劫持與網絡數據包分析儀的連接字符串

Question

我猜一切都可能，但我想知道有人用網絡數據包分析器或等效工具劫持連接字符串是多麼容易。

Winforms應用程序直接從MSSQL服務器獲取數據。 （假設在中間沒有額外保護的web服務）

1）分析儀的人是否有可能將連接字符串讀爲明文？

2）連接字符串可以用SSL證書保護？

3）SSL證書應該安裝在SQL服務器上？

4）我已經擁有一個SSL證書http s我可以安裝它也爲SQL服務器？

5）由於SSL，返回數據的速度會降低嗎？

在此先感謝

Answer 1

1. 是的。如果它們與數據包嗅探器在同一個網絡上（以後稱爲「嗅探器」），並且連接字符串爲純文本，則很容易。使用交換機而不是集線器不會讓這樣做更難。
2. 仍有可能使用中間人攻擊。通道綁定旨在檢測並防止此問題，同時仔細檢查客戶端收到的證書。客戶端證書也有助於加強這一點
3. 是的，它應該是
4. 只要主機名匹配sql服務器，它應該工作，否則你需要一個新的證書。
5. 它可能會降低速度，但不會太多。對比它，看看減速是否仍然可以達到可接受的性能;沒有其他方法可以預測任何可靠程度的影響。

還有一兩件事：如果連接字符串加密，我還可以分析數據包，以找到您的服務器的位置，如果傳遞的數據來回未加密我還可以，即使我可以閱讀」 t連接到sql服務器。我也可以修改它。這就是爲什麼通過互聯網存在SQL連接並且爲什麼它通常連接到同一臺服務器上的數據庫，通過本地網絡連接，通過VPN連接或加密整個數據流的原因。

Answer 2

如果沒有加密，可以讀，是的。請注意，SQL Native Client可能經常執行基於非SSL的加密（取決於lots of factors），但是，也可以使用SSL加密;見technet。是的，它減緩了一些事情。對於證書的要求都在technet文章中。但請不要將您的數據庫服務器暴露於互聯網...