这个 SQL 语句使用了正则表达式和 regexp_replace 函数来对 client_ip 进行处理,并统计处理后的 IP 地址出现的次数。具体解释如下:
SQL 语句结构
select regexp_replace(client_ip, '^((\d+?\.){3})\d+$', '$10/24') as ips, count(1) as num
from table_name
where http_code = 403
group by ips
having num > 8000
order by num desc
limit 10000;
• regexp_replace(client_ip, '^((\d+?\.){3})\d+$', '$10/24'):
• 这个函数使用正则表达式将 IP 地址的最后一部分替换为 /24 网络段。
• '^((\d+?\.){3})\d+$':
• ^: 表示从字符串的开头开始匹配。
• (\d+?\.){3}: 匹配 IP 地址前三段的数字和点。\d+? 表示匹配一个或多个数字,\. 表示匹配点符号,这个部分匹配三次。
• \d+: 匹配 IP 地址的最后一段数字。
• $: 表示匹配字符串结尾。
• '$10/24':
• $1: 表示匹配到的前三段 IP 地址,例如 192.168.0.。
• 0/24: 将 IP 的最后一段数字替换为 0/24,代表对应的网络段。
• 整个操作会将 IP 地址 192.168.1.15 转换为 192.168.1.0/24。
• count(1) as num: 统计相同处理后 IP 出现的次数。
• from table_name: 假设的表名是 table_name,从该表中查询数据。
• where http_code = 403: 只选择 HTTP 响应码为 403 的记录(即禁止访问的请求)。
• group by ips: 根据处理后的 ips 进行分组,以统计每个网络段的请求次数。
• having num > 8000: 过滤出请求次数超过 8000 次的网络段。
• order by num desc: 按照请求次数从多到少排序。
• limit 10000: 最多返回 10000 条记录。
详细解释
• 这个 SQL 查询的目标是识别出请求频繁出现 HTTP 403 禁止访问 的 IP 段。
• 通过 regexp_replace 函数,将 client_ip 的最后一段数字替换成 0/24,将同一网络段的 IP 归为同一类。
• 然后,使用 count(1) 统计每个 /24 子网的请求次数。
• 最后,通过 having num > 8000 过滤出请求次数超过 8000 次的 IP 段,并按次数降序排列,返回最多 10000 个结果。
正则表达式解释
• '^((\d+?\.){3})\d+$':
• ^: 匹配字符串的开头。
• (\d+?\.){3}: 匹配 IP 地址前三段的形式,例如 192.168.0.,\d+? 表示匹配一个或多个数字,\. 表示匹配点符号。{3} 表示前三段匹配三次。
• \d+: 匹配最后一段的数字。
• $: 表示匹配字符串的结尾。
• '$10/24':
• $1: 引用正则表达式中的捕获组 ((\d+?\.){3}),也就是前三段的 IP 地址部分。
• 0/24: 将最后一段替换为 0/24,表示网络段。
总结
这段 SQL 代码的作用是找到出现 HTTP 403 错误并且请求次数特别多的 IP 网络段(按 /24 子网计算),这可能用于分析可能的恶意流量或访问控制的异常行为。