Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Wie kann ich Datenverkehr einsehen, der über einen ausgehenden Amazon Route 53 Resolver-Endpunkt fließt?
Ich möchte den Datenverkehr einsehen, der durch den ausgehenden Amazon Route 53 Resolver-Endpunkt fließt. Wie kann ich das machen?
Kurzbeschreibung
Konfigurieren Sie das Amazon Virtual Private Cloud (Amazon VPC) Traffic Mirroring, um den Datenverkehr, der über Route 53-Resolver-Endpunkte fließt, einzusehen.
Lösung
Netzwerk-Konnektivität konfigurieren
- Bestätigen Sie, dass die Sicherheitsgruppe der Ziel-EC2-Instance und die Netzwerkzugriffskontrollliste (Netzwerk-ACL) eingehenden Datenverkehr über den UDP-Port 4789 von der Elastic Network Schnittstelle des ausgehenden Endpunkts zulassen.
- Stellen Sie sicher, dass die Ziel-EC2-Instance mit dem Netzwerkschnittstellensubnetz des ausgehenden Endpunkts verbunden ist.
- Vergewissern Sie sich, dass das Netzwerkschnittstellen-Subset der ausgehenden Endpunkte für ausgehenden Datenverkehr der EC2-Instance auf dem UPD-Port 4789 konfiguriert ist. Die Subsetkonfiguration umfasst Netzwerk-ACL, Sicherheitsgruppen und Routingtabellen.
Amazon VPC Traffic Mirroring einrichten
2. Erstellen Sie einen Mirror-Filter, um den DNS-Datenverkehr von der ausgehenden Endpunkt-Netzwerkschnittstelle zum EC2-Mirror-Ziel zu identifizieren.
Beispiel-Mirror-Filter für Route 53
Hinweis: Die Beispielwerte in dieser Tabelle stellen Folgendes dar:
- VPC A ist mit der Route 53-Auflösungsregel verknüpft, um *.test.com-Domänen-DNS-Abfragen an ein lokales Netzwerk weiterzuleiten
- Das Netzwerk vor Ort hostet Domain*.test.com
| Wert | Inbound-Regel | Outbound-Regel |
| Regelnummer | Priorität der Regel | Priorität der Regel |
| Regelvorgang | Akzeptieren | Akzeptieren |
| Protokoll | UDP und TCP | UDP und TCP |
| Port-Bandbreite der Quelle | 53 | 1024-65535 |
| Port-Bandbreite des Zielpunkts | 1024-65535 | 53 |
| Quell-CIDR-Block | Lokaler CIDR | VPC A CIDR |
| CIDR-Block am Zielpunkt | VPC A CIDR | Lokaler CIDR |
3. Erstellen Sie eine Mirror-Sitzung für jede zur Mirror-EC2-Instance ausgehende Endpunkt-Netzwerkschnittstelle. Verwenden Sie die folgenden Werte:
Mirror-Quelle: Netzwerkschnittstelle für ausgehende Endpunkte
Mirror-Ziel: Traffic Mirror, den Sie zuvor erstellt haben
Vortragsnummer: 1
Filter: Mirror-Filter, den Sie zuvor erstellt haben
Mirror Traffic einsehen
Für Linux-Betriebssysteme
1. Sie können die aufgezeichneten Traffic Protokolle einsehen, indem Sie den folgenden Befehl ausführen:
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
Verwenden Sie für den Dateinamen den Dateinamen, unter dem Sie die erfassten Traffic-Protokolle speichern möchten. Verwenden Sie für ETH den Ethernet-Port, den Sie auf Ihrer EC2-Instance verwenden möchten. 2. Übertragen Sie die Datei von der EC2-Instance auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
Verwenden Sie für das Schlüsselpaar jenes, mit dem Sie sich bei der Instance angemeldet haben. Verwenden Sie für denDateinamen den Dateinamen, unter dem Sie die erfassten Traffic-Protokolle speichern möchten.
3. Öffnen Sie die Erfassungsdatei, um die DNS-Pakete einzusehen.
Für Windows-Betriebssysteme
1. Öffnen Sie das Wireshark-Tool.
2. Filtern Sie den Datenverkehr mithilfe der IP-Adresse des Endpunkts für ausgehende Resolver.
3. Öffnen Sie die Erfassungsdatei, um die DNS-Pakete einzusehen.
Verwandte Informationen
Lösungen für Domain Name System (DNS)-Abfragen zwischen VPCs und Ihrem Netzwerk
- Tags
- Amazon Route 53
- Sprache
- Deutsch
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 4 Monaten