Percona Database Performance Blog
·
与鲨鱼共游:使用Wireshark分析加密数据库流量
💡
原文英文,约5400词,阅读约需20分钟。
📝
内容提要
Percona的pt-upgrade工具可以重放不同数据库服务器的查询,以验证新版本数据库的正常运行。虽然可以处理一般日志和慢日志,但这些日志可能影响性能。通过网络捕获文件(pcap)处理流量是个不错的选择,但TLS加密使解密变得复杂。使用动态库shim可以捕获TLS会话密钥,从而帮助Wireshark解密流量。
🎯
关键要点
- Percona的pt-upgrade工具可以重放不同数据库服务器的查询,以验证新版本数据库的正常运行。
- pt-upgrade可以处理一般日志和慢日志,但这些日志可能影响性能。
- 通过网络捕获文件(pcap)处理流量是个不错的选择,但TLS加密使解密变得复杂。
- Wireshark可以解密TLS流量,但不支持将解密后的流量导出为pcap文件。
- 使用动态库shim可以捕获TLS会话密钥,帮助Wireshark解密流量。
- 动态库shim是一个共享库,在目标库之前加载,拦截函数调用以进行处理。
- 在Unix系统上,可以使用LD_PRELOAD环境变量来加载shim库。
- 编写shim库的代码可以捕获TLS密钥并将其写入指定文件。
- 编译shim库需要安装gcc和openssl-devel等软件包。
- 使用Wireshark捕获流量时,可以通过设置环境变量来预加载shim库。
- 通过tshark分析捕获的流量,可以验证TLS密钥的生成和流量的解密。
- Wireshark GUI也可以配置以加载密钥日志文件,从而解密流量。
➡️
