#基于C的MySQL数据库审计核心实现#

最新推荐文章于 2024-08-23 14:40:03 发布
最新推荐文章于 2024-08-23 14:40:03 发布
阅读量558 收藏 1
点赞数
分类专栏: 网络协议解析 数据库审计 mysql 文章标签: c 数据库审计 mysql协议解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a59a59/article/details/100879787
版权

一、背景介绍

      目前基于合规性要求,多数用户已经部署或打算部署数据库审计产品,市面审计产品通过旁路形式,对多种数据库进行综合审计(常见的oracle、mysql、sqlserver、db2等都有较好的支持),其核心原理是采集网络数据流量,通过已有的协议树进行匹配解析,最终获取请求语句信息、返回结果信息等内容。

       本文基于C语言,通过对Mysql的协议深度解析,识别网络流量中的请求信息及返回结果信息,通过 Console的形式对外输出。由于环境有限,本文是解析已有的pcap数据包文件,后期可通过扩展libpcap进行旁路采集,利用已有的mysql协议解析代码实现mysql的实时审计。关于libpcap使用,本文不过多介绍。

      在对mysql解析之前,如需要对mysql协议加深了解,请参考MYSQL手册mysql协议分析,本文不过多对mysql协议进行介绍。

     本文还有很多未完善之处,待后续迭代。

二、Mysql网络协议解析

      在读者对第三节代码阅读时,建议读者先了解mysql的网络协议,以便更好读懂代码,如果读者非常了解mysql相关协议,可跳过该节。

      mysql数据类型包括:整数型和字符串型。整数型分为定长型,如:int<1>、int<2>、int<3>、int<4>等。变长型INT<lenenc>,所存储字节数大小取决于第一个字节的数值大小。

     字符串型分为固定长度的字符串、NULL结束的字符串、可变的字符串、长度编码字符串、EOF。

Mysql协议包报文格式如下:

基于C的MySQL数据库审计核心实现(内有干货)

例如COM_INIT_DB(切换数据库)整包字节序列为:07 00 00 00 02,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

图中标识“74 72 73 61 70 70”十六进制转文本后为trsapp,即我们所使用的数据库名。

热身完毕后,我们来看Mysql是怎样交互的。如下图:

基于C的MySQL数据库审计核心实现(内有干货)

      首先mysql是基于TCP协议,所以在建立连接与断开连接时需要三次握手和四次挥手。当客户端连接服务端时,首先TCP三次握手建立连接,随后客户端将用户信息(用户名、密码等)发送与服务端,服务端确认后返回ok_pack/error_pack包信息, OK后,客户端会发送指令至服务端,首先是use database信息,服务端返回ok信息,随后进行select、insert等指令操作。如下图:

基于C的MySQL数据库审计核心实现(内有干货)

客户端要与服务端断开时,发送COM_QUIT(0x01 )数据包,随后进行tcp四次挥手结束。

具体mysql状态码如下:

基于C的MySQL数据库审计核心实现(内有干货)

当我们发送query查询语句时,其流程如下:

基于C的MySQL数据库审计核心实现(内有干货)

客户端发起query查询后,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

mysql返回内容格式为:field_cout字段信息+EOF+返回数据信息,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

1.response返回-file_count字段信息

基于C的MySQL数据库审计核心实现(内有干货)

2.EOF包信息

基于C的MySQL数据库审计核心实现(内有干货)

3.返回数据信息

       EOF Packet,表示结果数据完毕,若此包中的MORE_RESULT不为0 ,则说明接下来还有结果信息,又返回源头继续开始。

如果过程中读到任何一个error包后,读取将结束,并抛出错误。

     以上是mysql协议核心介绍。想必你已经相对了解mysql的协议交互过程啦,如想深入了解,请参考mysql文献资料。

三、效果图及源代码

3.1 navicat请求效果图

3.2 数据包解析效果图

/*
 ============================================================================
 Name        : DatabaseAudit.c
 Author      : wangfeng
 Version     :
 Copyright   : Your copyright notice
 Description : DatabbaseAudit in C, Ansi-style
 ============================================================================
 */

#include <stdio.h>
#include<stdlib.h>
#include<string.h>
#include<netinet/in.h>
#include <arpa/inet.h>
#include<time.h>
#include "DatabaseAudit.h"



//字节流转换为十六进制字符串
void ByteToHexStr(const unsigned char* source, char* dest, int sourceLen)
{
    short i;
    unsigned char highByte, lowByte;

    for (i = 0; i < sourceLen; i++)
    {
        highByte = source[i] >> 4;
        lowByte = source[i] & 0x0f ;

        highByte += 0x30;

        if (highByte > 0x39)
                dest[i * 2] = highByte + 0x07;
        else
                dest[i * 2] = highByte;

        lowByte += 0x30;
        if (lowByte > 0x39)
            dest[i * 2 + 1] = lowByte + 0x07;
        else
            dest[i * 2 + 1] = lowByte;
    }
    return ;
}


void HexStrToByte(const char* source, unsigned char* dest, int sourceLen)
{
    short i;
    unsigned char highByte, lowByte;
    for (i = 0; i < sourceLen; i += 2)
    {
        highByte = toupper(source[i]);
        lowByte  = toupper(source[i + 1]);

        if (highByte > 0x39)
            highByte -= 0x37;
        else
            highByte -= 0x30;

        if (lowByte > 0x39)
            lowByte -= 0x37;
        else
            lowByte -= 0x30;

        dest[i / 2] = (highByte << 4) | lowByte;
    }
    return ;
}


/* 返回ch字符在sign数组中的序号 */
int getIndexOfSigns(char ch)
{
    if(ch >= '0' && ch <= '9')
    {
        return ch - '0';
    }
    if(ch >= 'A' && ch <='F')
    {
        return ch - 'A' + 10;
    }
    if(ch >= 'a' && ch <= 'f')
    {
        return ch - 'a' + 10;
    }
    return -1;
}

/* 十六进制数转换为十进制数 */
long hexToDecNew(char *source)
{
    long sum = 0;
    long t = 1;
    int i, len;

    len = strlen(source);
    for(i=len-1; i>=0; i--)
    {
        sum += t * getIndexOfSigns(*(source + i));
        t *= 16;
    }

    return sum;
}


void analysisMysql(){

	//define
	//pcap_file_head *pcapFileHead;

	pcap_head *pcapHead;

	frame_head *frameHead;

	ip_head *ipHead;

	tcp_head *tcpHead;

	mysql_request_head * mysqlHead, * mysqlCHHead;
	mysql_request_eof  *mysqlRequestEof;

	int offset=0,dataOffset=54;

	char src_ip[STRSIZE], dst_ip[STRSIZE] ;

	unsigned char *mysqlTmp = (unsigned char *)malloc(sizeof(unsigned char));

	int src_port, dst_port, tcp_flags;
	int i;
	FILE *fp; //文件

	//初始化,动态内存分配
	//pcapFileHead = ( pcap_file_head *)malloc(sizeof( pcap_file_head));

	pcapHead  = ( pcap_head *)malloc(sizeof( pcap_head));

	frameHead = ( frame_head *)malloc(sizeof(frame_head));

	ipHead = (ip_head *)malloc(sizeof(ip_head));

	tcpHead = (tcp_head *)malloc(sizeof(tcp_head));

	mysqlHead = (mysql_request_head *)malloc(sizeof(mysql_request_head));

	mysqlCHHead =(mysql_request_head *)malloc(sizeof(mysql_request_head));

	mysqlRequestEof=(mysql_request_eof *)malloc(sizeof(mysql_request_eof));

	int mysqlEof= 0;

	if((fp=fopen("/home/roo/eclipse-workspace/DatabaseAudit/src/mysql1.pcap","rb"))==NULL){

		 printf("error: can not open pcap file\n");

		 exit(0);
	}

	offset = 24; //pcap文件头结构 24个字节
	//fseek函数是 用来设定文件的当前读写位置.
	while(fseek(fp, offset, SEEK_SET) == 0) //遍历数据包(fseek 文件随机定位 文件/偏移值/从0开始)
	{
	  dataOffset=54;
	  /**
	   * ---------pcap数据帧-------
	   */
		if(fread(pcapHead, sizeof(pcap_head), 1, fp) != 1){
			break;
		 }
		offset += 16 + pcapHead->caplen; //数据包长度
		/**
		  * ---------数据帧-------
		 */
		if(fread(frameHead,sizeof(frame_head), 1, fp)!= 1){
			break;
		}
		printf("destination: %02x:%02x:%02x:%02x:%02x:%02x \n",frameHead->dstMAC[0], frameHead->dstMAC[1],frameHead->dstMAC[2],frameHead->dstMAC[3],frameHead->dstMAC[4], frameHead->dstMAC[5]);
		printf("src: %02x:%02x:%02x:%02x:%02x:%02x \n",frameHead->srcMAC[0], frameHead->srcMAC[1],frameHead->srcMAC[2],frameHead->srcMAC[3],frameHead->srcMAC[4], frameHead->srcMAC[5]);
		printf("frame type: 0x%x---------%x\n", ntohs(frameHead->frameType),frameHead->frameType);
		/**
		 * ---------IP帧-------
		 */

		if(fread(ipHead,sizeof(ip_head), 1, fp)!= 1){
					break;
		}
		inet_ntop(AF_INET, (void *)&(ipHead->SrcIP), src_ip, 16); //将数值格式转化为点分十进制的ip地址格式
		inet_ntop(AF_INET, (void *)&(ipHead->DstIP), dst_ip, 16);//将数值格式转化为点分十进制的ip地址格式
		printf("src_ip:::%s    dst_ip:::::%s  Flag_Segment::::: %x \n",src_ip,dst_ip,ipHead->Flag_Segment);

		/**
			* ---------TCP帧-------
		 */
		if(fread(tcpHead, sizeof(tcp_head), 1, fp)!= 1){
			break;
		}
		 //网络字节序和主机字节序的转换
		src_port = ntohs(tcpHead->SrcPort);
		//printf("-------%d-------%d\n",tcp_header->SrcPort,src_port);
		dst_port = ntohs(tcpHead->DstPort);

		tcp_flags = tcpHead->Flags;
		printf("src_port:::%d    dst_port:::%d  tcp_flags::: %x \n",src_port,dst_port,tcp_flags);

		/**
		* ---------MYSQL帧-------
		*/

		if(fread(mysqlHead, sizeof(mysql_request_head), 1, fp)!= 1){
			break;
		}
		dataOffset+=sizeof(mysql_request_head);
		printf("packetLength:%x \npacketNumber:%d \nlen:%d\n",mysqlHead->packetLength[0],mysqlHead->packetNumber,pcapHead->caplen);
		//遍历column信息,应再判断上一个数据包是否为query请求[返回信息]
		if(mysqlHead->packetLength[0] == 0x01 && mysqlHead->packetLength[1] == 0x00 && mysqlHead->packetLength[2] == 0x00 && mysqlHead->packetNumber == 0x1){

			//读取列数
			if(fread(mysqlTmp, sizeof(unsigned char), 1, fp)!= 1){
				break;
			}
			dataOffset+=sizeof(unsigned char);
			//遍历该tcp会话下的所有mysql的ColumnDefinition包
			//https://blog.csdn.net/dawn_sf/article/details/80800183
			//https://www.callmejiagu.com/2018/10/29/%E5%AE%9E%E7%8E%B0%E8%87%AA%E5%B7%B1%E7%9A%84%E6%95%B0%E6%8D%AE%E5%BA%93%E9%A9%B1%E5%8A%A8%E2%80%94%E2%80%94MySQL%E5%8D%8F%E8%AE%AEResult%E5%8C%85%E8%A7%A3%E6%9E%90%EF%BC%88%E5%85%AD%EF%BC%89/
			//https://dev.mysql.com/doc/internals/en/com-query-response.html#packet-Protocol::ColumnDefinition
			printf("列定义信息 \n");
			for(i=0;i<*mysqlTmp;i++){
				if(fread(mysqlCHHead, sizeof(mysql_request_head), 1, fp)!= 1){ //读取mysql头部
					break;
				}
				dataOffset+=sizeof(mysql_request_head);
				//printf("%d--",sizeof(mysqlCHHead->packetLength[0]));
				//动态创建对应mysqldata内存
				unsigned char *mysqlData = (unsigned char *)malloc(mysqlCHHead->packetLength[0] * sizeof(unsigned char));
				if(fread(mysqlData, (mysqlCHHead->packetLength[0] * sizeof(unsigned char)), 1, fp)!= 1){ //读取mysql数据
					break;
				}
				printf("%s\n",mysqlData);
				dataOffset+=mysqlCHHead->packetLength[0] * sizeof(unsigned char);
			   free(mysqlData);
			//	fseek(fp, (mysqlCHHead->packetLength[0]), SEEK_CUR); //下一个mysql包
			}



			//再读取一个eof包表示ColumnDefinition包流结束.
			//fe 00 00 22 00
			//读取mysql--eof
			if(fread(mysqlRequestEof, sizeof(mysql_request_eof), 1, fp)!= 1){
				break;
			}
			dataOffset+=sizeof(mysql_request_eof);

			//printf("%x---%x--%x--%x--%x",mysqlRequestEof->header,mysqlRequestEof->warnings[0],mysqlRequestEof->warnings[1],mysqlRequestEof->status_flags[0],mysqlRequestEof->status_flags[1]);
			//判断 eof
			if(mysqlRequestEof->header == 0xfe){

				mysqlEof++;

			}
			printf("查询返回信息\n");
			while(dataOffset<=pcapHead->caplen){
				//获取查询的结果信息
				if(fread(mysqlCHHead, sizeof(mysql_request_head), 1, fp)!= 1){
					  break;
				 }
				dataOffset+=sizeof(mysql_request_head);
				//获取请求信息
				char pLenArray[6];
				sprintf(pLenArray,"%02x%02x%02x",mysqlCHHead->packetLength[2],mysqlCHHead->packetLength[1],mysqlCHHead->packetLength[0]);
			   long pLen =hexToDecNew(pLenArray);//读取对应的row内容大小
				unsigned char *mysqlRowData = (unsigned char *)malloc(pLen * sizeof(unsigned char));
				dataOffset+=pLen * sizeof(unsigned char);
				for(i=0;i<pLen;i++){
					if(fread(mysqlRowData, (sizeof(unsigned char)), 1, fp)!= 1){ //读取mysql rom数据
						continue;
					}
					printf("%s",mysqlRowData);
				}
				printf("\n");
				free(mysqlRowData);
			}
			free(mysqlCHHead);
		}else{
			printf("查询信息:\n");
			unsigned char *mysqlData_new = (unsigned char *)malloc(mysqlHead->packetLength[0] * sizeof(unsigned char));
			if(fread(mysqlData_new, (mysqlHead->packetLength[0] *sizeof(unsigned char)), 1, fp)!= 1){
				break;
			}
			printf("%s\n",mysqlData_new);
			free(mysqlData_new);
		}
	}
	fclose(fp);

}

int main(void) {
	analysisMysql();
	return EXIT_SUCCESS;
}

 

 

登峰造Geek
关注
专栏目录
mysql安全-数据库审计(audit)
jesseyoung
11-14 1万+
1 简介     数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。     在MySQL数据库中(5.5版本),增加了一个新的插件:Audit
python怎么建立mysql数据库索引_python之路_mysql数据库索引相关
weixin_35629057的博客
01-27 801
索引本质都是:通过不断地缩小想要获取数据的范围来筛选出最终想要的结果,同时把随机的事件变成顺序的事件,也就是说,有了这种索引机制,我们可以总是用同一种查找方式来锁定数据。索引的主要的功能就是加速查找。一、mysql的常见索引普通索引INDEX:加速查找唯一索引:-主键索引PRIMARY KEY:加速查找+约束(不为空、不能重复)-唯一索引UNIQUE:加速查找+约束(不能重复)联合索引:-PRIM...
c语言连接mysql_MySQL数据库审计核心实现(内有代码)
weixin_39783771的博客
11-29 129
大家好,今天分享关于基于C语言的Mysql数据库审计核心实现。本篇首先介绍MySQL网络协议,然后再介绍代码如何通过旁路镜像的方式实现数据库审计(我写的是针对pcap包,如果你希望通过旁路镜像方式,稍微改造即可)。目前业界有非常多的数据库审计产品,基本是以流量或者探针形式对数据库进行综合审计,功能包括:审计查询、攻击检测、越权访问等。其核心基本是建立在操作语句识别及返回结果识别基础上形成的不同...
数据库(mysql)审计二(自带审计功能)
最新发布
fangyingquano的专栏
08-23 1166
对于失败的连接,日志包含错误代码,可以定义一个用户列表,其中的事件可以被排除或包括在跟踪他们的数据库活动中。由MariaDB审计插件记录的事件通常被分组为不同的类型:连接、查询和表事件,若要基于这些类型的事件进行日志记录,请将变量SERVER_AUDIT_Events设置为连接、查询或表。server_audit_file_path:如server_audit_output_type为FILE,使用该变量设置存储日志的文件,可以指定目录,默认存放在数据目录的server_audit.log文件中。
干货 | MySQL数据库安全之审
weixin_33933118的博客
05-30 408
干货 | MySQL数据库安全之审计 原创:李勇京东云开发者社区今天 每家公司都希望业务高速增长,最好能出几个爆款产品或者爆款业务,从而带动公司营收高速攀升。但站在数据库管理员的角度,这却是实实在在的压力,业务高速增长必然带来数据量的暴增。数据库系统的选型和设计是支撑整个业务系统的重要因素。 MySQL数据库是基于云原生的数据库产品之一,云原生为云数据库提供了重要动力,相比于传统自建数...
mysql审计_mysql实现访问审计
weixin_32646781的博客
01-18 112
mysql的连接首先都是通过init_connect初始化,然后连接到实例。我们利用这一点,通过在init_connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。首先我们先创建审计用的库表为了不与业务的库冲突,单独创建自己的库:create database db_monitor;use db_monitor;create table monitor (thr...
如何实现MySQL数据库使用情况的审计
weixin_30332705的博客
08-07 232
如何实现MySQL数据库使用情况的审计 最佳答案 mysql审计功能 mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的...
Python-基于Inception开发的MySQL数据库审核平台支持审核执行备份回滚EMail推送等功能
08-10
标题提到的是一个使用Python编程语言构建的MySQL数据库审核平台,该平台是基于Inception框架进行开发的。Inception是一个强大的MySQL数据库变更管理和审计工具,它提供了对数据库操作的审核、执行、备份以及回滚等...
数据库审计系统核心指标浅析 .pdf
06-01
本文将深入探讨数据库审计系统的核心指标,以帮助企业做出明智的选择。 首先,一个优秀的数据库审计系统必须具备全面丰富的审计类型。它应该支持SQL-92标准,并覆盖ORACLE、SQL SERVER、MYSQL、DB2、Sybase、...
基于php+mysql日志审计管理系统
05-25
2. **MySQL数据库设计**: MySQL是流行的开源关系型数据库管理系统,用于存储和检索日志数据。设计合理的数据库模式对于日志审计至关重要,包括用户表、日志表、监控规则表等,确保数据结构清晰,查询性能优秀。 3...
MySQL数据库异地恢复:实现灾难恢复的有效手段
[MySQL数据库异地恢复:实现灾难恢复的有效手段](https://img-blog.csdnimg.cn/direct/4affa524c8fe4b3b855cdced6fc850b1.png) # 1. MySQL数据库异地恢复概述 异地恢复是指将数据库的数据和结构复制到异地的数据...
mysql利用init-connect增加访问审计功能的实现
12-15
mysql的连接首先都是要通过init-connect初始化,然后连接到实例。 我们利用这一点,通过在init-connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。 实现步骤 1、创建审计用的库表。 为了不与业务的库冲突,单独创建自己的库: #建库表代码 create database db_monitor ; use db_monitor ; CREATE TABLE accesslog ( thread_id int(11) DEFAULT NULL, #进程id log_time datetime default null, #登录时间
inception-master源代码、数据库审计平台
07-11
数据库审计平台源码,原作者github代码已经删除,把自己留存的代码发出来供大家使用
Mysql5.7 数据库日志审计功能-附件资源
03-02
Mysql5.7 数据库日志审计功能-附件资源
MySQL配置数据库审计
水布天
02-28 4233
MySQL 5.7.39 配置数据库审计功能
Mysql数据库审计
cn00909332的博客
05-23 255
Mysql数据库审计 简介 数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通...
mysql数据库审计(1)
2301_76957510的博客
04-14 2054
对于每个客户端会话,它记录谁连接到服务器(即用户名和主机),执行了哪些查询,访问了哪些表以及更改了服务器变量。插件自己的日志文件使用的格式与它记录到系统日志时使用的格式略有不同,因为它具有自己的标准格式。您可以设置与日志相关的这些变量,例如它们的位置,大小限制,旋转参数和日志信息的方法。记录的动作类型:CONNECT,QUERY,READ,WRITE,CREATE,ALTER,RENAME,DROP。输出为空,则编译时缺少该参数,不可用。还可以设置要记录的信息,例如连接,断开连接和失败的连接尝试。
mysql 访问审计_mysql实现访问审计
weixin_39540020的博客
01-27 90
mysql的连接首先都是通过init_connect初始化,然后连接到实例。我们利用这一点,通过在init_connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。首先我们先创建审计用的库表为了不与业务的库冲突,单独创建自己的库:create database db_monitor;use db_monitor;create table monitor (thr...
MySQL与Git驱动的数据库DevOps实践:解决开发与运维矛盾
开发团队使用如Git进行版本控制,实现代码的版本迭代和协同开发,而运维团队则利用Git来管理数据库变更历史,便于回滚和审计。通过持续部署工具,如Jenkins或Travis CI,可以自动化将代码部署到各个环境,减少手动...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

登峰造Geek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值