[20150629]简单的加密连接.txt
[20150629]简单的加密连接.txt
--我曾经写过一个脚本跟踪用户执行的sql语句:(原始的出处忘记了)
#! /bin/bash
/usr/sbin/tcpdump -l -i eth0 -s 16384 -A -nn src host $1 and dst port 1521 2>/dev/null | tee -a /tmp/aa1 |sed -u -e "s/^M/!/g;s/^E\.\..\{1,100\}//;s/\.*$//;s/^\.*//" | \
awk '{if (tolower($0) ~ "select" || tolower($0) ~ "update" || tolower($0) ~ "delete" || tolower($0) ~ "insert" || $0 ~ "ORA-" ) {p=1;print} \
else if(p == 1 && $0 !~ "^[0-9][0-9]:") {print} else if ($0 ~ "^[0-9][0-9]:") {p=0}}'
--注意^M表示0x0d。在vim下ctrl+v,ctrl+m。
--在服务端执行:
# Tcpdumpsql client_ip
SELECT USER FROM DUAL
SELECT ATTRIBUTE,SCOPE,NUMERIC_VALUE,CHAR_VALUE,DATE_VA
LUE FROM SYSTEM.PRODUCT_PRIVS WHERE (UPPER('SQL*Plus') LIKE UPPER(PRODUCT)) AND (USER LIKE USERID)
SELECT CHAR_VALUE FROM SYSTEM.PRODUCT_PRIVS WHERE (UP
PER('SQL*Plus') LIKE UPPER(PRODUCT)) AND ((USER LIKE USERID) OR (USERID = 'PUBLIC')) AND (UPPER(ATTRIBUTE) = 'ROLES')
(SELECT DECODE('A','A','1','2') FROM DUAL
select * from dept
--可以看到可以抓取里面的sql语句。
--昨天有朋友问如何让上面的工具失效,当然最简单的方法就是加密,或者使用类似ssh的协议。
--实际上很简单在client端的sqlnet.ora文件加入如下:
SQLNET.ENCRYPTION_CLIENT = REQUIRED
--这样就抓取不到sql语句了。