1、MySQL抓包数据协议分析MySQL 抓包数据协议分析(客户端到服务端的通讯协议)1 典型的 MySql 会话过程描述一次正常的过程如下:1) 三次握手建立 tcp 连接2) 建立 MySql 连接a) 服务端往客户端发送握手初始化包 (Handshake Initialization Packet)b) 客户端往服务端发送验证包 (Client Authentication Packet)c) 服务端往客户端发送成功包3) 客户端与服务端之间交互a) 客户端往服务端发送命令包( Command Packet)b)服务端往客户端发送回应包( OK Packet, or Error Packet
2、, or Result Set Packet)4)断开 MySql 连接a)客户端往服务端发送退出命令包5)四次握手断开 tcp 连接1.2 举例 ( 使用 tcpdump 抓包 )客户端在命令行模式下使用命令: mysqlu root pdbaudit h 连上数据库抓取的数据包如下:1.2.1 登陆1)三次握手建立连接19:00:22.534342 IP S 8:8(0) win 8192 0x0000:4500 0034043f 4000 4006 0801 c0a8 5665E.4.?.Ve0x0010:c0a8 56ce e8de 0cea 364d 189e 0000 0000.V
3、.6M.0x0020: 8002 2000 dbdd 0000 020405b4 0103 0302.0x0030:0101 0402.19:00:22.534390 IPS 77:77(0) ack 9 win 5840 0x0000:4500 00340000 4000 40060c40 c0a8 56ceE.4.V.0x0010:c0a8 5665 0cea e8de c4d7 1d4d 364d 189f.Ve.M6M.0x0020:8012 16d002d3 0000 020405b4 0101 0402.0x0030:0103 0307.19:00:22.534916 IP .ac
4、k 1 win 438010x0000:4500 002804404000 4006 080c c0a8 5665E.(.Ve0x0010:c0a8 56ce e8de 0cea 364d 189f c4d7 1d4e.V.6M.N0x0020:5010111c 4959 0000 0000 0000 0000P.IY.2)服务端向客户諯发送握手初始化包(Handshake Initialization Packet )19:00:22.535632 IPP 1:79(78) ack 1 win 460x0000:4508 00760d334000 4006 fec2 c0a8 56ceE.v
5、.3.V.0x0010:c0a8 5665 0cea e8de c4d7 1d4e 364d 189f.Ve.N6M.0x0020:5018002e2eed0000 4a00 0000 0a35 2e35P.J.5.50x0030:2e32310082000000 2f75 2246 7b58 2652.21./uFX&R0x0040:00ff f708 0200 0f80 1500 0000 0000 0000.0x0050:0000004b61284049 2d46 565d 5366 2900.Ka(I-FVSf).0x0060:6d7973716c5f 6e61 7469 7665 5
6、f70 6173mysql_native_pas0x0070:73776f72 6400sword.3)客户端向服务端发送包含用户名密码的验证包(Client Authentication Packet )19:00:22.536678 IP P 1:63(62) ack 79 win 43600x0000:4500 006604414000 4006 07cd c0a8 5665E.f.A.Ve0x0010:c0a8 56ce e8de 0cea 364d 189f c4d7 1d9c.V.6M.0x0020:5018 1108 b2d00000 3a00 0001 85a6 0300P.:
7、.0x0030:0000 000108000000 0000 0000 0000 0000.0x0040:0000 000000000000 0000 0000 726f 6f74.root0x0050:0014 ce03 1683 429e cae8 cb93 5435 71f2.B.T5q.0x0060:7439 d8421922t9.B.4)服务端向客户端发送一个空包(普通的tcp 包,跟 mysql 无关)19:00:22.536748 IP.ack 63 win 460x0000:4508 00280d344000 4006 ff0f c0a8 56ceE.(.4.V.0x0010:
8、c0a8 5665 0cea e8de c4d7 1d9c 364d 18dd.Ve.6M.0x0020:5010 002e59bb0000P.Y.5)服务端向客户端发送一个成功包(OK Packet)19:00:22.536827 IPP 79:90(11) ack 63 win 460x0000:4508 00330d354000 4006 ff03 c0a8 56ceE.3.5.V.0x0010:c0a8 5665 0cea e8de c4d7 1d9c 364d 18dd.Ve.6M.0x0020:5018 002e2eaa0000 0700 0002 0000 0002P.0x003
9、0:0000 00.6)客户端向服务端发送一个包(跟mysql 似乎无关,包头不符合协议标准)19:00:22.734205 IP .ack 90 win 43570x0000:4500 002804444000 4006 0808 c0a8 5665E.(.D.Ve0x0010:c0a8 56ce e8de 0cea 364d 18dd c4d7 1da7.V.6M.0x0020:5010 110548d90000 0000 0000 0000P.H.1.2.2 客户端与服务端之间交互客户端输入: usemysql服务端返回: Database changed21)客户端向服务端发送一个命令
10、包(类型为COM_QUERY)19:07:56.352167 IP P 1:3(22) ack 67 win 43570x0000:4500003e0450 4000 400607e6 c0a8 5665E.P.Ve0x0010:c0a8 56ce e8de 0cea 364d 18dd c4d7 1da7.V.6M.0x0020:50181105 fe85 0000 1200 0000 0353 454cP.SEL0x0030:454354204441 5441 42415345 2829ECT.DATABASE()2)服务端向客户端发送一个结果包(ResultSet)一个 ResultSe
11、t 包含了多个包,每个包都有自己的包头包体,下面这个返回数据就包含了五个包(1 个 ResultSet Head Packet + 1 个 Field Packet + 1 个 EOFPacket + 1 个 Row Data Packet + 1个 EOF Packet)19:07:56.352413 IPP 1:65(64) ack 22 win 460x0000:4508 00680d36 4000 4006 fecd c0a8 56ceE.h.6.V.0x0010:c0a8 5665 0cea e8de c4d7 1da7 364d 18f3.Ve.6M.0x0020:5018002e
12、2edf 0000 0100 0001 0120 0000P.0x0030:0203 64656600 0000 0a44 4154 4142 4153.def.DATABAS0x0040:4528 29000c08 0022 0000 00fd 0000 1f00E().0x0050:0005 000003fe 0000 0200 0100 0004 fb05.0x0060:000005fe 0000 0200.3)客户端向服务端发送一个命令包(类型为COM_INIT_DB)19:07:56.353134 IP P 22:32(10) ack 65 win 43410x0000:4500 0
13、0320451 4000 4006 07f1 c0a8 5665E.2.Q.Ve0x0010:c0a8 56ce e8de 0cea 364d 18f3 c4d7 1de7.V.6M.0x0020:5018 10f5 5534 0000 0600 0000 026d 7973P.U4.mys0x0030:716cql4)服务端向客户端发送一个成功包(OK Packet)19:07:56.367217 IPP 65:76(11) ack 32 win 460x0000:4508 00330d37 4000 4006 ff01 c0a8 56ceE.3.7.V.0x0010:c0a8 5665 0
14、cea e8de c4d7 1de7 364d 18fd.Ve.6M.0x0020:5018 002e2eaa 0000 0700 0001 0000 0002P.0x0030:0000 00.5)客户端向服务端发送一个包(跟mysql 没什么关系,包头为0000 0000)19:07:56.561717 IP .ack 76 win 43390x0000:4500 00280455 4000 4006 07f7 c0a8 5665E.(.U.Ve0x0010:c0a8 56ce e8de 0cea 364d 18fd c4d7 1df2.V.6M.0x0020:5010 10f3 4880
15、0000 0000 0000 0000P.H.客户端输入: show tables服务端返回:查询结果,当前数据库中所有的表1)客户端向服务端发送一个命令包(类型为COM_QUERY)19:22:17.971933 IP P 3:9(16) ack 42 win 43390x0000:45000038 0466 4000 4006 07d6 c0a8 5665E.8.f.Ve0x0010:c0a8 56ce e8de 0cea 364d 18fd c4d7 1df2.V.6M.0x0020:501810f3 1d24 0000 0c00 0000 0373 686fP.$.sho0x0030:
16、77207461 626c 6573w.tables32)服务端向客户端发送一个普通的tcp 包19:22:18.011368 IP.ack 16 win 460x0000:45080028 0d384000 4006 ff0b c0a8 56ceE.(.8.V.0x0010:c0a8 5665 0cea e8de c4d7 1df2 364d 190d.Ve.6M.0x0020:5010002e 59350000P.Y5.3)服务端向客户端发送一个响应结果包(Result Packets)19:22:18.031320 IPP 1:521(520) ack 16 win 460x0000:4
17、5080230 0d394000 4006 fd02 c0a8 56ceE.0.9.V.0x0010:c0a8 5665 0cea e8de c4d7 1df2 364d 190d.Ve.6M.0x0020:5018002e 30a70000 0100 0001 0157 0000P.0.W.0x0030:02036465 6612696e 666f 726d 6174 696f.def.informatio0x0040:6e5f 7363 6865 6d61 0b54 4142 4c45 5f4en_schema.TABLE_N0x0050:414d4553 0b544142 4c45 5f
18、4e 414d 4553AMES.TABLE_NAMES0x0060:0f54 6162 6c65 735f 696e 5f6d 7973 716c.Tables_in_mysql0x0070:0a544142 4c45 5f4e 414d 450c 0800 4000.TABLE_NAME.0x0080:0000 fd01 0000 0000 0500 0003 fe00 0022.0x0090:000d0000 040c 636f 6c75 6d6e 735f 7072.columns_pr0x00a0:69760300 00050264 620a 0000 0609 6462iv.db.
19、db0x00b0:5f6f 705f 6c6f 6706 0000 0705 6576 656e_op_log.even0x00c0:7405 0000 0804 6675 6e63 0c00 0009 0b67t.func.g0x00d0:656e 6572 616c5f6c 6f67 0e00 000a 0d68eneral_log.h0x00e0:656c 705f 6361 7465 676f 7279 0d00 000belp_category.0x00f0:0c68 656c 705f 6b65 7977 6f72 640e 0000.help_keyword.0x0100:0c0
20、d 6865 6c70 5f72 656c 6174 696f 6e0b.help_relation.0x0110:00000d0a 68656c70 5f74 6f70 6963 0500.help_topic.0x0120:000e0468 6f73 7411 0000 0f10 6e64 625f.host.ndb_0x0130:62696e6c 6f67 5f69 6e64 6578 0700 0010binlog_index.0x0140:06706c75 6769 6e05 0000 1104 7072 6f63.plugin.proc0x0150:0b000012 0a70726
21、f 6373 5f70 7269 760d.procs_priv.0x0160:0000130c 7072 6f78 6965 735f 7072 6976.proxies_priv0x0170:08000014 07736572 7665 7273 0900 0015.servers.0x0180:08736c6f 775f 6c6f 670c 0000 160b 7461.slow_log.ta0x0190:626c 6573 5f70 7269 7605 0000 1704 7465bles_priv.te0x01a0:73740600 00180574 6573 7431 0a00 0
22、019st.test1.0x01b0:0974 696d 655f 7a6f 6e65 1600 001a 1574.time_zone.t0x01c0:696d 655f 7a6f 6e65 5f6c 6561 705f 7365ime_zone_leap_se0x01d0:636f 6e64 0f00 001b 0e74 696d 655f 7a6fcond.time_zo0x01e0:6e655f6e 616d 6515 0000 1c14 7469 6d65ne_name.time0x01f0:5f7a 6f6e 655f 7472 616e 7369 7469 6f6e_zone_t
23、ransition0x0200:1a00001d 1974696d 655f 7a6f 6e65 5f74.time_zone_t0x0210:72616e73 6974696f 6e5f 7479 7065 0500ransition_type.0x0220:001e0475 73657205 0000 1ffe 0000 2200.user.4) 客户端向服务端发送一个普通的tcp 包19:22:18.232503 IP .ack 521 win 420940x0000: 4500 0028046b4000 400607e1 c0a8 5665E.(.k.Ve0x0010:c0a8 56c
24、e e8de 0cea 364d 190d c4d7 1ffa.V.6M.0x0020:5010 107146ea0000 00000000 0000P.qF.1.2.3 退出客户端在命令行模式下输入命令: quit 退出数据库1)客户端向服务端发送一个退出的命令包15:50:46.533701 IP P 0:5(5) ack 79 win 43570x0000: 4500 002d 039d 4000 4006 08aa c0a8 5665 E.-.Ve0x0010: c0a8 56ce e58f 0cea 3176 44b4 c11e 6e97 .V.1vD.n.0x0020: 5018 1105 d5e3 0000 0100 0000 0100 P.2)三次握手断开连接 (断开连接不是四次握手吗?但实际情况下测试如果是正常的退出只有三次握手的过程 )15:50:46.533733 IP F 5:5(0) ack 1 win 43570x0000:4500 0028 039e 4000 4006 08ae c0a8
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 