viernes, 25 de agosto de 2017

Examinar tráfico de red SQL


Si se quiere examinar qué actividad está generando un equipo cliente contra un servidor de base de datos, se puede:
  1. Activar el logging en la base de datos. Esta opción es válida si disponemos de acceso a la configuración de la base de datos y es viable realizar cambios.
  2. Activar un sniffer en el equipo cliente con tal de obtener el tráfico de red SQL que genera. Es viable siempre que tengamos fácil acceso al equipo y se pueda instalar software en él.
  3. Activar un sniffer en el servidor de base de datos para ver el tráfico SQL que un cliente está generando. Esta opción será la que se abordará en este post.

Para ello se usará tcpdump, que viene de serie en casi cualquier distribución Linux. Conociendo la IP del equipo cliente, ejecutaremos el siguiente comando:
tcpdump -vvv -n -A -p -s 65535 host 192.168.1.12 | grep -i -E "INSERT|UPDATE|SELECT"
De esta forma se podrá detectar consultas anómalas, excesos contra la BD, etc.