[20150629]简单的加密连接.txt

--我曾经写过一个脚本跟踪用户执行的sql语句：(原始的出处忘记了)

#! /bin/bash

/usr/sbin/tcpdump  -l -i eth0 -s 16384 -A -nn src host $1 and dst port 1521 2>/dev/null |  tee -a /tmp/aa1 |sed -u -e  "s/^M/!/g;s/^E\.\..\{1,100\}//;s/\.*$//;s/^\.*//" | \ awk '{if (tolower($0) ~ "select" || tolower($0) ~ "update" ||  tolower($0) ~ "delete" || tolower($0) ~ "insert" || $0 ~ "ORA-" ) {p=1;print} \ else if(p == 1 && $0 !~ "^[0-9][0-9]:") {print} else if ($0 ~ "^[0-9][0-9]:") {p=0}}'

--注意^M表示0x0d。在vim下ctrl+v，ctrl+m。

--在服务端执行:

# Tcpdumpsql client_ip

SELECT USER FROM DUAL SELECT ATTRIBUTE,SCOPE,NUMERIC_VALUE,CHAR_VALUE,DATE_VA         LUE FROM SYSTEM.PRODUCT_PRIVS WHERE (UPPER('SQL*Plus') LIKE UPPER(PRODUCT)) AND (USER LIKE USERID) SELECT CHAR_VALUE FROM SYSTEM.PRODUCT_PRIVS WHERE   (UP         PER('SQL*Plus') LIKE UPPER(PRODUCT)) AND   ((USER LIKE USERID) OR (USERID = 'PUBLIC')) AND   (UPPER(ATTRIBUTE) = 'ROLES') (SELECT DECODE('A','A','1','2') FROM DUAL

select * from dept

--可以看到可以抓取里面的sql语句。

--昨天有朋友问如何让上面的工具失效，当然最简单的方法就是加密，或者使用类似ssh的协议。

--实际上很简单在client端的sqlnet.ora文件加入如下：

SQLNET.ENCRYPTION_CLIENT = REQUIRED

--这样就抓取不到sql语句了。