结论与定位
可以做到,但取决于Ubuntu上使用的嗅探工具能否解析到应用层负载。通用嗅探器(如tcpdump、Wireshark)在开启HTTP/TLS解密或抓取明文数据库流量时,能通过观察UNION SELECT、OR 1=1、’ OR ‘1’=‘1’ –等特征字符串来发现疑似SQL注入尝试;若流量被HTTPS/TLS加密或应用使用参数化/预编译,则难以直接从抓包中判断。面向数据库的专用嗅探器(如MySQL Sniffer)可直接打印执行的SQL语句,便于识别注入特征。
可行方案与示例
- 抓取明文 HTTP 流量并检索注入特征
- 捕获:sudo tcpdump -i eth0 -A -s 0 ‘tcp port 80’ -w http.pcap
- 检索:strings http.pcap | egrep -i “union\s+select|or\s+1\s*=\s*1|'|--”
- 说明:仅对未加密的HTTP有效;HTTPS需配置服务器解密或改用数据库层抓包。
- 抓取并解析 MySQL 明文流量
- 专用嗅探器(推荐):sudo mysql-sniffer -i eth0 -p 3306
- 输出示例:时间、来源IP、库、耗时、返回行数、SQL语句;可直接看到可疑查询。
- 替代方案:tshark -i eth0 -Y ‘mysql.query’ -T fields -e mysql.query -e ip.src -e mysql.user -e mysql.db
- 说明:需具备对MySQL端口的访问与抓包权限;对TLS加密的 MySQL 不生效。
- 图形化分析
- 用Wireshark打开 pcap,HTTP 可用显示过滤器:http contains “union select” or http contains “or 1=1”
- 数据库层可用 mysql.query 过滤,结合“统计→会话/端点”定位高频来源。
局限与误报
- 加密流量不可见:未解密的HTTPS/TLS或加密数据库连接(如启用 SSL 的 MySQL)中,嗅探器无法看到SQL明文,难以直接判定注入。
- 误报与漏报:正常业务也可能包含类似字符串(如报表查询、测试数据);攻击者可用编码、注释、分段等手段规避特征匹配。
- 本地/回环场景限制:部分数据库嗅探器对localhost/Unix socket流量捕获效果有限,更适合监听服务器与客户端之间的网络流量。
- 性能与合规:长时间抓包占用CPU/磁盘,且抓包可能包含敏感信息,需授权并妥善保护数据。
更稳妥的检测与防护建议
- 在主机与应用侧启用日志与审计:开启MySQL general log/慢查询日志、应用SQL 审计或WAF/IDS规则,结合告警联动阻断。
- 分层防御:使用参数化查询/预编译、输入校验与最小权限;对管理口与数据库访问实施网络隔离与访问控制。
- 取证与响应:保留可疑pcap与数据库日志,复现与封堵来源IP,修补漏洞并更新规则库。
