Redis抓包分析案例一则

最新推荐文章于 2024-07-25 01:41:50 发布
最新推荐文章于 2024-07-25 01:41:50 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Redis 文章标签: redis tcpdump
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pcj_888/article/details/121177171
版权

问题描述

业务背景: 有一台由多个Docker容器组成的仿真设备环境,1个Docker部署Redis服务端,剩余每个Docker都作为Redis客户端,用于模拟一块单板。

问题: 仿真设备启动中,概率出现Redis的某个字符串键被不符合预期地改写成空串,导致客户端Docker从Redis获取的数据有问题。需要定位是哪个Docker上的哪个进程改写了Redis数据库。

定位思路

  • 先尝试排查客户端代码。但此案例中涉及业务代码过多(200w+行代码),且Redis客户端的形式也很多(有goredis, redis-py, hiredis, redis-cli等)。看来肉眼扫描代码的笨方法不靠谱,而且这种寄希望于碰运气蒙混过关的思考方式实在不像是一个程序员。

那么既然排查客户端有困难,能不能换个角度思考,比如说从服务端入手?以下给出第二种思路:

  • 通过在服务端抓包,得到所有对这个字符串键做set操作的报文,再根据报文中的IP和端口号得到进程ID。听起来可行,下面举一个简化的案例介绍具体的操作方法。

具体方法

利用tcpdump,在Redis服务端后台抓取对这个字符串键做set操作的报文,再根据报文中的IP和端口号确认进程即可。

如下图所示,使用命令tcpdump -i any port 6379 | grep set | grep [key] ,得到客户端IP是localhost,端口号是44880。

在这里插入图片描述

再根据报文中的IP和端口号确认进程号,可以用netstat, ss, lsof等实现。以下仅给出netstat方式,命令:netstat -anltp | grep 端口号,得到进程ID为6748,如下图所示:
在这里插入图片描述

思考:

如果我只需要抓取将某个特定字符串键(比如"hello")写成某个特定值(比如写成空串)的报文,怎么做?

除了grep,下面再给出一种方法,利用tcpdump的根据报文特征过滤的技巧:

1、使用tcpdump的-X选项查看报文详细内容,重点看Redis请求在TCP报文中是如何存储的:
在这里插入图片描述

可以看出, set hello "world"命令在报文中存储的协议内容如下:

*3 $3 set $5 hello $5 world

协议内容的解析参考Redis协议规范(RESP) , 以下只做简单的解释:

  • *3 表示数组长度为3, 数组元素依次为 [“set” “hello” “world”]
  • $3 表示字符串 “set” 的长度
  • 第一个 $5 表示字符串 “hello” 的长度。
  • 第二个 $5 表示字符串 “world” 的长度。

2、再根据TCP报文内容的特征过滤。此案例中,筛选条件可以是同时匹配 “set” “hello” “$0”(0匹配键值的长度,用来匹配空串),可以使用命令tcpdump -i any port 6379 -X and 'ip[60:2] == 0x7365' and 'ip[69:4] == 0x68656c6c' and 'ip[76:2] == 0x2430' 抓取所有将字符串键"hello"写为空串的报文,参考下图:
在这里插入图片描述

参考资料

【1】Redis协议规范(RESP)

【2】网络基本功(十八):细说tcpdump的妙用(下)

【八股】非关系型数据库篇(Redis+ES)
qq_44768318的博客
04-23 3088
🙂缓存:缓存穿透、击穿、雪崩、双写一致、持久化、数据过期、数据淘汰策略🙂分布式锁:setnx、redisson🙂消息队列、延迟队列、保存token:何种数据类型🙂计数器。
玩转Redis-Lua脚本入门到实战-树形结构存储及查询
zxiaofan.com
12-13 3024
《玩转Redis》系列文章 by zxiaofan 系列第【16】篇,Lua脚本入门到实战、调试Lua脚本、树形结构的存储方案、“邻接表”、“路径枚举”、查找部门的所有上级部门。
Redis流量分析
qq_69100706的博客
07-25 1139
Redis流量分析是指对Redis数据库的网络通信量和内部操作进行监控和分析的过程。这有助于理解Redis服务器的负载、性能瓶颈、以及可能存在的问题,以便进行优化和故障排查。
redisniffer:嗅探redis数据包并汇总命令计数
02-04
redisniffer:嗅探redis数据包并汇总命令计数
redis 抓包
qq_35640866的博客
10-19 86
tcpdump port 6379 |grep ‘27896412926’
【通信协议】笔记之Redis协议抓取分析
KeepTing
10-24 1878
RESP(Redis序列化协议) 概念 Redis底层使用的通信协议是RESP(Redis Serialization Protocol的缩写),RESP协议可以序列化多种类型,比如Simple Strings(简单字符串),Errors(错误类型),Integers(整形),Bulk Strings(批量串)和Arrays(数组),但此协议只适用于Redis客户端-服务端之间的通信,Redis集群中节点间通信使用的另一种协议。 一般情况下RESP是一种简单的请求-响应式协议,就是发一条请求,Redis服务
java redis 通信,通过抓包分析 redis 通信协议, 我发现我也能实现一个 redis 客户端...
weixin_35752122的博客
03-13 246
概述redis 客户端与服务端通信的本质就是基于 socket 的网络编程, 通过字节流来传输数据, 在将数据转成字节流之前, 客户端需要将待传输的数据按照具体的通信协议格式组装一下, 本文主要来分析的是 redis 客户端是通过什么样的数据格式从服务端 读写数据 的.插入一条数据如果往 redis 中插入一条 key=username, value=zhangsan的数据, 命令如下:SET U...
抓包分析
weixin_30376083的博客
05-23 200
一、网络配置 网络地址规划表 源IP地址 默认网关 目的IP地址 域名 备注 10.3.45.154 10.3.45.154 112.54.108.106 Hao123.com 360浏览器 10.3.45.154 10.3.45.15...
redis 获取不到_记一次PHP偶现获取不到Redis数据排查过程
weixin_39556590的博客
12-22 1262
李乐问题描述3月25号早晨8点左右线上回归时,发现getTestInfos接口部分请求返回空数据。kibana查询异常请求日志,输入参数正常;梳理接口业务逻辑,是根据输入参数从Redis查询数据返回空导致。进一步确认:1)Redis查询数据时未抛异常;2)Redis中确实存在该数据;3)只有偶尔部分请求无法从Redis获取数据。10点25左右,重启业务进程与confd,恢复正常。两个疑问:1)为什...
Redis史上最全的面试题
HC_MM的博客
03-21 1177
Redis和Memcache作为两种常见的内存数据存储系统,各有其特点和适用场景。存储方式和数据持久性Memcache将数据全部存储在内存中,一旦断电,数据将会丢失,且其数据大小不能超过内存大小。Redis则部分数据存储在硬盘上,这保证了数据的持久性,即使在服务器重启或故障后,数据也不会丢失。数据支持类型Memcache主要支持简单的key-value存储,不支持枚举、持久化和复制等功能。
java面试整理(Redis21问)
kkkllllss的博客
03-29 360
一、集群、分布式、微服务的理解 1、集群是个物理形态,分布式是个工作方式。 分布式:一个业务分拆多个子业务,部署在不同的服务器上 集群:同一个业务,部署在多个服务器上 2、分布式是指将不同的业务分布在不同的地方。而集群指的是将几台服务器集中在一起,实现同一业务。 分布式的每一个节点,都完成不同的业务,一个节点垮了,那这个业务就不可访问了。分布式是以缩短单个任务的执行时间来提升效率的,而集群则是通过提高单位时间内执行的任务数来提升效率。 分布式中的每一个节点,都可以做集群。而集群并不一定就是分布式的。 举例:
工具|MySQL、Redis、MongoDB网络抓包工具
Java笔记虾
12-06 446
点击关注公众号,利用碎片时间学习简介go-sniffer可以抓包截取项目(MySQL、Redis、MongoDB)中的请求并解析成相应的语句,并格式化输出。类似于在之前的文章 MySQL...
通过抓包分析 redis 通信协议, 我也能实现一个 redis 客户端
nimo10050的博客
01-03 1273
概述 redis 客户端与服务端通信的本质就是基于 socket 的网络编程, 通过字节流来传输数据, 在将数据转成字节流之前, 客户端需要将待传输的数据按照具体的通信协议格式组装一下, 本文主要来分析的是 redis 客户端是通过什么样的数据格式从服务端 读写数据 的. 插入一条数据 如果往 redis 中插入一条 key=username, value=zhangsan的数据, 命令如下: SET USERNAME ZHANGSAN 实际的通信数据(转为字节之前), 如下所示: // 原始字符串 *
wireshark之redis协议分析
编程随手记
03-11 2780
文章目录redis协议简介redis响应格式:使用wireshark 抓取redis数据包写一个redistemplate 的测试类, 向redis发送数据分析sentinel数据包分析redis server数据包 redis协议简介 redis使用的通信协议是RESP(REdis Serialization Protocol), 是一种简便, 可读性很好的通信协议 以下内容摘自RESP2的文档内容, 参考地址: https://redis.io/topics/protocol RESP3的文档地址: h
Redis 通讯协议分析
热门推荐
被遗忘de角落
11-11 9万+
1.协议简介 Redis的客户端与服务端采用一种叫做 RESP(REdis Serialization Protocol) 的网络通信协议交换数据。 这种协议采用明文传输,易读也易解析。Redis客户端采用此协议格式来对服务端发送不同的命令,服务端会根据具体的操作而返回具体的答复。客户端和服务端采用的是简单的请求-响应模型进行通信的。 2.协议格式 协议的第一个字符就表示当前包的类型
Redis 协议为例谈简单的协议分析
orangleliu 笔记本
03-22 5171
怎样去研究一个协议的过程,协议的格式,好处,怎么样模拟发包等,下面是一个简单的过程记录。 研究的步骤: 协议相关的资料,RFC,官方文档等。弄清楚协议工作在4层还是7层,是二进制还是文本协议等 抓包,通过分析数据包来真实的看到通信过程,另外一个就是自己实现时候方面调试 看客户端或者服务端的源码,了解实现细节(如果你需要拆轮子和造轮子) 总结下它的优缺点等 1 协议信息尽量找到原始的资料和精辟的分析
redis常见关键字
后台开发
10-20 6014
存:     set 键 值 取:     get 键 查看:    keys 匹配 清空当前库: FLUSHDB 清空所有库: FLUSHALL 判断是否存在: EXISTS 键 查询当前库的key: keys (匹配) 移动key:move 键 库号 为给定的key设置过期时间 : expire 键 秒钟 查看还有多少秒过期:-1表示永不过期,-2表示已过期 ttl 键 查看你的key是什么类型:type 键 删除键:del 键 ...
流量包分析类题(1)
currify的博客
10-27 1004
打开压缩包,发现文件夹内有一个流量包 用wireshark打开提取去其中的http包 在第一个包中发现ZIP包的文件头格式,删除文件头前的内容并保存 退出并更改后缀名为.zip 打开压缩包发现其中的文件被加密,用ARCHPR进行密码暴力破解,得到密码1314 打开得到一张照片,但并没有发现有用信息 因为照片的格式为jpg,所以暂时先不考虑LSB隐写 拖入wenhex中发现其中隐藏的ZIP包 将压缩包文件头前的内容删除并保存,退出将后缀名修改为.jpg得到新的压缩包 发现此文...
流量分析题(持续更新)
zip471642048的博客
05-16 3552
wireshark 题目链接:https://ce.pwnthebox.com/challenges?id=1132 黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 根据题目描述我们筛选出http流量 查看返回的response ftp 题目链接 : https://ce.pwnthebox.com/challenges?id=183 搜索字符串flag发现ftp曾上传或下载了一个flag.txt的文件 ftp-data是ftp传输过程中数据的协议,筛选ftp-d
redis resp 可视化工具
最新发布
02-22
### 可视化展示Redis RESP协议交互的工具 对于希望直观理解Redis RESP协议如何工作以及其在网络中的表现形式,存在一些特定工具可以辅助这一过程。虽然直接针对RESP协议设计的可视化工具较少见,但可以通过组合某些现有技术来实现所需功能。 #### 使用`Wireshark`进行网络流量捕获与分析 Wireshark是一款广泛使用的开源网络协议分析器,能够解码多种应用层协议的数据包,包括自定义配置后的Redis协议。通过安装专门的Lua脚本或利用内置插件,Wireshark可识别并解析基于TCP连接上传输的RESP消息格式[^1]。 为了使Wireshark正确显示Redis命令及其参数: - 需要在启动抓包前设置过滤条件为`tcp port 6379`(默认情况下Redis监听该端口) - 下载适用于最新版Redis的Dissector脚本,并按照官方文档说明加载到程序环境中 这样做的好处是可以实时观察客户端和服务端之间的每一次请求/应答交换细节,帮助开发者深入了解实际运行环境下的协议行为模式。 #### 利用Python编写简易模拟器 如果更倾向于编程方式,则可以考虑开发一个小型的应用程序来仿真整个流程。借助于像`redis-py`这样的库,可以在本地创建虚拟化的Client实例并向真实的Server发出指令;与此同时记录下所有的输入输出日志以便后续审查。 下面给出一段简单的代码片段作为示例: ```python import redis client = redis.StrictRedis(host='localhost', port=6379, db=0) def log_command(command): print(f">>> {command}") response = client.execute_command('SET mykey "Hello"') log_command(response.decode()) print(f"<<< {response}") response = client.get('mykey') log_command(f'GET mykey -> "{response.decode()}"') ``` 这段脚本不仅实现了基本的功能测试,还提供了清晰的日志输出机制,使得每一步操作都变得透明可见。当然这只是一个起点,在此基础上还可以加入图形界面组件进一步增强用户体验。 #### 探索第三方平台提供的在线调试沙箱 部分云服务商提供带有预装软件栈的容器镜像资源供用户免费试用,其中不乏已经集成了完整Redis部署方案的产品。这些平台上往往配备有现成的Web控制台允许远程接入目标数据库集群,从而简化了实验准备工作量的同时也为学习者带来了极大的便利性。 综上所述,尽管目前市面上缺乏专精于此领域的成品解决方案,但是凭借上述几种途径仍然可以获得满意的观测效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pcj_888

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值