在做實驗之前請先下載network monitor抓包工具
微軟官網下載:http://www.microsoft.com/en-us/download/details.aspx?id=4865
Microsoft Network Monitor 這是微軟提供的網絡抓包工具
雖然它是微軟提供的,但所有的協議parser解析代碼全部都是開源的,采用其支持的特有腳本語言編寫,易理解、易擴展;
它自帶協議parser比較全面,同時有一個開源社區提供持續支持;
另外,它也提供API幫助我們開發自己的網絡抓包、協議分析工具。
針對TDS協議解析需求:Network Monitor自帶TDS協議解析器和UI比較友好Network Monitor自帶TDS協議解析器在解析和結果展示方面更全面,以下是一個畫面片段,顯示了一個SQL Batch包。
大家可以看一下這篇文章:SQL Server 連接加密 (1) -- SQL Server connection encyption網上有很多制作證書的教程,但是制作證書都比較麻煩,客戶端和服務器端都要弄很多東西。詳細制作證書的過程可以參考園子里的這篇文章:在SQL Server 2005 中開啟SSL(圖文結合)
詳細步驟:步驟1:在SQLSERVER服務器端這邊設置強行加密
步驟2:重啟SQLSERVER,只有重啟SQLSERVER設置才能生效步驟3:打開network monitor,新建一個capture
步驟4:啟動capture,開始捕獲
步驟5:在客戶端這邊連上服務器端的SQLSERVER,然后你會在network monitor里的看到SSMS這個進程已經出現在Network Conversations窗口
步驟6:選中他,你會在Frame Summary窗口看到幀信息
步驟7:如果你在服務器端開啟了“強行加密”,那么收到的數據包都會是加密的
大家在PRotocol Name這一欄看到的是TLS協議,而不會是TDS協議
步驟8:查看幀數據
步驟9:如果沒有加密的明文數據,network monitor就能夠查看出來,并且Protocol Name這一欄顯示的是TDS協議,因為數據包并沒有使用TLS協議進行封裝
TipS:當關閉了SSMS的查詢窗口之后,連接還是存在的
很多人會問,關閉了連接,怎么連接還存在,客戶端為什么還會跟服務器端進行通信?????
實際上,這個是客戶端的連接池機制,客戶端不斷發送keep alive數據包給服務器,下次有同樣的連接進行重用了,不需要再進行三次握手o(∩_∩)o
總結
本人介紹了不使用制作證書的方式來對傳輸的數據進行加密的方法,實際上設置客戶端而不設置服務器端也是可以的
不過設置客戶端比較麻煩,還需要在連接字符串里加上encrypt屬性設置為Yes
設置服務器端和設置客戶端的加密的區別
服務器端:所有的連接都是加密的
客戶端:只是設置了加密的那個連接是加密的,其他沒有設置加密的連接依然是明文傳輸數據
當然,使用SQLSERVER自生成的證書安全性是不及自己制作的證書的安全性高!!
相關連接:
加密與 SQL Server 的連接
使用自簽名證書加密的 SSL 連接不提供強安全性。它們容易在傳輸中途受到攻擊。在生產環境中或在連接到 Internet 的服務器上,不應依賴使用自簽名證書的 SSL。
始終要對客戶端應用程序與 SQL Server 連接時傳輸的憑據(在登錄數據包中)進行加密。SQL Server 將使用可信證書頒發機構頒發的證書(如果可用)。如果未安裝可信證書,則在啟動實例時 SQL Server 將生成自簽名證書,并使用自簽名證書對憑據進行加密。自簽名證書有助于提高安全性,但它不提供針對通過服務器進行的身份欺騙的保護。如果使用自簽名證書,并且 ForceEncryption 選項的值設置為“是”,則將使用自簽名證書對通過網絡在 SQL Server 和客戶端應用程序之間傳輸的所有數據進行加密
有關SQL server connection Keep Alive 的FAQ(3)
有關SQL server connection Keep Alive 的FAQ(2)
有關SQL server connection Keep Alive 的FAQ(1)
SQL Server 連接加密 (1) -- SQL Server connection encyption
SQL Server 連接加密 (2) -- SQL Server connection encyption
如有不對的地方,歡迎大家拍磚o(∩_∩)o
新聞熱點
疑難解答
