问如何使用wireshark解码SQL Server流量？

EN

编辑(2017-05-02)：微软网络监视器-已被Microsoft Message Analyzer取代-它具有相同的目的。另请参阅此答案下面的注释或更下面的答案，了解如何使用它！

注意： Microsoft消息分析器was deprecated in late 2019，不再提供下载。

原始答案

微软自己还有一个被低估的工具：“Microsoft Network Monitor”。基本上，这与wireshark非常相似，除了一些特定的MS协议具有比wireshark本身更好的解析器和可视化支持，显然它只能在windows下运行;-)。

这个工具已经很旧了，看起来已经被废弃了(到目前为止还没有看到新的版本)，但仍然做得很好，定义新协议的语法非常整洁/有趣-所以它在未来仍然有很大的威力。

​

分析示例-记录被过滤为TDS -因此其他数据包主要被丢弃：

​

​

对于sql server连接也是如此。MNM甚至可以通过网络可视化结果集-非常整洁。尽管如此，如上所述的wireshark足以在线路本身上验证加密和应用的证书。这意味着它可以完全理解TDS-Protocoll。

处理TLS

还有一个扩展(所谓的专家) 'NmDecrypt‘和正确的证书(包括私钥)-可以解密协议-对于在TDS中使用TLS的TDS来说非常好-难怪-还没有人真正实现它作为wireshark的完全支持的协议;)

到目前为止，关于MSSQL-Traffic -或者更精确的TDS-Protocol，这是我迄今为止遇到的最好的工具。Wireshark很酷--但在这种情况下，MNM更“好”。有phun！;)

这些工具的链接：

微软网络监视器：http://www.microsoft.com/en-us/download/details.aspx?id=4865

• NMDecrypt：http://nmdecrypt.codeplex.com/releases/view/85581

不是wireshark，但对我来说，Microsoft Message Analyzer在这方面做得很好。

获取所有已发送的命令

sql

• 启动新的会话并将实时跟踪添加为数据源

• 选择方案(我选择了Local Network Interfaces)

• Enter a session filter expression like *address == 10.1.2.129以仅筛选到您的

• 的流量。sql

单击start<>H112右键单击消息表中的列标题，然后选择Add sql TDS > SqlBatchPacketData > SQLText

这应该会给您类似于以下内容

​

不幸的是，目前还没有实现自动滚动，但您可以按时间戳排序，并在顶部弹出新的查询。

您提到的问题是如何证明流量是加密的。

所以他们使用wireshark来显示你不能阅读它。

在SQL server的早期版本上，加密很弱，但我认为解密SQL Server 2005通信并不容易。