#基于C的MySQL数据库审计核心实现#

最新推荐文章于 2022-11-21 11:07:27 发布
最新推荐文章于 2022-11-21 11:07:27 发布
阅读量525 收藏 1
点赞数
分类专栏: 网络协议解析 数据库审计 mysql 文章标签: c 数据库审计 mysql协议解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a59a59/article/details/100879787
版权

一、背景介绍

      目前基于合规性要求,多数用户已经部署或打算部署数据库审计产品,市面审计产品通过旁路形式,对多种数据库进行综合审计(常见的oracle、mysql、sqlserver、db2等都有较好的支持),其核心原理是采集网络数据流量,通过已有的协议树进行匹配解析,最终获取请求语句信息、返回结果信息等内容。

       本文基于C语言,通过对Mysql的协议深度解析,识别网络流量中的请求信息及返回结果信息,通过 Console的形式对外输出。由于环境有限,本文是解析已有的pcap数据包文件,后期可通过扩展libpcap进行旁路采集,利用已有的mysql协议解析代码实现mysql的实时审计。关于libpcap使用,本文不过多介绍。

      在对mysql解析之前,如需要对mysql协议加深了解,请参考MYSQL手册mysql协议分析,本文不过多对mysql协议进行介绍。

     本文还有很多未完善之处,待后续迭代。

二、Mysql网络协议解析

      在读者对第三节代码阅读时,建议读者先了解mysql的网络协议,以便更好读懂代码,如果读者非常了解mysql相关协议,可跳过该节。

      mysql数据类型包括:整数型和字符串型。整数型分为定长型,如:int<1>、int<2>、int<3>、int<4>等。变长型INT<lenenc>,所存储字节数大小取决于第一个字节的数值大小。

     字符串型分为固定长度的字符串、NULL结束的字符串、可变的字符串、长度编码字符串、EOF。

Mysql协议包报文格式如下:

基于C的MySQL数据库审计核心实现(内有干货)

例如COM_INIT_DB(切换数据库)整包字节序列为:07 00 00 00 02,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

图中标识“74 72 73 61 70 70”十六进制转文本后为trsapp,即我们所使用的数据库名。

热身完毕后,我们来看Mysql是怎样交互的。如下图:

基于C的MySQL数据库审计核心实现(内有干货)

      首先mysql是基于TCP协议,所以在建立连接与断开连接时需要三次握手和四次挥手。当客户端连接服务端时,首先TCP三次握手建立连接,随后客户端将用户信息(用户名、密码等)发送与服务端,服务端确认后返回ok_pack/error_pack包信息, OK后,客户端会发送指令至服务端,首先是use database信息,服务端返回ok信息,随后进行select、insert等指令操作。如下图:

基于C的MySQL数据库审计核心实现(内有干货)

客户端要与服务端断开时,发送COM_QUIT(0x01 )数据包,随后进行tcp四次挥手结束。

具体mysql状态码如下:

基于C的MySQL数据库审计核心实现(内有干货)

当我们发送query查询语句时,其流程如下:

基于C的MySQL数据库审计核心实现(内有干货)

客户端发起query查询后,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

mysql返回内容格式为:field_cout字段信息+EOF+返回数据信息,如下图:

基于C的MySQL数据库审计核心实现(内有干货)

1.response返回-file_count字段信息

基于C的MySQL数据库审计核心实现(内有干货)

2.EOF包信息

基于C的MySQL数据库审计核心实现(内有干货)

3.返回数据信息

       EOF Packet,表示结果数据完毕,若此包中的MORE_RESULT不为0 ,则说明接下来还有结果信息,又返回源头继续开始。

如果过程中读到任何一个error包后,读取将结束,并抛出错误。

     以上是mysql协议核心介绍。想必你已经相对了解mysql的协议交互过程啦,如想深入了解,请参考mysql文献资料。

三、效果图及源代码

3.1 navicat请求效果图

3.2 数据包解析效果图

/*
 ============================================================================
 Name        : DatabaseAudit.c
 Author      : wangfeng
 Version     :
 Copyright   : Your copyright notice
 Description : DatabbaseAudit in C, Ansi-style
 ============================================================================
 */

#include <stdio.h>
#include<stdlib.h>
#include<string.h>
#include<netinet/in.h>
#include <arpa/inet.h>
#include<time.h>
#include "DatabaseAudit.h"



//字节流转换为十六进制字符串
void ByteToHexStr(const unsigned char* source, char* dest, int sourceLen)
{
    short i;
    unsigned char highByte, lowByte;

    for (i = 0; i < sourceLen; i++)
    {
        highByte = source[i] >> 4;
        lowByte = source[i] & 0x0f ;

        highByte += 0x30;

        if (highByte > 0x39)
                dest[i * 2] = highByte + 0x07;
        else
                dest[i * 2] = highByte;

        lowByte += 0x30;
        if (lowByte > 0x39)
            dest[i * 2 + 1] = lowByte + 0x07;
        else
            dest[i * 2 + 1] = lowByte;
    }
    return ;
}


void HexStrToByte(const char* source, unsigned char* dest, int sourceLen)
{
    short i;
    unsigned char highByte, lowByte;
    for (i = 0; i < sourceLen; i += 2)
    {
        highByte = toupper(source[i]);
        lowByte  = toupper(source[i + 1]);

        if (highByte > 0x39)
            highByte -= 0x37;
        else
            highByte -= 0x30;

        if (lowByte > 0x39)
            lowByte -= 0x37;
        else
            lowByte -= 0x30;

        dest[i / 2] = (highByte << 4) | lowByte;
    }
    return ;
}


/* 返回ch字符在sign数组中的序号 */
int getIndexOfSigns(char ch)
{
    if(ch >= '0' && ch <= '9')
    {
        return ch - '0';
    }
    if(ch >= 'A' && ch <='F')
    {
        return ch - 'A' + 10;
    }
    if(ch >= 'a' && ch <= 'f')
    {
        return ch - 'a' + 10;
    }
    return -1;
}

/* 十六进制数转换为十进制数 */
long hexToDecNew(char *source)
{
    long sum = 0;
    long t = 1;
    int i, len;

    len = strlen(source);
    for(i=len-1; i>=0; i--)
    {
        sum += t * getIndexOfSigns(*(source + i));
        t *= 16;
    }

    return sum;
}


void analysisMysql(){

	//define
	//pcap_file_head *pcapFileHead;

	pcap_head *pcapHead;

	frame_head *frameHead;

	ip_head *ipHead;

	tcp_head *tcpHead;

	mysql_request_head * mysqlHead, * mysqlCHHead;
	mysql_request_eof  *mysqlRequestEof;

	int offset=0,dataOffset=54;

	char src_ip[STRSIZE], dst_ip[STRSIZE] ;

	unsigned char *mysqlTmp = (unsigned char *)malloc(sizeof(unsigned char));

	int src_port, dst_port, tcp_flags;
	int i;
	FILE *fp; //文件

	//初始化,动态内存分配
	//pcapFileHead = ( pcap_file_head *)malloc(sizeof( pcap_file_head));

	pcapHead  = ( pcap_head *)malloc(sizeof( pcap_head));

	frameHead = ( frame_head *)malloc(sizeof(frame_head));

	ipHead = (ip_head *)malloc(sizeof(ip_head));

	tcpHead = (tcp_head *)malloc(sizeof(tcp_head));

	mysqlHead = (mysql_request_head *)malloc(sizeof(mysql_request_head));

	mysqlCHHead =(mysql_request_head *)malloc(sizeof(mysql_request_head));

	mysqlRequestEof=(mysql_request_eof *)malloc(sizeof(mysql_request_eof));

	int mysqlEof= 0;

	if((fp=fopen("/home/roo/eclipse-workspace/DatabaseAudit/src/mysql1.pcap","rb"))==NULL){

		 printf("error: can not open pcap file\n");

		 exit(0);
	}

	offset = 24; //pcap文件头结构 24个字节
	//fseek函数是 用来设定文件的当前读写位置.
	while(fseek(fp, offset, SEEK_SET) == 0) //遍历数据包(fseek 文件随机定位 文件/偏移值/从0开始)
	{
	  dataOffset=54;
	  /**
	   * ---------pcap数据帧-------
	   */
		if(fread(pcapHead, sizeof(pcap_head), 1, fp) != 1){
			break;
		 }
		offset += 16 + pcapHead->caplen; //数据包长度
		/**
		  * ---------数据帧-------
		 */
		if(fread(frameHead,sizeof(frame_head), 1, fp)!= 1){
			break;
		}
		printf("destination: %02x:%02x:%02x:%02x:%02x:%02x \n",frameHead->dstMAC[0], frameHead->dstMAC[1],frameHead->dstMAC[2],frameHead->dstMAC[3],frameHead->dstMAC[4], frameHead->dstMAC[5]);
		printf("src: %02x:%02x:%02x:%02x:%02x:%02x \n",frameHead->srcMAC[0], frameHead->srcMAC[1],frameHead->srcMAC[2],frameHead->srcMAC[3],frameHead->srcMAC[4], frameHead->srcMAC[5]);
		printf("frame type: 0x%x---------%x\n", ntohs(frameHead->frameType),frameHead->frameType);
		/**
		 * ---------IP帧-------
		 */

		if(fread(ipHead,sizeof(ip_head), 1, fp)!= 1){
					break;
		}
		inet_ntop(AF_INET, (void *)&(ipHead->SrcIP), src_ip, 16); //将数值格式转化为点分十进制的ip地址格式
		inet_ntop(AF_INET, (void *)&(ipHead->DstIP), dst_ip, 16);//将数值格式转化为点分十进制的ip地址格式
		printf("src_ip:::%s    dst_ip:::::%s  Flag_Segment::::: %x \n",src_ip,dst_ip,ipHead->Flag_Segment);

		/**
			* ---------TCP帧-------
		 */
		if(fread(tcpHead, sizeof(tcp_head), 1, fp)!= 1){
			break;
		}
		 //网络字节序和主机字节序的转换
		src_port = ntohs(tcpHead->SrcPort);
		//printf("-------%d-------%d\n",tcp_header->SrcPort,src_port);
		dst_port = ntohs(tcpHead->DstPort);

		tcp_flags = tcpHead->Flags;
		printf("src_port:::%d    dst_port:::%d  tcp_flags::: %x \n",src_port,dst_port,tcp_flags);

		/**
		* ---------MYSQL帧-------
		*/

		if(fread(mysqlHead, sizeof(mysql_request_head), 1, fp)!= 1){
			break;
		}
		dataOffset+=sizeof(mysql_request_head);
		printf("packetLength:%x \npacketNumber:%d \nlen:%d\n",mysqlHead->packetLength[0],mysqlHead->packetNumber,pcapHead->caplen);
		//遍历column信息,应再判断上一个数据包是否为query请求[返回信息]
		if(mysqlHead->packetLength[0] == 0x01 && mysqlHead->packetLength[1] == 0x00 && mysqlHead->packetLength[2] == 0x00 && mysqlHead->packetNumber == 0x1){

			//读取列数
			if(fread(mysqlTmp, sizeof(unsigned char), 1, fp)!= 1){
				break;
			}
			dataOffset+=sizeof(unsigned char);
			//遍历该tcp会话下的所有mysql的ColumnDefinition包
			//https://blog.csdn.net/dawn_sf/article/details/80800183
			//https://www.callmejiagu.com/2018/10/29/%E5%AE%9E%E7%8E%B0%E8%87%AA%E5%B7%B1%E7%9A%84%E6%95%B0%E6%8D%AE%E5%BA%93%E9%A9%B1%E5%8A%A8%E2%80%94%E2%80%94MySQL%E5%8D%8F%E8%AE%AEResult%E5%8C%85%E8%A7%A3%E6%9E%90%EF%BC%88%E5%85%AD%EF%BC%89/
			//https://dev.mysql.com/doc/internals/en/com-query-response.html#packet-Protocol::ColumnDefinition
			printf("列定义信息 \n");
			for(i=0;i<*mysqlTmp;i++){
				if(fread(mysqlCHHead, sizeof(mysql_request_head), 1, fp)!= 1){ //读取mysql头部
					break;
				}
				dataOffset+=sizeof(mysql_request_head);
				//printf("%d--",sizeof(mysqlCHHead->packetLength[0]));
				//动态创建对应mysqldata内存
				unsigned char *mysqlData = (unsigned char *)malloc(mysqlCHHead->packetLength[0] * sizeof(unsigned char));
				if(fread(mysqlData, (mysqlCHHead->packetLength[0] * sizeof(unsigned char)), 1, fp)!= 1){ //读取mysql数据
					break;
				}
				printf("%s\n",mysqlData);
				dataOffset+=mysqlCHHead->packetLength[0] * sizeof(unsigned char);
			   free(mysqlData);
			//	fseek(fp, (mysqlCHHead->packetLength[0]), SEEK_CUR); //下一个mysql包
			}



			//再读取一个eof包表示ColumnDefinition包流结束.
			//fe 00 00 22 00
			//读取mysql--eof
			if(fread(mysqlRequestEof, sizeof(mysql_request_eof), 1, fp)!= 1){
				break;
			}
			dataOffset+=sizeof(mysql_request_eof);

			//printf("%x---%x--%x--%x--%x",mysqlRequestEof->header,mysqlRequestEof->warnings[0],mysqlRequestEof->warnings[1],mysqlRequestEof->status_flags[0],mysqlRequestEof->status_flags[1]);
			//判断 eof
			if(mysqlRequestEof->header == 0xfe){

				mysqlEof++;

			}
			printf("查询返回信息\n");
			while(dataOffset<=pcapHead->caplen){
				//获取查询的结果信息
				if(fread(mysqlCHHead, sizeof(mysql_request_head), 1, fp)!= 1){
					  break;
				 }
				dataOffset+=sizeof(mysql_request_head);
				//获取请求信息
				char pLenArray[6];
				sprintf(pLenArray,"%02x%02x%02x",mysqlCHHead->packetLength[2],mysqlCHHead->packetLength[1],mysqlCHHead->packetLength[0]);
			   long pLen =hexToDecNew(pLenArray);//读取对应的row内容大小
				unsigned char *mysqlRowData = (unsigned char *)malloc(pLen * sizeof(unsigned char));
				dataOffset+=pLen * sizeof(unsigned char);
				for(i=0;i<pLen;i++){
					if(fread(mysqlRowData, (sizeof(unsigned char)), 1, fp)!= 1){ //读取mysql rom数据
						continue;
					}
					printf("%s",mysqlRowData);
				}
				printf("\n");
				free(mysqlRowData);
			}
			free(mysqlCHHead);
		}else{
			printf("查询信息:\n");
			unsigned char *mysqlData_new = (unsigned char *)malloc(mysqlHead->packetLength[0] * sizeof(unsigned char));
			if(fread(mysqlData_new, (mysqlHead->packetLength[0] *sizeof(unsigned char)), 1, fp)!= 1){
				break;
			}
			printf("%s\n",mysqlData_new);
			free(mysqlData_new);
		}
	}
	fclose(fp);

}

int main(void) {
	analysisMysql();
	return EXIT_SUCCESS;
}

 

 

登峰造Geek
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
MySQL配置数据库审计
水布天
02-28 3889
MySQL 5.7.39 配置数据库审计功能
linux系统centos7服务器开启mysql数据库审计
mangobot的博客
03-02 4596
开启审计 vim /etc/my.cnf 在/etc/my.cnf中添加下述配置 [mysqld] general_log = on // on为开启;off为关闭 general_log_file = /var/log/generalLog.log // 审计信息存储位置 log_timestamps = SYSTEM //设置日志...
MySQL数据库审计系统
热门推荐
Enweitech Software Works
08-06 1万+
数据库审计 数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。 数据库审计数据库安全技术之一,数据库安全技术主要包括:数据库漏扫、数据库加密、数...
MySQL审计
qq_43934844的博客
11-21 510
MySQL审计
mysql开启数据库审计功能_mysql数据库开启审计功能
weixin_31363631的博客
01-19 2588
MySQL审计功能,主要可以记录下对数据库的所有操作,包括登录、连接、对表的增删改查等,便于责任追溯,问题查找,当然一定方面也会影响数据库效率。根据MySQL版本的不同有两种分为企业版和社区版:a、企业版MySQL Enterprise Edition(收费)自带AUDIT审计功能。b、社区版MySQL Community Server(免费)需要自己下载插件。为社区版提供审计的插件的...
基于php+mysql日志审计管理系统
05-25
2. **MySQL数据库设计**: MySQL是流行的开源关系型数据库管理系统,用于存储和检索日志数据。设计合理的数据库模式对于日志审计至关重要,包括用户表、日志表、监控规则表等,确保数据结构清晰,查询性能优秀。 3...
数据库审计系统核心指标浅析 .pdf
06-01
本文将深入探讨数据库审计系统的核心指标,以帮助企业做出明智的选择。 首先,一个优秀的数据库审计系统必须具备全面丰富的审计类型。它应该支持SQL-92标准,并覆盖ORACLE、SQL SERVER、MYSQL、DB2、Sybase、...
数据库面试题包括Oracle和mysql
最新发布
07-12
8. **安全性**:知道如何创建和管理用户权限,理解角色和权限的概念,以及如何设置数据库审计。 接下来,MySQL是一个开源、轻量级的数据库系统,广泛应用于Web应用程序。面试中,MySQL的相关知识点可能涵盖: 1. *...
Python-基于Inception开发的MySQL数据库审核平台支持审核执行备份回滚EMail推送等功能
08-10
标题提到的是一个使用Python编程语言构建的MySQL数据库审核平台,该平台是基于Inception框架进行开发的。Inception是一个强大的MySQL数据库变更管理和审计工具,它提供了对数据库操作的审核、执行、备份以及回滚等...
mysql数据库程序设计练习题.docx
09-30
MySQL数据库程序设计涉及众多核心概念和操作,这些在练习题中得到了体现。首先,数据库系统的核心数据库管理系统(B),它负责管理和控制数据库,提供数据定义、数据操纵和数据控制等功能。SQL语言作为数据库的...
mysql利用init-connect增加访问审计功能的实现
12-15
mysql的连接首先都是要通过init-connect初始化,然后连接到实例。 我们利用这一点,通过在init-connect的时候记录下用户的thread_id,用户名和用户地址实现db的访问审计功能。 实现步骤 1、创建审计用的库表。 为了不与业务的库冲突,单独创建自己的库: #建库表代码 create database db_monitor ; use db_monitor ; CREATE TABLE accesslog ( thread_id int(11) DEFAULT NULL, #进程id log_time datetime default null, #登录时间
Mysql5.7 数据库日志审计功能-附件资源
03-02
Mysql5.7 数据库日志审计功能-附件资源
信息安全时代呼唤数据库审计和风险控制
03-04
明御数据库防御与审计系统(DAS-DBAuditor)是自动化“评估/审计/保护”数据库运行的安全解决方案,支持Oracle、MS-SQL Server、 DB2及Sybase等业界主流数据库。专利级的双引擎技术使得数据库异常行为的检测正确率大幅度提升,同时高速环境下的线速捕获技术的采用,为DAS-DBAuditor的审计信息完整捕获提供了技术保障。
MySQL审计工具AuditPlugin安装使用
07-12
MySQL审计工具AuditPlugin安装使用手册,方便使用MYSQL的DBA部署审计
mysql-审计功能
line_on_database的博客
11-30 2049
一、获取插件 1.下载mariadb的压缩包 重点:如果是mysql5.7不要使用mariadb10.6版本的插件 下载链接:https://downloads.mariadb.org/mariadb/ 2.找到对应的审计插件 find ./* | grep server_audit.so 二、mysql安装插件 1.将插件迁移到mysql插件目录下 # 这个插件目录要根据自己的为准 cp server_audit.so /usr/local/mysql/lib/plugin 2.更改文件属主、组 ch
如何实现MySQL数据库使用情况的审计
weixin_30332705的博客
08-07 211
如何实现MySQL数据库使用情况的审计 最佳答案 mysql审计功能 mysql服务器自身没有提供审计功能,但是我们可以使用init-connect + binlog的方法进行mysql的操作审计。由于mysql binlog记录了所有对数据库长生实际修改的sql语句,及其执行时间,和connection_id但是却没有记录connection_id对应的...
基于MySQL 数据库审计设计方案
上帝之手&传奇 - MartinLee
01-18 3445
点击打开链接  --源地址信息  目录   1  xxx基于数据库审计基本信息 2  场景描述 3  使用范围规则 4  角色与职责 5  审计系统环境的部署 5.1 MySQL数据库部署 5.2 Replicate 部署 5.3 半同步复制配置 5.4 备份策略  6 审计操作 6.1数据库层面审计操作
市面上出现的两种数据库审计技术有何差别
weixin_34342992的博客
11-01 437
在日渐火热的数据库安全领域,数据库审计应该是应用最为广泛,用户接受度最高的产品了,没有之一。 本文将对目前数据库审计市场上的两类技术路线进行分析,从使用效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值。希望能为广大用户在数据库审计产品的选型上提供参考依据。 概括来讲,两类数据库审计的技术路线区别,根本来自于两者的部署方...
数据库权限分配和Mysql审计功能
keq_keq的博客
05-10 3747
实验2:数据库安全性定义与检查 实验2.1 自主存取控制实验 (1)实验目的 掌握自主存取控制权限的定义和维护方法。 (2)实验内容和要求 定义用户、角色,分配权限给用户、角色,回收权限,以相应的用户名登录数据库验证权限分配是否正确。选择一个应用场景,使用自主存取控制机制设计权限分配。可以采用两种方案。方案一:采用SYSTEM超级用户登录数据库,完成所有权限分配工作,然后用相应用户名登...
用c语言基于mysql数据库实现用户登陆接口
06-07
好的,以下是一个基于 C 语言和 MySQL 数据库实现用户登录接口的示例。 首先,您需要使用 C 语言中的 MySQL C API 连接到 MySQL 数据库。以下是一个简单的示例: ```c #include <mysql/mysql.h> // 连接 MySQL ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

登峰造Geek

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值