓到的数据进行zlib解析的话,由于控制字段的存在会解压缩失败,在python中的报错如下

Traceback (most recent call last):

  File "<stdin>", line 1, in <module>

zlib.error: Error -3 while decompressing data: incorrect data check

起初看到这个错误很头痛也不想看zlib解析细节,才有了从mysql找原因的本文,现在可以记录zlib 压缩字符串的开头常常是\x78\x9c,出现同样错误的可以看看是否正确

Mysql 协议嗅探的更多相关文章

  1. 基于MySQL协议的数据库中间层项目Atlas - 360团队

    一.简介 Atlas是由 Qihoo 360公司Web平台部基础架构团队开发维护的一个基于MySQL协议的数据中间层项目.它在MySQL官方推出的MySQL-Proxy 0.8.2版本的基础上,修改了 ...

  2. MySQL协议分析

    MySQL协议分析 标签: mysql 2015-02-27 10:22 1807人阅读 评论(1) 收藏 举报  分类: 数据库(19)    目录(?)[+]   1 交互过程 MySQL客户端与 ...

  3. TiDB:支持 MySQL 协议的分布式数据库解决方案

    [编者按]TiDB 是国内 PingCAP 团队开发的一个分布式 SQL 数据库.其灵感来自于 Google 的 F1,TiDB 支持包括传统 RDBMS 和 NoSQL 的特性.在国内 ITOM 管 ...

  4. MySQL协议分析2

    MySQL协议分析 议程 协议头 协议类型 网络协议相关函数 NET缓冲 VIO缓冲 MySQL API 协议头 ● 数据变成在网络里传输的数据,需要额外的在头部添加4 个字节的包头. . packe ...

  5. MySQL协议学习(1):准备工作

    MySQL Client/Server协议 准确的说应该是MySQL Client/Server协议,另一个叫X Protocol的暂不涉及.地址如下:MySQL Client/Server Prot ...

  6. mixer: mysql协议分析

    综述 要实现一个mysql proxy,首先需要做的就是理解并实现mysql通讯协议.这样才能通过proxy架起client到server之间的桥梁. mixer的mysql协议实现主要参考mysql ...

  7. mysql 协议分析

    MYSQL Binlog协议分析 此处不讨论建立连接,验证和handshake的交互协议 Binlog协议 一个MYSQL 通信包由包头包体组成 包体根据具体的交互协议有自身的组成结构, 在binlo ...

  8. mysql协议简析

    前言 如果要在命令行中连接mysql,最常用的便是 mysql -u root -p 这样指定用户名和密码 当然还可以使用远程连接 mysql -h 127.0.0.1 -u root -p 还有一种 ...

  9. MySQL协议分析(2)

    MySQL协议分析(2) 此阶段是在压缩传输无加密条件下进行的协议分析 思路 结合Oracle官网的说明和自己用wireshark加python进行数据包分析 步骤 客户端与服务器端是否压缩的协商阶段 ...

随机推荐

  1. WPF DEV实现手风琴效果

    说明 最近用WPF+DevExpress做项目时,需要做一个类似手风琴的效果,效果的界面如下.因为没有现成的控件,需要自定义模板,所以写了一个Demo和大家分享,项目中可以根据实际情况使用.如果你用不 ...

  2. Tomcat利用Redis存储Session

    详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt269 如果英文不错的看,建议直接看官网吧,官网写的挺清楚.下面的内容是转载的 ...

  3. oracle得到日期对应的星期

    详见: http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp56   select to_char(sysdate,'ww') fro ...

  4. 为何webpack打包后的文件要放在服务器上才能运行

    为何会有此问: 在刚开始使用vue-cli时还不知道打包后的文件要在服务中才能运行,直接点开后发现页面白板,请教大神后得知要起一个服务才能运行起来,当时我脑子中的逻辑是这样的: 因为:js代码是由浏览 ...

  5. HDU 6200 2017沈阳网络赛 树上区间更新,求和

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=6200 题意:给个图,有2种操作,一种是加一条无向边,二是查询u,v之间必须有的边的条数,所谓必须有的边 ...

  6. Ubuntu linux安装putty

    Step1 安装Putty $ sudo apt-get install putty Step2 使用Putty Client 查找已经安装完的putty客户端 设置Remote Server的IP地 ...

  7. 利用MySQL触发器实现check和assertion

    MySQL虽然输入check语句不会报错,但是实际上并没有check的功能.但是MySQL 依然可以利用触发器来实现相应功能. 本文将根据两个例子简要阐述MySQL实现check和assertion的 ...

  8. centos 7 && dotnet core 2.0 && nginx && supervisor

    前提 系统:centos 7 目录:/home/wwwroot/www.wuball.com dotnet core 2.0 官方指引 sudo rpm --import https://packag ...

  9. java--整理下关于static关键字的知识

    如果将域定义为static,每个类中只有一个这样的域.而每一个对象对于所有的实例域却都有自己的一份拷贝.--<java核心技术> 使用static的两种情形:1.只想为某特定域分配单一存储 ...

  10. 201521123039 《java程序设计》第八周学习总结

    1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结集合与泛型相关内容. 总结: 1.集合可以动态修改大小,但是不可以存放基本数据类型: 2.java中任何对象都是is-a Objec ...