Wie kann ich Datenverkehr einsehen, der über einen ausgehenden Amazon Route 53 Resolver-Endpunkt fließt?

Lesedauer: 3 Minute
0

Ich möchte den Datenverkehr einsehen, der durch den ausgehenden Amazon Route 53 Resolver-Endpunkt fließt. Wie kann ich das machen?

Kurzbeschreibung

Konfigurieren Sie das Amazon Virtual Private Cloud (Amazon VPC) Traffic Mirroring, um den Datenverkehr, der über Route 53-Resolver-Endpunkte fließt, einzusehen.

Lösung

Netzwerk-Konnektivität konfigurieren

  1. Bestätigen Sie, dass die Sicherheitsgruppe der Ziel-EC2-Instance und die Netzwerkzugriffskontrollliste (Netzwerk-ACL) eingehenden Datenverkehr über den UDP-Port 4789 von der Elastic Network Schnittstelle des ausgehenden Endpunkts zulassen.
  2. Stellen Sie sicher, dass die Ziel-EC2-Instance mit dem Netzwerkschnittstellensubnetz des ausgehenden Endpunkts verbunden ist.
  3. Vergewissern Sie sich, dass das Netzwerkschnittstellen-Subset der ausgehenden Endpunkte für ausgehenden Datenverkehr der EC2-Instance auf dem UPD-Port 4789 konfiguriert ist. Die Subsetkonfiguration umfasst Netzwerk-ACL, Sicherheitsgruppen und Routingtabellen.

Amazon VPC Traffic Mirroring einrichten

1.    Erstellen Sie mithilfe der Netzwerkschnittstelle der EC2-Instance, die Sie als Ziel verwenden, ein Traffic Mirror Target.

2.    Erstellen Sie einen Mirror-Filter, um den DNS-Datenverkehr von der ausgehenden Endpunkt-Netzwerkschnittstelle zum EC2-Mirror-Ziel zu identifizieren.

Beispiel-Mirror-Filter für Route 53

Hinweis: Die Beispielwerte in dieser Tabelle stellen Folgendes dar:

  • VPC A ist mit der Route 53-Auflösungsregel verknüpft, um *.test.com-Domänen-DNS-Abfragen an ein lokales Netzwerk weiterzuleiten
  • Das Netzwerk vor Ort hostet Domain*.test.com
WertInbound-RegelOutbound-Regel
RegelnummerPriorität der RegelPriorität der Regel
RegelvorgangAkzeptierenAkzeptieren
ProtokollUDP und TCPUDP und TCP
Port-Bandbreite der Quelle531024-65535
Port-Bandbreite des Zielpunkts1024-6553553
Quell-CIDR-BlockLokaler CIDRVPC A CIDR
CIDR-Block am ZielpunktVPC A CIDRLokaler CIDR

3.    Erstellen Sie eine Mirror-Sitzung für jede zur Mirror-EC2-Instance ausgehende Endpunkt-Netzwerkschnittstelle. Verwenden Sie die folgenden Werte:    

        Mirror-Quelle: Netzwerkschnittstelle für ausgehende Endpunkte
Mirror-Ziel: Traffic Mirror, den Sie zuvor erstellt haben
Vortragsnummer: 1
Filter: Mirror-Filter, den Sie zuvor erstellt haben

Mirror Traffic einsehen

Für Linux-Betriebssysteme

1.    Sie können die aufgezeichneten Traffic Protokolle einsehen, indem Sie den folgenden Befehl ausführen:

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

Verwenden Sie für den Dateinamen den Dateinamen, unter dem Sie die erfassten Traffic-Protokolle speichern möchten. Verwenden Sie für ETH den Ethernet-Port, den Sie auf Ihrer EC2-Instance verwenden möchten. 2.    Übertragen Sie die Datei von der EC2-Instance auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

Verwenden Sie für das Schlüsselpaar jenes, mit dem Sie sich bei der Instance angemeldet haben. Verwenden Sie für denDateinamen den Dateinamen, unter dem Sie die erfassten Traffic-Protokolle speichern möchten.

3.    Öffnen Sie die Erfassungsdatei, um die DNS-Pakete einzusehen.

Für Windows-Betriebssysteme

1.    Öffnen Sie das Wireshark-Tool.

2.    Filtern Sie den Datenverkehr mithilfe der IP-Adresse des Endpunkts für ausgehende Resolver.

3.    Öffnen Sie die Erfassungsdatei, um die DNS-Pakete einzusehen.


Verwandte Informationen

Lösungen für Domain Name System (DNS)-Abfragen zwischen VPCs und Ihrem Netzwerk