Percona Database Performance Blog
·
与鲨鱼共游:使用Wireshark分析加密数据库流量
内容提要
Percona的pt-upgrade工具可以重放不同数据库服务器的查询,以验证新版本数据库的正常运行。虽然可以处理一般日志和慢日志,但这些日志可能影响性能。通过网络捕获文件(pcap)处理流量是个不错的选择,但TLS加密使解密变得复杂。使用动态库shim可以捕获TLS会话密钥,从而帮助Wireshark解密流量。
关键要点
-
Percona的pt-upgrade工具可以重放不同数据库服务器的查询,以验证新版本数据库的正常运行。
-
pt-upgrade可以处理一般日志和慢日志,但这些日志可能影响性能。
-
通过网络捕获文件(pcap)处理流量是个不错的选择,但TLS加密使解密变得复杂。
-
Wireshark可以解密TLS流量,但不支持将解密后的流量导出为pcap文件。
-
使用动态库shim可以捕获TLS会话密钥,帮助Wireshark解密流量。
-
动态库shim是一个共享库,在目标库之前加载,拦截函数调用以进行处理。
-
在Unix系统上,可以使用LD_PRELOAD环境变量来加载shim库。
-
编写shim库的代码可以捕获TLS密钥并将其写入指定文件。
-
编译shim库需要安装gcc和openssl-devel等软件包。
-
使用Wireshark捕获流量时,可以通过设置环境变量来预加载shim库。
-
通过tshark分析捕获的流量,可以验证TLS密钥的生成和流量的解密。
-
Wireshark GUI也可以配置以加载密钥日志文件,从而解密流量。
延伸解读
动态库shim的作用
动态库shim是一种共享库,可以在目标库之前加载,拦截函数调用。这种技术在捕获TLS会话密钥时非常有用,能够帮助Wireshark解密流量。使用shim库时,开发者需要确保其代码的安全性和性能,因为不当使用可能导致系统不稳定。
Wireshark的解密限制
虽然Wireshark能够解密TLS流量,但它不支持将解密后的流量导出为pcap文件。这意味着用户在分析流量时需要额外的步骤来验证和处理数据,可能会增加工作复杂性。了解这一限制有助于用户在使用Wireshark时做好相应的准备。
性能影响与日志处理
使用Percona的pt-upgrade工具时,处理一般日志和慢日志可能会影响数据库性能。相比之下,通过网络捕获文件(pcap)处理流量可以减少对数据库的影响,但需要额外的解密步骤。用户在选择日志处理方式时应权衡性能与数据完整性。
延伸问答
pt-upgrade工具的主要功能是什么?
pt-upgrade工具可以重放不同数据库服务器的查询,以验证新版本数据库的正常运行。
如何使用Wireshark解密TLS流量?
Wireshark可以解密TLS流量,但需要提供TLS会话密钥,这些密钥可以通过动态库shim捕获。
动态库shim的作用是什么?
动态库shim是一个共享库,用于拦截函数调用,以捕获TLS会话密钥并帮助解密流量。
在Unix系统上如何加载shim库?
可以使用LD_PRELOAD环境变量来加载shim库,以确保它在其他库之前被加载。
编译shim库需要哪些软件包?
编译shim库需要安装gcc和openssl-devel等软件包。
如何验证TLS密钥的生成和流量的解密?
可以通过tshark分析捕获的流量,验证TLS密钥的生成和流量的解密。
