大家好,今天分享关于基于C语言的Mysql数据库审计核心实现。本篇首先介绍MySQL网络协议,然后再介绍代码如何通过旁路镜像的方式实现对数据库的审计(我写的是针对pcap包,如果你希望通过旁路镜像方式,稍微改造即可)。
目前业界有非常多的数据库审计产品,基本是以流量或者探针形式对数据库进行综合审计,功能包括:审计查询、攻击检测、越权访问等。其核心基本是建立在操作语句识别及返回结果识别基础上形成的不同功能场景,本文通过对mysql包进行解析,可识别客户端查询语句及服务端返回结果内容,让读者直观了解数据库审计的核心功能如何实现。
1.MySQL网络协议分析
在读者对第二节代码阅读时,建议读者先了解mysql的网络协议,以便更好读懂代码,如果读者非常了解mysql相关协议,可跳过该节。
mysql数据类型包括:整数型和字符串型。
整数型分为定长型,如:int<1>、int<2>、int<3>、int<4>等。变长型INT<lenenc>,所存储字节数大小取决于第一个字节的数值大小。
字符串型分为固定长度的字符串、NULL结束的字符串、可变的字符串、长度编码字符串、EOF。
Mysql协议包报文格式如下:
mysql报文格式
例如COM_INIT_DB(切换数据库)整包字节序列为:07 00 00 00 02,如下图:
COM_INIT_DB抓包
图中标识“74 72 73 61 70 70”十六进制转文本后为trsapp,即我们所使用的数据库名。
热身完毕后,我们来看Mysql是怎样交互的。如下图:
Mysql交互示意图
首先mysql是基于TCP协议,所以在建立连接与断开连接时需要三次握手和四次挥手。当客户端连接服务端时,首先TCP三次握手建立连接,随后客户端将用户信息(用户名、密码等)发送与服务端,服务端确认后返回ok_pack/error_pack包信息, OK后,客户端会发送指令至服务端,首先是use database信息,服务端返回ok信息,随后进行select、insert等指令操作。如下图:
我本地查询抓包信息
客户端要与服务端断开时,发送COM_QUIT(0x01 )数据包,随后进行tcp四次挥手结束。
具体mysql状态码如下:
mysql状态码
当我们发送query查询语句时,其流程如下:
query语句查询
客户端发起query查询后,如下图:
select查询
mysql返回内容格式为:field_cout字段信息+EOF+返回数据信息,如下图:
1.response返回-file_count字段信息
2.EOF包信息
3.返回数据信息
EOF Packet,表示结果数据完毕,若此包中的MORE_RESULT不为0 ,则说明接下来还有结果信息,又返回源头继续开始。
如果过程中读到任何一个error包后,读取将结束,并抛出错误。
以上是mysql协议核心介绍。想必你已经相对了解mysql的协议交互过程啦,如想深入了解,请参考mysql文献资料。
2.核心代码实现
本文基于C语言,通过对MySQL的协议进行解析,识别查询内容和返回结果。读者可通过搭建libpcap或者pf_ring环境,实时读取数据包内容进行识别输出(本文是读取pcap包),关于libcap、pf_ring,如果你感兴趣,我会抽时间单独写一篇文章。闲话少说,直接撸代码(代码我已注释比较详细)。
实现效果图:
表信息
识别查询语句
识别列信息和字段信息
核心代码实现:
/*============================================================================Name:DatabaseAudit.cAuthor:wangfengVersion:Copyright:YourcopyrightnoticeDescription:DatabbaseAuditinC,Ansi-style============================================================================*/#include<stdio.h>#include<stdlib.h>#include<string.h>#include<netinet/in.h>#include<arpa/inet.h>#include<time.h>#include"DatabaseAudit.h"//字节流转换为十六进制字符串voidByteToHexStr(constunsignedchar*source,char*dest,intsourceLen){shorti;unsignedcharhighByte,lowByte;for(i=0;i<sourceLen;i++){highByte=source[i]>>4;lowByte=source[i]&0x0f;highByte+=0x30;if(highByte>0x39)dest[i*2]=highByte+0x07;elsedest[i*2]=highByte;lowByte+=0x30;if(lowByte>0x39)dest[i*2+1]=lowByte+0x07;elsedest[i*2+1]=lowByte;}return;}voidHexStrToByte(constchar*source,unsignedchar*dest,intsourceLen){shorti;unsignedcharhighByte,lowByte;for(i=0;i<sourceLen;i+=2){highByte=toupper(source[i]);lowByte=toupper(source[i+1]);if(highByte>0x39)highByte-=0x37;elsehighByte-=0x30;if(lowByte>0x39)lowByte-=0x37;elselowByte-=0x30;dest[i/2]=(highByte<<4)|lowByte;}return;}/*返回ch字符在sign数组中的序号*/intgetIndexOfSigns(charch){if(ch>='0'&&ch<='9'){returnch-'0';}if(ch>='A'&&ch<='F'){returnch-'A'+10;}if(ch>='a'&&ch<='f'){returnch-'a'+10;}return-1;}/*十六进制数转换为十进制数*/longhexToDecNew(char*source){longsum=0;longt=1;inti,len;len=strlen(source);for(i=len-1;i>=0;i--){sum+=t*getIndexOfSigns(*(source+i));t*=16;}returnsum;}voidanalysisMysql(){//define//pcap_file_head*pcapFileHead;pcap_head*pcapHead;frame_head*frameHead;ip_head*ipHead;tcp_head*tcpHead;mysql_request_head*mysqlHead,*mysqlCHHead;mysql_request_eof*mysqlRequestEof;intoffset=0,dataOffset=54;charsrc_ip[STRSIZE],dst_ip[STRSIZE];unsignedchar*mysqlTmp=(unsignedchar*)malloc(sizeof(unsignedchar));intsrc_port,dst_port,tcp_flags;inti;FILE*fp;//文件//初始化,动态内存分配//pcapFileHead=(pcap_file_head*)malloc(sizeof(pcap_file_head));pcapHead=(pcap_head*)malloc(sizeof(pcap_head));frameHead=(frame_head*)malloc(sizeof(frame_head));ipHead=(ip_head*)malloc(sizeof(ip_head));tcpHead=(tcp_head*)malloc(sizeof(tcp_head));mysqlHead=(mysql_request_head*)malloc(sizeof(mysql_request_head));mysqlCHHead=(mysql_request_head*)malloc(sizeof(mysql_request_head));mysqlRequestEof=(mysql_request_eof*)malloc(sizeof(mysql_request_eof));intmysqlEof=0;if((fp=fopen("/home/roo/eclipse-workspace/DatabaseAudit/src/mysql1.pcap","rb"))==NULL){printf("error:cannotopenpcapfile\n");exit(0);}offset=24;//pcap文件头结构24个字节//fseek函数是用来设定文件的当前读写位置.while(fseek(fp,offset,SEEK_SET)==0)//遍历数据包(fseek文件随机定位文件/偏移值/从0开始){dataOffset=54;/***---------pcap数据帧-------*/if(fread(pcapHead,sizeof(pcap_head),1,fp)!=1){break;}offset+=16+pcapHead->caplen;//数据包长度/***---------数据帧-------*/if(fread(frameHead,sizeof(frame_head),1,fp)!=1){break;}printf("destination:%02x:%02x:%02x:%02x:%02x:%02x\n",frameHead->dstMAC[0],frameHead->dstMAC[1],frameHead->dstMAC[2],frameHead->dstMAC[3],frameHead->dstMAC[4],frameHead->dstMAC[5]);printf("src:%02x:%02x:%02x:%02x:%02x:%02x\n",frameHead->srcMAC[0],frameHead->srcMAC[1],frameHead->srcMAC[2],frameHead->srcMAC[3],frameHead->srcMAC[4],frameHead->srcMAC[5]);printf("frametype:0x%x---------%x\n",ntohs(frameHead->frameType),frameHead->frameType);/***---------IP帧-------*/if(fread(ipHead,sizeof(ip_head),1,fp)!=1){break;}inet_ntop(AF_INET,(void*)&(ipHead->SrcIP),src_ip,16);//将数值格式转化为点分十进制的ip地址格式inet_ntop(AF_INET,(void*)&(ipHead->DstIP),dst_ip,16);//将数值格式转化为点分十进制的ip地址格式printf("src_ip:::%sdst_ip:::::%sFlag_Segment:::::%x\n",src_ip,dst_ip,ipHead->Flag_Segment);/***---------TCP帧-------*/if(fread(tcpHead,sizeof(tcp_head),1,fp)!=1){break;}//网络字节序和主机字节序的转换src_port=ntohs(tcpHead->SrcPort);//printf("-------%d-------%d\n",tcp_header->SrcPort,src_port);dst_port=ntohs(tcpHead->DstPort);tcp_flags=tcpHead->Flags;printf("src_port:::%ddst_port:::%dtcp_flags:::%x\n",src_port,dst_port,tcp_flags);/***---------MYSQL帧-------*/if(fread(mysqlHead,sizeof(mysql_request_head),1,fp)!=1){break;}dataOffset+=sizeof(mysql_request_head);printf("packetLength:%x\npacketNumber:%d\nlen:%d\n",mysqlHead->packetLength[0],mysqlHead->packetNumber,pcapHead->caplen);//遍历column信息,应再判断上一个数据包是否为query请求[返回信息]if(mysqlHead->packetLength[0]==0x01&&mysqlHead->packetLength[1]==0x00&&mysqlHead->packetLength[2]==0x00&&mysqlHead->packetNumber==0x1){//读取列数if(fread(mysqlTmp,sizeof(unsignedchar),1,fp)!=1){break;}dataOffset+=sizeof(unsignedchar);//遍历该tcp会话下的所有mysql的ColumnDefinition包//https://blog.csdn.net/dawn_sf/article/details/80800183//https://www.callmejiagu.com/2018/10/29/%E5%AE%9E%E7%8E%B0%E8%87%AA%E5%B7%B1%E7%9A%84%E6%95%B0%E6%8D%AE%E5%BA%93%E9%A9%B1%E5%8A%A8%E2%80%94%E2%80%94MySQL%E5%8D%8F%E8%AE%AEResult%E5%8C%85%E8%A7%A3%E6%9E%90%EF%BC%88%E5%85%AD%EF%BC%89///https://dev.mysql.com/doc/internals/en/com-query-response.html#packet-Protocol::ColumnDefinitionprintf("列定义信息\n");for(i=0;i<*mysqlTmp;i++){if(fread(mysqlCHHead,sizeof(mysql_request_head),1,fp)!=1){//读取mysql头部break;}dataOffset+=sizeof(mysql_request_head);//printf("%d--",sizeof(mysqlCHHead->packetLength[0]));//动态创建对应mysqldata内存unsignedchar*mysqlData=(unsignedchar*)malloc(mysqlCHHead->packetLength[0]*sizeof(unsignedchar));if(fread(mysqlData,(mysqlCHHead->packetLength[0]*sizeof(unsignedchar)),1,fp)!=1){//读取mysql数据break;}printf("%s\n",mysqlData);dataOffset+=mysqlCHHead->packetLength[0]*sizeof(unsignedchar);free(mysqlData);//fseek(fp,(mysqlCHHead->packetLength[0]),SEEK_CUR);//下一个mysql包}//再读取一个eof包表示ColumnDefinition包流结束.//fe00002200//读取mysql--eofif(fread(mysqlRequestEof,sizeof(mysql_request_eof),1,fp)!=1){break;}dataOffset+=sizeof(mysql_request_eof);//printf("%x---%x--%x--%x--%x",mysqlRequestEof->header,mysqlRequestEof->warnings[0],mysqlRequestEof->warnings[1],mysqlRequestEof->status_flags[0],mysqlRequestEof->status_flags[1]);//判断eofif(mysqlRequestEof->header==0xfe){mysqlEof++;}printf("查询返回信息\n");while(dataOffset<=pcapHead->caplen){//获取查询的结果信息if(fread(mysqlCHHead,sizeof(mysql_request_head),1,fp)!=1){break;}dataOffset+=sizeof(mysql_request_head);//获取请求信息charpLenArray[6];sprintf(pLenArray,"%02x%02x%02x",mysqlCHHead->packetLength[2],mysqlCHHead->packetLength[1],mysqlCHHead->packetLength[0]);longpLen=hexToDecNew(pLenArray);//读取对应的row内容大小unsignedchar*mysqlRowData=(unsignedchar*)malloc(pLen*sizeof(unsignedchar));dataOffset+=pLen*sizeof(unsignedchar);for(i=0;i<pLen;i++){if(fread(mysqlRowData,(sizeof(unsignedchar)),1,fp)!=1){//读取mysqlrom数据continue;}printf("%s",mysqlRowData);}printf("\n");free(mysqlRowData);}free(mysqlCHHead);}else{printf("查询信息:\n");unsignedchar*mysqlData_new=(unsignedchar*)malloc(mysqlHead->packetLength[0]*sizeof(unsignedchar));if(fread(mysqlData_new,(mysqlHead->packetLength[0]*sizeof(unsignedchar)),1,fp)!=1){break;}printf("%s\n",mysqlData_new);free(mysqlData_new);}}fclose(fp);}intmain(void){analysisMysql();returnEXIT_SUCCESS;}