本文基于mysql 8.0.21

插件介绍

MySQL 5.6.35 开始提供Connnection Control 插件;

如果客户端在连续失败登陆一定次数后,那么此插件可以给客户端后续登陆行为的响应增加一个延迟。该插件可以防止恶意暴力破解MySQL账户。该插件包含以下2个组件:

- CONNECTION_CONTROL:检查mysql的刚建立连接的响应是否需要延迟,并且提供一些系统变量和状态参数跑;方便用户配置插件和查看此插件基本的状态。
- CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS:提供了一个INFORMATION_SCHEMA类型的表,用户在此表中可以查看更详细关于登陆失败连接的信息。

基本使用

插件的安装与卸载

安装可以通过配置文件静态安装,也可以在MySQL中动态安装。

静态安装

-- 配置文件增加以下配置
[mysqld]
plugin-load-add = connection_control.so

动态安装

-- 插件动态安装启用
mysql> INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so';
mysql> INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';

-- 验证是否正常安装
mysql> SHOW PLUGINS;


卸载

-- 插件卸载
UNINSTALL PLUGIN CONNECTION_CONTROL;
UNINSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;

更多关于插接件安装/卸载的信息请点击

插件参数

  • connection_control_failed_connections_threshold:失败登陆次数达到此值后触发延迟。
    • 值域:[0, INT_MAX32(2147483647)],0表示关闭此功能。
    • 默认值:3
  • connection_control_max_connection_delay:登陆发生延迟时,延迟的最大时间;此值必须大于等于connection_control_min_connection_delay。
    • 值域:[1, INT_MAX32(2147483647)]
    • 默认值:INT_MAX32
    • 单位:毫秒
  • connection_control_min_connection_delay:登陆发生延迟时,延迟的最小时间,此值必须小于等于connection_control_max_connection_delay。
    • 值域:[1000, INT_MAX32(2147483647)]
    • 默认值:1000
    • 单位:毫秒

基本原理

  • Connection Control 插件通过订阅MYSQL_AUDIT_CONNECTION_CLASSMASK 来处理 MYSQL_AUDIT_CONNECTION_CONNECT(完成认证后触发)和MYSQL_AUDIT_CONNECTION_CHANGE_USER(完成COM_CHANGE_USER RPC后触发)子事件;通过这两种子事件的处理来检查给客户端发送回包时是否需要延迟。
  • Connection Control 插件通过 LF hash来存储不同账户的失败登陆信息。LF hash中的key为user@host ,这里的user与host将遵循以下条件:
    • 如果在MySQL的security context有proxy user信息,那么这个信息将用于user与host;
    • 否则,查看security context是否有priv_user 和 priv_host信息,如果有则用于user与host;
    • 否则,将security context中已经连接的user 和 host信息用于user与host。
  • LF hash的更新:对于每次失败的登陆通过**user@host 的key值对其value加1;对于每次成功的登陆,如果需要延迟,处理完延迟后将user@host **从LF hash中删除。
  • 为什么在达到connection_control_failed_connections_threshold失败登陆次数后的第一次成功登陆需要延迟?
    • 这其实还是出于对攻击者开销的考虑;如果成功登陆后马上返回,不需要延迟,那么攻击者就可以使用更少的连接数,进一步攻击者所消耗的资源就会更少;为了增加攻击者的开销,在连续失败登陆后的第一次成功登陆,还是会产生延迟。
  • 具体延迟的时间如何计算?
    • 一旦连续的失败登陆次数超过设定阈值,那么就会产生延迟,并且延迟随着失败次数增加而增加,上限为connection_control_max_connection_delay;具体的计算方式如下:
    • MIN ( MAX((failed_attempts - threshold), MIN_DELAY), MAX_DELAY)

实现分析

从上一小节的基本原理我们知道Connection Control插件主要是通过订阅处理MYSQL_AUDIT_CONNECTION_CONNECT与MYSQL_AUDIT_CONNECTION_CHANGE_USER事件来实现的。

主要处理流程如下:

//创建一个新线程,处理新连接
handle_connection() in connection_handler_per_thread.cc
|
| //准备工作
->thd_prepare_connection() in sql_connect.cc
  | 
  | //进行登陆操作
  ->login_connection() in sql_connect.cc
    |
    | //对此连接的有效性进行验证
    ->check_connection() in sql_connect.cc
      |
  		| //验证登陆
  		->acl_authenticate() in sql_authentication.cc
  		|
  		| //对登陆连接事件进行处理
      ->mysql_audit_notify() in sql_audit.cc
        |
  			| //对登陆连接事件进行处理,并获得错误码
        ->mysql_audit_notify() in sql_audit.cc
          |
  				| //获取需要处理登陆事件的插件
  				->mysql_audit_acquire_plugins() in sql_audit.cc
  				|
  				| //将连接事件分发,并按照需求是都获取插件处理的返回值
          ->event_class_dispatch_error() in sql_audit.cc
            |
  					| //将连接事件分发
            ->event_class_dispatch() in sql_audit.cc
              |
  						| // 调用插件的相关处理函数处理连接事件
              ->plugins_dispatch() in sql_audit.cc
              	|
  							| //检查当前插件是否需要处理此事件
  							->check_audit_mask()in sql_audit.cc
  							|
  							| //connection_control处理连接事件
              	->connection_control_notify() in connection_control.cc
              	  |
                  | //依次遍历订阅了连接事件的订阅者处理此事件
              	  ->notify_event() in connection_control_coordinator.cc
              	    |
                  	| //处理连接事件
              	    ->notify_event() in connection_delay.cc

下面我们主要看一下最终Connection Control插件是怎么处理连接事件的。

/**
  @brief  Handle a connection event and if requried,
  wait for random amount of time before returning.
  We only care about CONNECT and CHANGE_USER sub events.
  @param [in] thd                THD pointer
  @param [in] coordinator        Connection_event_coordinator
  @param [in] connection_event   Connection event to be handled
  @param [in] error_handler      Error handler object
  @returns status of connection event handling
    @retval false  Successfully handled an event.
    @retval true   Something went wrong.
                   error_buffer may contain details.
*/

bool Connection_delay_action::notify_event(
    MYSQL_THD thd, Connection_event_coordinator_services *coordinator,
    const mysql_event_connection *connection_event,
    Error_handler *error_handler) {
  
  ...

	// 只关注CONNECT与CHANGE_USER事件
  if (subclass != MYSQL_AUDIT_CONNECTION_CONNECT &&
      subclass != MYSQL_AUDIT_CONNECTION_CHANGE_USER)
    DBUG_RETURN(error);

  RD_lock rd_lock(m_lock);

  int64 threshold = this->get_threshold();

  // 拿到当前阈值检查阈值是否有效,DISABLE_THRESHOLD=0
  if (threshold <= DISABLE_THRESHOLD) DBUG_RETURN(error);

  int64 current_count = 0;
  bool user_present = false;
  Sql_string userhost;

  make_hash_key(thd, userhost);

  DBUG_PRINT("info", ("Connection control : Connection event lookup for: %s",
                      userhost.c_str()));

  // 获取到当前失败登陆的次数
  user_present = m_userhost_hash.match_entry(userhost, (void *)&current_count)
                     ? false
                     : true;

  // 如果失败次数超过阈值,无论这次连接成功与否,都需要延迟
  // 同时更新统计信息
  if (current_count >= threshold || current_count < 0) {
    
    ulonglong wait_time = get_wait_time((current_count + 1) - threshold);

    if ((error = coordinator->notify_status_var(
             &self, STAT_CONNECTION_DELAY_TRIGGERED, ACTION_INC))) {
      error_handler->handle_error(
          ER_CONN_CONTROL_STAT_CONN_DELAY_TRIGGERED_UPDATE_FAILED);
    }

    // 在产生延迟时,需要释放读写锁,以减少锁的粒度
    // 防止阻塞对于IS table的数据访问
    rd_lock.unlock();
    conditional_wait(thd, wait_time);
    rd_lock.lock();
  }

  if (connection_event->status) {
    
    // 如果此次登陆失败,那么更新LF Hash
    if (m_userhost_hash.create_or_update_entry(userhost)) {
      error_handler->handle_error(
          ER_CONN_CONTROL_FAILED_TO_UPDATE_CONN_DELAY_HASH, userhost.c_str());
      error = true;
    }
  } else {
    
    // 如果此次登陆成功并且LF Hash中有数据,那么就删除LF Hash中的数据
    if (user_present) {
      (void)m_userhost_hash.remove_entry(userhost);
    }
  }

  DBUG_RETURN(error);
}


小结

1,通过分析Connection Control处理流程与具体实现,我们可以知道插件是如何来处理连接事件的。

2,该插件虽然可以防止恶意暴力破解MySQL账户,但是可能会浪费MySQL的资源;

- 比如如果短时间内有大量的恶意攻击,该插件虽然可以防止破解mysql账户,但是会消耗主机资源(每一个连接创建一个线程);
- 如果这里使用了线程池,虽然可以避免消耗主机资源,但是等线程池中的线程被消耗光,再有新连接来就会拒绝服务。