Compartir a través de


Los desvíos o técnicas similares pueden provocar comportamientos inesperados con SQL Server

En este artículo se describe la directiva de soporte técnico de Microsoft cuando se usan desvíos de terceros con SQL Server y problemas que pueden producirse al usarlos.

Versión del producto original: SQL Server
Número de KB original: 920925

Resumen

El soporte técnico de Microsoft ha encontrado numerosos productos de terceros que usan desvíos para proporcionar funcionalidades adicionales a SQL Server. Normalmente son funcionalidades de auditoría. No hay ningún proceso de certificación para desvíos de terceros para aplicaciones de Microsoft. Por lo tanto, por lo general, Microsoft no recomienda encarecidamente el uso de desvíos.

Las características que usan desvíos o técnicas similares para cambiar el comportamiento de SQL Server pueden provocar los siguientes problemas:

  • Problemas de rendimiento.
  • Resultados incorrectos.
  • Daños en el disco y la memoria.
  • Pérdida de respuesta de SQL Server.
  • Finalización de proceso inesperada.
  • Incapacidad de usar diagnósticos estándar, como la función fn_get_sql y el DBCC INPUTBUFFER comando .
  • 100 % de uso de CPU y tiempos de recuperación largos de la base de datos cuando se usan tablas OLTP en memoria en SQL Server.

Es posible que encuentre estos mismos problemas al usar software que no es de Microsoft, como servidores vinculados, procedimientos extendidos o objetos COM dentro del proceso de SQL Server. Los desvíos están ocultos en la vista DBA. Para descubrir un desvío, debe usar las técnicas que se describen en la sección Más información que se indica a continuación. Los servidores vinculados, los objetos COM y los procedimientos extendidos tienen un registro explícito y interfaces definidas.

Nota:

Debido a la naturaleza oculta de los desvíos y la falta de interfaces publicadas, Microsoft no proporciona servicios de soporte técnico para características de terceros que usan desvíos o técnicas similares. El tercero es responsable de la compatibilidad con su propio código, como sería responsable de su propio servidor vinculado u otra implementación autorizada.

Es una práctica habitual, en el curso habitual de la solución de problemas, para que los servicios de soporte técnico de Microsoft le pidan que deshabilite trabajos no esenciales y deshabilite o quite componentes de terceros y otras técnicas similares. Microsoft siempre intenta reducir la superficie del problema mientras identifica el problema. Después de identificar el problema como no relacionado con los trabajos o productos de terceros, esos trabajos o productos de terceros se pueden introducir de nuevo en producción.

No es nuestra intención descubrir un desvío y, a continuación, considerar que la instancia de SQL Server no es compatible. Microsoft reconoce que algunas implementaciones son necesarias. Sin embargo, Microsoft requiere que valide la compatibilidad de los desvíos. Un desvío de una empresa de confianza y de confianza es definitivamente diferente de un desvío inesperado que es utilizado por un virus. Microsoft no garantiza ni certifica estos productos de terceros ni cómo interactúan los productos de terceros con los productos y servicios de Microsoft. En su lugar, los proveedores de terceros son responsables de la identificación y confiabilidad de sus productos y servicios. Si tiene alguna pregunta sobre productos y servicios de terceros, póngase en contacto con el tercero aplicable. Microsoft no es responsable de los problemas causados por el uso de productos o servicios de terceros en relación con SQL Server.

Más información

Los desvíos proporcionan funcionalidades mejoradas y un equilibrio de riesgo/recompensa. Normalmente, cuando se implementa un desvío en SQL Server, el código de terceros se inserta en el espacio del proceso. Esta actividad puede cambiar el comportamiento de SQL Server.

A continuación se muestran algunas situaciones de ejemplo y posibles efectos secundarios:

  • Los paquetes de tráfico de red entrantes (TDS) se examinan y cambian. El desvío se agrega en una ubicación crítica en el subproceso de proceso de red net_readdata. Incluso 100 ciclos de CPU en esta ubicación pueden reducir significativamente el rendimiento de velocidad de lote.

    Un cambio en los datos de TDS reales puede dar lugar a los scribblers de memoria. Este problema ha desencadenado varios problemas de estabilidad de SQL Server y daños en los datos. Los problemas pueden hacer que se cambie parcialmente un paquete TDS y reproducir elementos no utilizados en SQL Server. Los servicios de registro en este nivel pueden exponer contraseñas y otros datos confidenciales que el seguimiento de SQL Server está diseñado para suprimir y ayudar a proteger.

  • Las rutinas de análisis de SQL Server se desturan para cambiar el comportamiento. A continuación se muestran posibles efectos secundarios:

    • Los planes de ejecución no coinciden con el texto real de la consulta.
    • Un comando solo se envía una vez desde el cliente. Sin embargo, el comando se ejecuta varias veces.
    • La salida de seguimiento muestra el comando original en lugar de la consulta modificada.
    • El DBCC INPUTBUFFER comando muestra el comando original en lugar de la consulta modificada.
    • La fn_get_sql función muestra datos incorrectos. Además, la fn_get_sql función es susceptible a excepciones y a resultados incorrectos. Muchas soluciones de supervisión usan la fn_get_sql función y pueden causar problemas en las soluciones de supervisión.
    • Es posible que se interrumpa el programador general del modo de usuario (UMS) y la programación del sistema operativo de SQL Server (SQLOS). Esto provoca la pérdida de la respuesta de SQL Server, los cambios de rendimiento y las interrupciones.
  • Las API de Win32 que proporcionan características de seguridad mejoradas se desturan. En función de la implementación, las instalaciones de registro en este nivel podrían exponer contraseñas y otros datos confidenciales. Se interrumpe la programación general de UMS y SQLOS. Esto provoca la pérdida de la respuesta de SQL Server y las interrupciones.

  • No se admite la modificación de tablas de funciones ni la redirección de las funciones principales de SQL Server o de la API de Windows en el proceso de SQL Server. Esto puede provocar inestabilidad y comportamiento inesperado en la funcionalidad de SQL Server.

En el ejemplo siguiente se muestra que la kernel32!GetQueuedCompletionStatus función se ha desviado.

MyDLL!MyGetQueuedCompletionStatus
ssnetlib!ConnectionReadAsyncWait

En el ensamblado de la GetQueuedCompletionStatus función, la primera instrucción se ha reemplazado por una instrucción de salto.

0:038> u kernel32!GetQueuedCompletionStatus
kernel32!GetQueuedCompletionStatus
77e660f1 e90a9f00aa jmp 21e70000 ß This points to an address that does not appear in the loaded module list (lm). It is injected code.
77e660f6 83ec10 sub esp,10h

El ensamblado del código insertado muestra la actividad de desvío y una llamada al archivo MyDLL .

0:038> u 21e70000
21e70000 55 push ebp
21e70001 8bec mov ebp,esp
21e70003 51 push ecx
21e70004 8b4518 mov eax,dword ptr [ebp+18h]
21e70007 50 push eax
21e70008 8b4d14 mov ecx,dword ptr [ebp+14h]
21e7000b 51 push ecx
21e7000c 8b5510 mov edx,dword ptr [ebp+10h]
21e7000f 52 push edx
21e70010 8b450c mov eax,dword ptr [ebp+0Ch]
21e70013 50 push eax
21e70014 8b4d08 mov ecx,dword ptr [ebp+8]
21e70017 51 push ecx
21e70018 e8234d19ee call MyDLL+0x4d40 (10004d40) <- Call to the MyDLL file.
21e7001d 8945fc mov dword ptr [ebp-4],eax
21e70020 8b55fc mov edx,dword ptr [ebp-4]

Puede usar herramientas de depuración para Windows para determinar si se usan desvíos. Para hacerlo, siga estos pasos.

Nota:

Pruebe siempre este método antes de probarlo en producción. Al usar herramientas de depuración para Windows, el proceso puede inmovilizarse al ejecutar los comandos. Este comportamiento puede afectar negativamente a un servidor de producción.

  1. Adjunte herramientas de depuración para Windows a SQL Server o cargue un archivo de volcado de usuario completo.

  2. Emita el siguiente comando del depurador. Este comando inspecciona cada imagen en la imagen en disco para determinar si se han insertado desvíos.

    !for_each_module "!chkimg -v @#Base -d"
    
  3. Desasocie el depurador.

Si se modificó la imagen en memoria, la salida puede ser similar a la siguiente:

Comparison image path: c:\program files\microsoft sql server\mssql\binn\ssnetlib.dll\ssnetlib.dll
Scanning section: .text
Size: 56488  
Range to scan: 0c261000-0c26eca8  
0c263710-0c26371a 11 bytes - ssnetlib!ConnectionClose  
[ 8b ff 55 8b ec 83 ec 10:68 00 00 00 00 e9 27 8a ]  
0c2641e0-0c2641ea 11 bytes - ssnetlib!ConnectionReadAsync (+0xad0)  
[ 8b ff 55 8b ec 83 ec 38:68 00 00 00 00 e9 00 7e ]  
0c265160-0c26516a 11 bytes - ssnetlib!ConnectionWriteAsync (+0xf80)  
[ 8b ff 55 8b ec 83 ec 28:68 00 00 00 00 e9 ba 70 ]  
Total bytes compared: 56488(100%)  
Number of errors: 33  
33 errors : 0c260000 (0c263710-0c26516a)

Puede revisar el ensamblado para examinar más detenidamente el problema de la siguiente manera:

0:038> u ssnetlib!ConnectionClose
ssnetlib!ConnectionClose]:
0c263710 6800000000 push 0
0c263715 e9278ada03 jmp MyDLL!MyGetQueuedCompletionStatus <- A detour has been installed.

Los programas antivirus que realizan un seguimiento de los ataques por inyección de CÓDIGO SQL pueden desviar el código de SQL Server. En este escenario, la salida de la !for_each_module "!chkimg -v @#Base -d" extensión puede mostrar que las funciones yyparse de SQL Server y ex_raise2 se modifican:

Comparison image path: <symbol file path>\sqlservr.exeRange to scan: c81000-3de7d48 ed71a8-ed71ad 6 bytes - sqlservr!yyparse [ ff f5 41 54 41 55:e9 c7 95 5c 76 90 ]1202820-1202824 5 bytes - sqlservr!ex_raise2 (+0x32b678) [ ff f3 57 41 54:e9 20 e0 29 76 ] Total bytes compared: 51801416(17%)Number of errors: 11

Se recomienda ponerse en contacto con el proveedor de los desvíos o técnicas similares para obtener información detallada sobre cómo usa los desvíos en SQL Server. Para obtener más información sobre los desvíos y técnicas similares, vea Desvíos.