2. 程式人生 > >Mysql 通訊協議抓包分析

Mysql 通訊協議抓包分析

阿新 發佈:2018-12-15

mysql在傳輸層使用的TCP協議。一個TCP payload可能有多個mysql packet。如下圖所示。

TCP head TCP payload
(mysql packet1, mysql packet2,mysql packet 3…)

下面通過抓包分析其結構。

執行如下SQL語句,並抓包:

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
+--------------------+
4 rows in set (0.00 sec)

client 請求包

PACKET: 75 bytes, wire length 75 cap length 75 @ 2018-10-10 16:17:44.545962 +0800 CST
- Layer 1 (04 bytes) = Loopback	{Contents=[2, 0, 0, 0] Payload=[..71..] Family=IPv4}
- Layer 2 (20 bytes) = IPv4	{Contents=[..20..] Payload=[..51..] Version=4 IHL=5 TOS=0 Length=71 Id=0 Flags=DF FragOffset=0 TTL=64 Protocol=TCP Checksum=0 SrcIP=172.24.232.150 DstIP=172.24.232.150 Options=[] Padding=[]}
- Layer 3 (32 bytes) = TCP	{Contents=[..32..] Payload=[..19..] SrcPort=51905 DstPort=3306(mysql) Seq=1194291158 Ack=850183053 DataOffset=8 FIN=false SYN=false RST=false PSH=true ACK=true URG=false ECE=false CWR=false NS=false Window=9352 Checksum=10648 Urgent=0 Options=[TCPOption(NOP:), TCPOption(NOP:), TCPOption(Timestamps:462864359/462163474 0x1b96bfe71b8c0e12)] Padding=[]}
- Layer 4 (19 bytes) = Payload	19 byte(s)

tcp:&{{[202 193 12 234 71 47 111 214 50 172 195 141 128 24 36 136 41 152 0 0 1 1 8 10 27 150 191 231 27 140 14 18] [15 0 0 0 3 115 104 111 119 32 100 97 116 97 98 97 115 101 115]} 51905 3306(mysql) 1194291158 850183053 8 false false false true true false false false false 9352 10648 0 [202 193] [12 234] [TCPOption(NOP:) TCPOption(NOP:) TCPOption(Timestamps:462864359/462163474 0x1b96bfe71b8c0e12)] [] [{1 1 []} {1 1 []} {8 10 [27 150 191 231 27 140 14 18]} {0 0 []}] {<nil>}}
tcp payload:[15 0 0 0 3 115 104 111 119 32 100 97 116 97 98 97 115 101 115]

前4個位元組是mysql packet head.

前3個位元組表示mysql payload 長度15個位元組:

15 0 0

第4個位元組0,表示序列號0

第5個位元組開始是mysql payload body,3表示查詢COM_QUERY

接著後面的位元組(ASCII碼),就是具體的查詢語句(即show databases):

115 104 111 119 32 100 97 116 97 98 97 115 101 115

mysql server返回的結果

首先是ACK,其中不包含mysql packet。

PACKET: 56 bytes, wire length 56 cap length 56 @ 2018-10-10 16:17:44.546001 +0800 CST
- Layer 1 (04 bytes) = Loopback	{Contents=[2, 0, 0, 0] Payload=[..52..] Family=IPv4}
- Layer 2 (20 bytes) = IPv4	{Contents=[..20..] Payload=[..32..] Version=4 IHL=5 TOS=0 Length=52 Id=0 Flags=DF FragOffset=0 TTL=64 Protocol=TCP Checksum=0 SrcIP=172.24.232.150 DstIP=172.24.232.150 Options=[] Padding=[]}
- Layer 3 (32 bytes) = TCP	{Contents=[..32..] Payload=[] SrcPort=3306(mysql) DstPort=51905 Seq=850183053 Ack=1194291177 DataOffset=8 FIN=false SYN=false RST=false PSH=false ACK=true URG=false ECE=false CWR=false NS=false Window=12645 Checksum=10629 Urgent=0 Options=[TCPOption(NOP:), TCPOption(NOP:), TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] Padding=[]}

tcp:&{{[12 234 202 193 50 172 195 141 71 47 111 233 128 16 49 101 41 133 0 0 1 1 8 10 27 150 191 231 27 150 191 231] []} 3306(mysql) 51905 850183053 1194291177 8 false false false false true false false false false 12645 10629 0 [12 234] [202 193] [TCPOption(NOP:) TCPOption(NOP:) TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] [] [{1 1 []} {1 1 []} {8 10 [27 150 191 231 27 150 191 231]} {0 0 []}] {<nil>}}
tcp payload:[]

接著,返回的是結果集。結果集中包括7個mysql packet。下面逐一分析。

PACKET: 215 bytes, wire length 215 cap length 215 @ 2018-10-10 16:17:44.546415 +0800 CST
- Layer 1 (04 bytes) = Loopback	{Contents=[2, 0, 0, 0] Payload=[..211..] Family=IPv4}
- Layer 2 (20 bytes) = IPv4	{Contents=[..20..] Payload=[..191..] Version=4 IHL=5 TOS=0 Length=211 Id=0 Flags=DF FragOffset=0 TTL=64 Protocol=TCP Checksum=0 SrcIP=172.24.232.150 DstIP=172.24.232.150 Options=[] Padding=[]}
- Layer 3 (32 bytes) = TCP	{Contents=[..32..] Payload=[..159..] SrcPort=3306(mysql) DstPort=51905 Seq=850183053 Ack=1194291177 DataOffset=8 FIN=false SYN=false RST=false PSH=true ACK=true URG=false ECE=false CWR=false NS=false Window=12645 Checksum=10788 Urgent=0 Options=[TCPOption(NOP:), TCPOption(NOP:), TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] Padding=[]}
- Layer 4 (159 bytes) = Payload	159 byte(s)

tcp:&{{[12 234 202 193 50 172 195 141 71 47 111 233 128 24 49 101 42 36 0 0 1 1 8 10 27 150 191 231 27 150 191 231] [1 0 0 1 1 75 0 0 2 3 100 101 102 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97 8 83 67 72 69 77 65 84 65 8 83 67 72 69 77 65 84 65 8 68 97 116 97 98 97 115 101 11 83 67 72 69 77 65 95 78 65 77 69 12 33 0 192 0 0 0 253 1 0 0 0 0 19 0 0 3 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97 6 0 0 4 5 109 121 115 113 108 19 0 0 5 18 112 101 114 102 111 114 109 97 110 99 101 95 115 99 104 101 109 97 4 0 0 6 3 115 121 115 7 0 0 7 254 0 0 34 0 0 0]} 3306(mysql) 51905 850183053 1194291177 8 false false false true true false false false false 12645 10788 0 [12 234] [202 193] [TCPOption(NOP:) TCPOption(NOP:) TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] [] [{1 1 []} {1 1 []} {8 10 [27 150 191 231 27 150 191 231]} {0 0 []}] {<nil>}}
tcp payload:[1 0 0 1 1 75 0 0 2 3 100 101 102 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97 8 83 67 72 69 77 65 84 65 8 83 67 72 69 77 65 84 65 8 68 97 116 97 98 97 115 101 11 83 67 72 69 77 65 95 78 65 77 69 12 33 0 192 0 0 0 253 1 0 0 0 0 19 0 0 3 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97 6 0 0 4 5 109 121 115 113 108 19 0 0 5 18 112 101 114 102 111 114 109 97 110 99 101 95 115 99 104 101 109 97 4 0 0 6 3 115 121 115 7 0 0 7 254 0 0 34 0 0 0]

mysql packet 1

column count

1 0 0 1 1

前3個位元組定義了payload長度為1。

1 0 0

第4個位元組1,表示序列號1。

第5個位元組開始是payload body,只有1個位元組,為1,表示column count 為1.

mysql packet 2

75 0 0 2 3 100 101 102 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97 8 83 67 72 69 77 65 84 65 8 83 67 72 69 77 65 84 65 8 68 97 116 97 98 97 115 101 11 83 67 72 69 77 65 95 78 65 77 69 12 33 0 192 0 0 0 253 1 0 0 0 0

列名Database相關資訊。

ASCII碼字元(Database)

68 97 116 97 98 97 115 101

mysql packet 3

19 0 0 3 18 105 110 102 111 114 109 97 116 105 111 110 95 115 99 104 101 109 97

類似,前4個位元組定義了payload長度19和序列號3.

接著,payload中可解析出 row 值為 “information_schema”

mysql packet 4

6 0 0 4 5 109 121 115 113 108

類似,前4個位元組定義了payload長度6和序列號4.

接著,payload中可解析出 row 值為 “mysql”

mysql packet 5

19 0 0 5 18 112 101 114 102 111 114 109 97 110 99 101 95 115 99 104 101 109 97

類似,前4個位元組定義了payload長度19和序列號5.

接著,payload中可解析出 row 值為 “performance_schema”

mysql packet 6

4 0 0 6 3 115 121 115

類似,前4個位元組定義了payload長度4和序列號6.

接著,payload中可解析出 row 值為 “sys”

mysql packet 7

7 0 0 7 254 0 0 34 0 0 0

類似,前4個位元組定義了payload長度7和序列號7.

client ACK

不包含mysql packet

PACKET: 56 bytes, wire length 56 cap length 56 @ 2018-10-10 16:17:44.546457 +0800 CST
- Layer 1 (04 bytes) = Loopback	{Contents=[2, 0, 0, 0] Payload=[..52..] Family=IPv4}
- Layer 2 (20 bytes) = IPv4	{Contents=[..20..] Payload=[..32..] Version=4 IHL=5 TOS=0 Length=52 Id=0 Flags=DF FragOffset=0 TTL=64 Protocol=TCP Checksum=0 SrcIP=172.24.232.150 DstIP=172.24.232.150 Options=[] Padding=[]}
- Layer 3 (32 bytes) = TCP	{Contents=[..32..] Payload=[] SrcPort=51905 DstPort=3306(mysql) Seq=1194291177 Ack=850183212 DataOffset=8 FIN=false SYN=false RST=false PSH=false ACK=true URG=false ECE=false CWR=false NS=false Window=9347 Checksum=10629 Urgent=0 Options=[TCPOption(NOP:), TCPOption(NOP:), TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] Padding=[]}

tcp:&{{[202 193 12 234 71 47 111 233 50 172 196 44 128 16 36 131 41 133 0 0 1 1 8 10 27 150 191 231 27 150 191 231] []} 51905 3306(mysql) 1194291177 850183212 8 false false false false true false false false false 9347 10629 0 [202 193] [12 234] [TCPOption(NOP:) TCPOption(NOP:) TCPOption(Timestamps:462864359/462864359 0x1b96bfe71b96bfe7)] [] [{1 1 []} {1 1 []} {8 10 [27 150 191 231 27 150 191 231]} {0 0 []}] {<nil>}}
tcp payload:[]

參考

相關推薦

Mysql 通訊協議分析

mysql在傳輸層使用的TCP協議。一個TCP payload可能有多個mysql packet。如下圖所示。 TCP head TCP payload (mysql packet1, mysql packet2,mysql packet 3

關於各種 網路協議 分析 的一些文章

各協議埠號 https://blog.csdn.net/ypt523/article/details/79636647   TCP/IP/UDP/ICMP/ARP/ethernet 各種協議頭部結構體 https://blog.csdn.net/xiexievv/art

ARP協議分析

ARP快取表 一、檢視ARP快取表指令 arp -a 二、刪除ARP快取表指令 比如刪除介面為192.168.182.128的ARP記錄: arp -d 192.168.182.128 Windows下也可清空所有ARP條目: arp -d

網路協議分析——ARP地址解析協議

前言 計算機之間可以相互通訊的前提是要知道對方的地址,才可以傳送資訊給其他計算機,就像別人要聯絡你也得先知道你的電話號碼一樣。這裡的地址因為網路分層的原因就包括IP地址和MAC地址(即網絡卡地址、硬體地址)。計算機發送的資訊最終都是被轉換成位元流在物理層上傳輸,所以我們一定要知道的目的主機的MAC地址,最終

網絡協議分析——IP互聯網協議

聯網 互聯網 6.2 sha 一個數 ima shark 產生 icmp 前言 IP協議是位於OSI模型的第三層協議,其主要目的就是使得網絡間可以相互通信。在這一層上運行的協議不止IP協議,但是使用最為廣泛的就是互聯網協議。 什麽是IP數據報 TCP/IP協議定義了一個在因

網路協議分析——TCP傳輸控制協議(連線建立、釋放)

前言 TCP協議為資料提供可靠的端到端的傳輸,處理資料的順序和錯誤恢復,保證資料能夠到達其應到達的地方。TCP協議是面向連線的,在兩臺主機使用TCP協議進行通訊之前,會先建立一個TCP連線(三次握手),雙方不再繼續通訊時,會將連線釋放(正常情況下四次揮手)。下面就抓包分析TCP三次握手和四次揮手的過程。

計算機網路-DHCP協議分析筆記

前置問題:什麼是(網路)協議? 網路協議為計算機網路中進行資料交換而建立的規則、標準或約定的集合。 而且: 一個網路協議至少包括三要素:   語法:用來規定資訊格式;資料及控制資訊的格式、編碼及訊號電平等。   語義:用來說明通訊雙方應當怎麼做;用於協調與差錯處理的控制資訊。   時序:定義了何時進行通訊,

從wireshark分析rtmp協議,並提取出H264視頻流

tmp mage idt 進制 tro shark src 技術 wid 利用wireshark抓取rtmp流數據, 分析到rtmp流後,寫入過濾條件,如 tcp.stream eq 6導出tcp流保存16進制的數據為純文本格式一定要選擇 Hex轉儲,然後點擊 “Sava

FTP協議的粗淺學習--利用wireshark分析相關tcp連接

sha ftp命令 動向 c中 細胞 nsf ref 後退 圖片 一、為什麽寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入用戶名密

簡述http協議分析

1:HTTP請求頭和響應頭的格式 1:HTTP請求格式:<request-line> <headers> <blank line> [<request-body>]說明:第一行必須是一個請求行(request-line),用來說明請求型別,要訪問的

FTP協議的粗淺學習--利用wireshark分析相關tcp連線

一、為什麼寫這個 昨天遇到個ftp相關的問題,關於ftp匿名訪問的。花費了大量的腦細胞後,終於搞定了服務端的配置,現在客戶端可以像下圖一樣,直接在瀏覽器輸入url,即可直接訪問。 期間不會彈出輸入使用者名稱密碼來登入的視窗。 今天我主要是有點好奇,在此過程中,究竟是否是用匿名賬戶“anonymo

Wireshark資料分析之FTP協議

實驗步驟一 配置FTP伺服器,並在測試者機器上登入FTP伺服器在區域網環境中,我們使用一個小工具來(Quick Easy FTP Server)實現FTP伺服器。配置Quick Easy FTP Server軟體雙擊桌面的Quick Easy FTP Server,如下圖如上

TCP協議基礎知識及wireshark分析實戰

TCP相關知識 應swoole長連線開發調研相關TCP知識並記錄。 資料封包流程 如圖,如果我需要傳送一條資料給使用者,實際的大小肯定是大於你傳送的大小,在各個資料層都進行了資料的封包,以便你的資料能完整的發給你想要的使用者。 乙太網的資料包的負載是1500位元組,IP包頭需要20個位元組,TCP

Wireshark分析Yersinia 根據DHCP協議傳送的偽造資料攻擊(sending RAW packet)

抓包結果如下: 抓包與分析 幀號時間源地址目的地址高層協議包內資訊概況No.  Time   Source        Destination      Protocol    Info 5  1

wireshark 分析 TCPIP協議的握手

之前寫過一篇部落格:用 Fiddler 來除錯HTTP,HTTPS。 這篇文章介紹另一個好用的抓包工具wireshark, 用來獲取網路資料封包,包括http,TCP,UDP,等網路協議包。 記得大學的時候就學習過TCP的三次握手協議,那時候只是知道,雖然在書上看過很多TCP和UDP的資料,但是從來沒有真正

TCP協議三次握手和四次揮手分析

 TCP協議在雙方建立連線的時候需要三次握手,首先客戶端傳送SYN標誌為1的TCP資料包,然後伺服器端收到之後,也會發送一個SYN標誌置位,並且帶有ack應答的資料包,最後客戶端再發送給服務端一個應答,這樣就建立起了通訊。  首先看TCP資料包頭部各個欄位: 在三

wireshark分析之ftp協議分析

今天剛剛申請了一個虛擬主機,上傳資料成為問題,Google一下,呵呵噠,看到了flashfxp這個軟體,這個叫什麼鬼東西,原諒小客的英語爛到了極點,下載安裝後,最近正好對協議分析很是感興趣呀,於是,就有了今天這篇處女座的文章,呵呵,個人總是愛說些廢話,好吧,如果你也這麼覺得

RTMP協議播放流程的實現及分析

     實時流協議(Real-TimeMessaging Protocol,RTMP)是用於網際網路上傳輸視音訊資料的網路協議。本API提供了支援RTMP, RTMPT,RTMPE, RTMP RTMPS以及以上幾種協議的變種(RTMPTE, RTMPTS)協議所需的大

https(ssl)協議以及wireshark分析與解密

根據之前一篇安全協議的分析中分析了ssl協議,先回顧下ssl協議的內容然後用wireshark來抓包看具體流量包內容。          SSL協議棧位置介於TCP和應用層之間,分為SSL記錄協議層和

DHCP協議分析

轉自百度百科: DHCP協議採用UDP作為傳輸協議,主機發送請求訊息到DHCP伺服器的67號埠,DHCP伺服器迴應應答訊息給主機的68號埠。詳細的互動過程如下圖。 DHCP Client以廣播的方式發出DHCP Discover報文。 所有的DHCP Server