Redis抓包分析案例一则

最新推荐文章于 2024-05-11 13:06:42 发布
最新推荐文章于 2024-05-11 13:06:42 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Redis 文章标签: redis tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcj_888/article/details/121177171
版权

问题描述

业务背景: 有一台由多个Docker容器组成的仿真设备环境,1个Docker部署Redis服务端,剩余每个Docker都作为Redis客户端,用于模拟一块单板。

问题: 仿真设备启动中,概率出现Redis的某个字符串键被不符合预期地改写成空串,导致客户端Docker从Redis获取的数据有问题。需要定位是哪个Docker上的哪个进程改写了Redis数据库。

定位思路

  • 先尝试排查客户端代码。但此案例中涉及业务代码过多(200w+行代码),且Redis客户端的形式也很多(有goredis, redis-py, hiredis, redis-cli等)。看来肉眼扫描代码的笨方法不靠谱,而且这种寄希望于碰运气蒙混过关的思考方式实在不像是一个程序员。

那么既然排查客户端有困难,能不能换个角度思考,比如说从服务端入手?以下给出第二种思路:

  • 通过在服务端抓包,得到所有对这个字符串键做set操作的报文,再根据报文中的IP和端口号得到进程ID。听起来可行,下面举一个简化的案例介绍具体的操作方法。

具体方法

利用tcpdump,在Redis服务端后台抓取对这个字符串键做set操作的报文,再根据报文中的IP和端口号确认进程即可。

如下图所示,使用命令tcpdump -i any port 6379 | grep set | grep [key] ,得到客户端IP是localhost,端口号是44880。

在这里插入图片描述

再根据报文中的IP和端口号确认进程号,可以用netstat, ss, lsof等实现。以下仅给出netstat方式,命令:netstat -anltp | grep 端口号,得到进程ID为6748,如下图所示:
在这里插入图片描述

思考:

如果我只需要抓取将某个特定字符串键(比如"hello")写成某个特定值(比如写成空串)的报文,怎么做?

除了grep,下面再给出一种方法,利用tcpdump的根据报文特征过滤的技巧:

1、使用tcpdump的-X选项查看报文详细内容,重点看Redis请求在TCP报文中是如何存储的:
在这里插入图片描述

可以看出, set hello "world"命令在报文中存储的协议内容如下:

*3 $3 set $5 hello $5 world

协议内容的解析参考Redis协议规范(RESP) , 以下只做简单的解释:

  • *3 表示数组长度为3, 数组元素依次为 [“set” “hello” “world”]
  • $3 表示字符串 “set” 的长度
  • 第一个 $5 表示字符串 “hello” 的长度。
  • 第二个 $5 表示字符串 “world” 的长度。

2、再根据TCP报文内容的特征过滤。此案例中,筛选条件可以是同时匹配 “set” “hello” “$0”(0匹配键值的长度,用来匹配空串),可以使用命令tcpdump -i any port 6379 -X and 'ip[60:2] == 0x7365' and 'ip[69:4] == 0x68656c6c' and 'ip[76:2] == 0x2430' 抓取所有将字符串键"hello"写为空串的报文,参考下图:
在这里插入图片描述

参考资料

【1】Redis协议规范(RESP)

【2】网络基本功(十八):细说tcpdump的妙用(下)

pcj_888
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一个用于个人学习的redis资源
06-09
此外,资源还整合了Redis监控与性能分析工具,帮助开发者实时监控Redis的运行状态,及时发现并解决潜在问题。通过使用Redis资源,开发者可以更加高效、安全地管理Redis集群,提升系统的整体性能和稳定性。 ...
Redis集群案例与场景分析
02-20
Redis的出现确实大大地提高系统大并发能力支撑的可能性,转眼间Redis的最新版本已经是3.X版本了,但我们的系统依然继续跑着2.8,并很好地支撑着我们当前每天5亿访问量的应用系统。想当年Redis的单点单线程特性无法...
redis 抓包
qq_35640866的博客
10-19 50
tcpdump port 6379 |grep ‘27896412926’
流量分析类题(1)
currify的博客
10-27 895
打开压缩,发现文件夹内有一个流量 用wireshark打开提取去其中的http 在第一个中发现ZIP的文件头格式,删除文件头前的内容并保存 退出并更改后缀名为.zip 打开压缩发现其中的文件被加密,用ARCHPR进行密码暴力破解,得到密码1314 打开得到一张照片,但并没有发现有用信息 因为照片的格式为jpg,所以暂时先不考虑LSB隐写 拖入wenhex中发现其中隐藏的ZIP 将压缩文件头前的内容删除并保存,退出将后缀名修改为.jpg得到新的压缩 发现此文...
Linux怎么登录redis数据库,Linux 系统上 Redis 数据库的 安装 && 部署 && 使用
最新发布
2301_78416732的博客
05-11 1958
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。原因:/etc/ 是系统目录,即管理员操作的目录,因此将 redis 配置文件放到该目录中,防止服务器的其他用户操作。使用之前 copy 到 /etc/redis/ 目录下修改好的配置文件。
流量分析题(持续更新)
zip471642048的博客
05-16 3223
wireshark 题目链接:https://ce.pwnthebox.com/challenges?id=1132 黑客通过wireshark抓到管理员登陆网站的一段流量(管理员的密码即是答案) 根据题目描述我们筛选出http流量 查看返回的response ftp 题目链接 : https://ce.pwnthebox.com/challenges?id=183 搜索字符串flag发现ftp曾上传或下载了一个flag.txt的文件 ftp-data是ftp传输过程中数据的协议,筛选ftp-d
redis相关知识点讲解,redis面试题
kitty_hi的博客
05-03 323
Redis (Remote Dictionary Server)远程字典服务器,是用C语言开发的一个开源的高性能键值 对( key-value )内存数据库。它是一种 NoSQL 数据存储。常见的缓存问题分析
中职网络安全竞赛B模块新题
旺仔Sec&blog
08-03 1600
6. 编辑Python程序0062.py,使该程序实现基于socket的redis未授权识别,填写该文件当中空缺的F6字符串,写出if成立的执行语句;1. 从靶机服务器的FTP上下载0064.py,编辑Python程序,使该程序实现弱口令爆破,填写该文件当中空缺的F1字符串,生成密码列表。,编辑Python程序,使该程序实现基于socket的redis未授权识别,填写该文件当中空缺的F1字符串,生成socket对象。分析该文件,找出黑客入侵获取的敏感文件,提交该敏感文件泄露的时间。
redis jar
02-02
redis jar jedis-2.9.0.jar commons-pool2-2.4.2.jar
Redis安装Redis jar
06-29
总之,Redis是一个强大而灵活的内存数据结构存储,适用于多种场景,而Redis的Java客户端Jedis则让Java开发者能轻松地在应用中集成Redis服务。正确理解和使用这些知识点,可以有效提升你的应用程序的性能和可靠性。
今天又和Redis超时杠上了
华为云官方博客
05-30 699
究竟是不是cpu占比高的问题导致redis超时的呢?
redisniffer:嗅探redis数据并汇总命令计数
02-04
redisniffer:嗅探redis数据并汇总命令计数
通过抓包分析 redis 通信协议, 我也能实现一个 redis 客户端
nimo10050的博客
01-03 1143
概述 redis 客户端与服务端通信的本质就是基于 socket 的网络编程, 通过字节流来传输数据, 在将数据转成字节流之前, 客户端需要将待传输的数据按照具体的通信协议格式组装一下, 本文主要来分析的是 redis 客户端是通过什么样的数据格式从服务端 读写数据 的. 插入一条数据 如果往 redis 中插入一条 key=username, value=zhangsan的数据, 命令如下: SET USERNAME ZHANGSAN 实际的通信数据(转为字节之前), 如下所示: // 原始字符串 *
java redis 通信,通过抓包分析 redis 通信协议, 我发现我也能实现一个 redis 客户端...
weixin_35752122的博客
03-13 195
概述redis 客户端与服务端通信的本质就是基于 socket 的网络编程, 通过字节流来传输数据, 在将数据转成字节流之前, 客户端需要将待传输的数据按照具体的通信协议格式组装一下, 本文主要来分析的是 redis 客户端是通过什么样的数据格式从服务端 读写数据 的.插入一条数据如果往 redis 中插入一条 key=username, value=zhangsan的数据, 命令如下:SET U...
redis常见关键字
后台开发
10-20 5934
存:     set 键 值 取:     get 键 查看:    keys 匹配 清空当前库: FLUSHDB 清空所有库: FLUSHALL 判断是否存在: EXISTS 键 查询当前库的key: keys (匹配) 移动key:move 键 库号 为给定的key设置过期时间 : expire 键 秒钟 查看还有多少秒过期:-1表示永不过期,-2表示已过期 ttl 键 查看你的key是什么类型:type 键 删除键:del 键 ...
Python笔记-CRC循环冗余校验的编程实现
害怕也得前进
12-21 4129
CRC循环冗余校验的编程实现
通过抓包获取用户名密码
nbdlsplyb的博客
05-01 2517
《计算机网络》——通过抓包窃取用户名密码
工具|MySQL、Redis、MongoDB网络抓包工具
Java笔记虾
12-06 384
点击关注公众号,利用碎片时间学习简介go-sniffer可以抓包截取项目(MySQL、Redis、MongoDB)中的请求并解析成相应的语句,并格式化输出。类似于在之前的文章 MySQL...
Redis源码分析 —— 发布与订阅
pcj_888的博客
01-29 3896
Redis源码分析 —— 发布订阅的实现原理 前言 通过阅读Redis源码,配合GDB和抓包等调试手段,分析Redis发布订阅的实现原理,思考相关问题。 源码版本:Redis 6.0.10 思考问题 发布订阅基本概念介绍 订阅频道 —— SUBSCRIBE命令的实现 退订频道 —— USUBSCRIBE命令的实现 订阅模式 —— PSUBSCRIBE命令的实现 退订模式 —— PUNSUBSCRIBE命令的实现 发送消息 —— PUBLISH命令的实现 Redis发布订阅的特点 为什么设计pubsub_
wireshark 抓包redis教程
08-12
回答: Wireshark是一个网络数据分析工具,可以用于捕获和分析网络流量。它可以帮助我们理解和调试网络协议、检查和解决网络问题。 在使用Wireshark进行抓包时,可以使用两种方式:一种是通过服务器命令进行抓包,另一种是使用Wireshark工具进行抓包抓包后,我们可以根据抓取的进行分析。 如果想要与Redis打交道并分析其数据,我们需要了解Redis的数据序列化协议,即Redis Serialization Protocol(RESP)。Redis使用TCP作为数据传输协议,因此我们可以借助Wireshark这个工具来分析TCP并进一步分析Redis的协议。 在Wireshark中,我们可以使用过滤器来筛选我们所需的数据。过滤器有捕获过滤器和显示过滤器两种。捕获过滤器用于在捕获数据时过滤特定的流量,而显示过滤器用于分析已捕获的数据。 通过使用Wireshark和适当的过滤器,我们可以抓取Redis的数据并进行分析,以便更好地理解和调试Redis的通信过程。 请注意,本文提到的Redis版本是2.8,而Redis Cluster使用的是另一套二进制协议。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【工具-WireShark】网络HTTP抓包使用教程](https://blog.csdn.net/lc1025082182/article/details/120820845)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [wireshark之redis协议分析](https://blog.csdn.net/shuaixingrumo/article/details/123417759)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [使用 wireshark 分析 redis 协议](https://blog.csdn.net/dengyiyu5280/article/details/102352047)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pcj_888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值