Come posso visualizzare il traffico che passa attraverso un endpoint in uscita di Amazon Route 53 Resolver?
Voglio visualizzare il traffico che passa attraverso l'endpoint in uscita di Amazon Route 53 Resolver. In che modo posso farlo?
Breve descrizione
Per visualizzare il traffico che passa attraverso gli endpoint di Route 53 Resolver, configura la funzionalità di mirroring del traffico di Amazon Virtual Private Cloud (Amazon VPC).
Risoluzione
Configurazione della connettività di rete
- Verifica che il gruppo di sicurezza dell'istanza EC2 di destinazione e la lista di controllo degli accessi di rete consentano il traffico in ingresso sulla porta UDP 4789 dall'interfaccia di rete elastica dell'endpoint in uscita.
- Verifica che l'istanza EC2 di destinazione sia connessa alla sottorete dell'interfaccia di rete dell'endpoint in uscita.
- Verifica che il sottogruppo dell'interfaccia di rete degli endpoint in uscita sia configurato per il traffico in uscita per l'istanza EC2 sulla porta UPD 4789. La configurazione del sottogruppo include la lista di controllo degli accessi di rete, gruppi di sicurezza e tabelle di routing.
Configurazione della funzionalità di mirroring del traffico di Amazon VPC
1. Crea una destinazione mirror del traffico utilizzando l'interfaccia di rete dell'istanza EC2 che stai utilizzando come destinazione.
2. Crea un filtro mirror per identificare il traffico DNS dall'interfaccia di rete dell'endpoint in uscita alla destinazione mirroring EC2.
Filtro mirror di esempio per Route 53
Nota: i valori esemplificativi in questa tabella rappresentano quanto segue:
- Il VPC A è associato alla regola di risoluzione di Route 53 per inoltrare le query DNS del dominio*.test.com alla rete on-premise
- La rete on-premise ospita il dominio *.test.com
| Valore | Regola in entrata | Regola in uscita |
| Numero di regola | Priorità regola | Priorità regola |
| Operazione di regola | Accetta | Accetta |
| Protocollo | UDP e TCP | UDP e TCP |
| Intervallo di porte di origine | 53 | 1024-65535 |
| Intervallo di porte di destinazione | 1024-65535 | 53 |
| Blocco CIDR di origine | CIDR on-premise | CIDR VPC A |
| Blocco CIDR di destinazione | CIDR VPC A | CIDR on-premise |
3. Crea una sessione mirror per ogni interfaccia di rete dell'endpoint in uscita verso l'istanza EC2 mirror. Usa i seguenti valori:
Fonte mirror: interfaccia di rete endpoint in uscita
Destinazione mirror: mirror del traffico creato in precedenza
Numero di sessione: 1
Filtro: filtro mirror creato in precedenza
Visualizza il traffico sottoposto a mirroring
Per i sistemi operativi Linux
1. Visualizza i registri del traffico acquisiti eseguendo il seguente comando:
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
Per filename, utilizza il nome del file in cui desideri archiviare i registri del traffico acquisiti. Per eth, usa la porta Ethernet che desideri utilizzare sulla tua istanza EC2. 2. Trasferisci il file dall'istanza EC2 al computer locale eseguendo il comando seguente:
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
Per keypair, usa la coppia di chiavi che hai usato per accedere all'istanza. Per filename, utilizza il nome del file in cui desideri archiviare i registri del traffico acquisiti.
3. Apri il file di acquisizione per visualizzare i pacchetti DNS.
Per sistemi operativi Windows
1. Apri lo strumento Wireshark.
2. Filtra il traffico utilizzando l'indirizzo IP dell'endpoint del resolver in uscita.
3. Apri il file di acquisizione per visualizzare i pacchetti DNS.
Informazioni correlate
Risoluzione delle query del sistema dei nomi di dominio (DNS) tra i VPC e la rete
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa