现在是遇到了一点点的小问题。 现在是从客户端到服务端 SQL ,用户名都可以取到,问题在于服务端返回给客户端的信息,现在解析上无从下手。 谁能给点意见或者说我应该怎么做,或者是有没有相关资料啥的,以供参考。
1
nanxiaonan 39 天前
你的问题和没说一样
|
2
hejw19970413 OP @nanxiaonan 其实我不知道怎么说,就是从网卡中截取到服务端传给客户端的数据,这方面的协议介绍我没有找到。然后我通过用模拟客户端解析传回来的数据,发现无法解析。您有这方面的协议说明啥的吗
|
3
proxytoworld 39 天前
很明显你需要逆向客户端代码,调试
|
4
hejw19970413 OP @proxytoworld 我试过 go,java 客户端,发现这两个客户端发送和接收数据包的时候,发现互相解不了包。 想知道为啥不行
|
5
jorneyr 39 天前
给个方向:去研究 Oracle 的 JDBC 驱动,反编译后能看到代码是怎么解析的,当然要理解的难度很大。
|
6
dododada 39 天前
你是要分析流量中的数据协议,还是要做流量复制?
流量复制我记得好像有工具的,因为数据库的相关协议都已经解的差不多了。 自己写协议分析,有些困难,安全厂商做流量审查的时候会这么干,结果就是这类镜像分析设备都比较贵,另外就是版本要跟随目标软件不停的更新 |
7
hejw19970413 OP @dododada 是要做协议解析,就是做流量审计。
|
8
dododada 39 天前
@hejw19970413 ip 层分析?
你这个从头做难度颇高,一是协议本身复杂,二是工作繁杂,主要是繁杂,一个人搞可能会吐的。 一般审计要么就是镜像流量,要么就是 agent ; agent 侵入式的,加上 plugin 有一点性能影响,只做协议解析+数据传输的话,性能影响不大,但是业务和运维不同意或者云设备的话,实施比较困难; 镜像嘛就是你这种了,从头分析,很成熟了。找找开源的,搞安全的应该有类似的内容,主要就是繁琐,其他没什么。但是镜像有个问题,数据不准,因为流量太大要采样,所以会丢数据,硬件堆的好的倒是不会丢 |
9
hejw19970413 OP @dododada 直接要从网卡拿数据包,是比较麻烦,我最近看 go ,java 的 client ,发现有一些字段和连接设置没有写注释,所以字节位的填充有点不清楚。服务端返回的好像也和客户端的设置有关。因为有要求不能使用 agent 的方式,所以协议部分,在想办法。
|
10
julyclyde 38 天前
流量审计好像……已经有成熟产品了吧?
如果你们还没开始做,而且准备和水平才这样,建议直接砍掉项目,改为系统集成 |
11
hejw19970413 OP @julyclyde 成熟的产品是谁家的
|
12
realpg 34 天前
@hejw19970413 #11
全中国所有大点的云厂商,安全厂商,信息系统集成厂商,都有。 因为你要做这个东西叫“数审” 在国内是个每年成交额超过十亿元人民币的市场 因为特么等保要这个。。。 所以, 你这是从零开始套等保最重要的组件实现 |
13
hejw19970413 OP @realpg 不知道,安排的任务
|
14
hasdream 30 天前
看 wireshark 源码, 应该有 oracle 协议解码 封装逻辑
|