最近在做SqlServer2008 tds协议的解析,在登录包解析时出现了一些问题。网上和微软官方关于tds的说法是header的type
为0x12是预登录包,type为0x10是登录包,但是我实际抓包过程中发现并没有type为0x10的登录包,只有一些预登录包、和TCP包,而且貌似向数据库服务器端发送的登录请求是经过加密的。现在分析就遇到瓶颈了,不能从用户登录时获取相关的信息(主要是用户名)。
下面是通过sqlcmd登录的抓包结果(如果用SQL Server Management登录后面还会多一些查询等数据包,但是登录相关的应该就到这里了),数据库服务器在192.168.10.158端。
不知道有没有哪位高手做过与tds协议相关的研究,诚求指导。主要是怎样通过抓去的登录数据包提取用户的相关信息(用户名)。