数据库短时间内查询增多有可能遭遇到了扫描或者sql注入测试,可以结合流量分析工具进行研判。
select和 union为数据库查询语句特征,当这两者数量出现次数较多而且差异较小可能存在SQL注入漏洞或正在被扫描器扫描,可监控这两个关键字,但还需要进一步查看具体请求参数。如:
1) 使用wireshark打开抓取后的流量包
2) 对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较大的IP
3) 尝试定位一些基本的注入特征(select、union、()、/*、sleep 等)
4)筛选出可以攻击IP,分析流量包HTTP流。即可定位