descargar - ¿Cómo puedo decodificar el tráfico de SQL Server con wireshark?

Editar (2017-05-02): Microsoft Network Monitor - ha sido reemplazado por Microsoft Message Analyzer - que sirve para el mismo propósito. ¡Vea también el comentario debajo de esta respuesta o la respuesta más abajo para saber cómo usarlo!

Respuesta original:

Hay otra herramienta muy subestimada del propio Microsoft: ''Microsoft Network Monitor''. Básicamente, esto es muy similar a wireshark, con la excepción de que algunos protocolos específicos de MS tienen mejor analizador y soporte de visualización que wireshark en sí mismo y, obviamente, solo se ejecutaría bajo Windows ;-).

La herramienta es bastante antigua y parece abandonada (no ha visto una versión más reciente hasta ahora), pero aún así hace un buen trabajo y la gramática para definir nuevos protocolos es bastante clara / interesante, por lo que aún posee mucho poder para el futuro.

Ejemplo de análisis: la grabación se filtra para TDS, por lo que los demás paquetes se eliminan principalmente:

Esto también es cierto para las conexiones de servidor SQL. El MNM puede incluso visualizar los conjuntos de resultados pasando por alto el cable - bastante limpio. No obstante, los cables como se mencionaron anteriormente serían suficientes para validar el cifrado y los certificados aplicados en el mismo cable. Significa que puede entender el TDS-Protocoll completamente.

Manejo de TLS

También con una extensión (los llamados expertos) ''NmDecrypt'' y los certificados correctos (incluidas las claves privadas), es posible descifrar protocolls - bastante bueno para TDS que usa TLS INTERIOR de TDS - no es de extrañar, nadie lo ha implementado realmente. como un protololl totalmente compatible para Wirehark;)

Hasta ahora, con respecto a MSSQL-Traffic, o para ser más precisos, el Protocolo TDS es la mejor herramienta que he encontrado hasta ahora. Wireshark es genial, pero en este caso MNM es ''mejor''. Tener phun! ;)

Enlaces para las herramientas:

• Microsoft Network Monitor: http://www.microsoft.com/en-us/download/details.aspx?id=4865
• NMDecrypt: http://nmdecrypt.codeplex.com/releases/view/85581

La pregunta a la que se refiere es cómo probar que el tráfico está cifrado.

Así que usaban wireshark para mostrar que no podías leerlo.

El cifrado era débil en versiones anteriores del servidor SQL, pero no creo que sea fácil descifrar el tráfico de SQL Server 2005.

No Wirehark, pero para mí el Analizador de mensajes de Microsoft funcionó muy bien para eso.

Para obtener todos los comandos enviados

1. Iniciar una nueva sesión
2. Añadir Live Trace como fuente de datos
3. Seleccionar escenario (elegí interfaces de red local )
4. Ingrese una expresión de filtro de sesión como * dirección == 10.1.2.129 para filtrar solo el tráfico a su servidor de SQL.
5. Haga clic en Inicio
6. Haga clic derecho en el encabezado de la columna en la tabla de masaje y seleccione Agregar columnas ...
7. Añadir TDS> SQLBatch> SqlBatchPacketData> SQLText

Esto debería darle algo como lo siguiente

Desafortunadamente, no se implementó el desplazamiento automático en este momento, pero puede ordenar por marca de tiempo y hacer que las nuevas consultas aparezcan en la parte superior.

Wireshark decodifica y muestra los datos capturados cuando comprende el protocolo (y la capa). Eso significa que los datos capturados no están encriptados. Si los datos están encriptados (SSL, es decir), WS solo mostrará el protocolo SSL y los datos en bruto.