怎样确认一个数据包是 mysql 数据包？

FightForWin

hi， 大家好.

有没有办法确认在网络上抓的包是一个 mysql 数据包， 比如是 mysql 登录或其他什么的。

我用 wireshark 抓包， 三次握手完他就知道数据包使用的协议是 mysql ， 请问是用什么方法。 谢谢。

FightForWin

但是端口变了呢？
mysql 服务器的端口并一定非用 3306 不可吧？

FightForWin

那有方法判断数据包是否为 mysql 包吗？
mysql 协议有没有特殊的字段指明？ 我看了 mysql 协议， 没看出什么来.
谢谢。

phphp

对于新建请求，TCP三次握手后是服务端（mysqld）主动给客户端发送握手包，其中就包含mysql版本串（如mysql-5.1.58），可用这个做为特征。

1. Handshake Initialization Packet
   
2. From server to client during initial handshake. The follow is taken from sql/sql_acl.cc:
   
3. Bytes                        Name
   
4. -----                        ----
   
5. 1                            protocol_version
   
6. n (Null-Terminated String)   server_version//看这里
   
7. 4                            thread_id
   
8. 8                            scramble_buff
   
9. 1                            (filler) always 0x00
   
10. 2                            server_capabilities
    
11. 1                            server_language
    
12. 2                            server_status
    
13. 2                            server capabilities (two upper bytes)
    
14. 1                            length of the scramble
    
15. 10                            (filler)  always 0
    
16. n                            rest of the plugin provided data (at least 12 bytes)
    
17. 1                            \0 byte, terminating the second part of a scramble
    

复制代码

对于已有连接上的包，可尝试用mysql协议去翻译，能正确识别就是mysql数据包。

参考：http://forge.mysql.com/wiki/MySQL_Internals_ClientServer_Protocol