...
netstat -planet |grep ESTAB | grep 3306 | wc -l

Смотришь коннекты.
Потом смотришь запросики в бд
Потом втыкаешь в фаервол и блочишь все, кроме нужного порта.
Смотришь логи - там так или иначе будет видно что да как.
Ну и это- блочишь коннекты к бд с определенного хоста. все.
Если хочется поиграться с файрволом- fail2ban- покури в эту сторону.
Рост нагрузки не всегда связан с ддос, мб диски деградировали, или где то что то недопилино.. ну и это- место проверь)