Amazon Route 53 Resolver 아웃바운드 엔드포인트를 통과하는 트래픽을 보려면 어떻게 해야 합니까?
Amazon Route 53 Resolver 아웃바운드 엔드포인트를 통과하는 트래픽을 보고 싶습니다. 어떻게 해야 합니까?
간략한 설명
Route 53 Resolver 엔드포인트를 통과하는 트래픽을 보려면 Amazon Virtual Private Cloud(Amazon VPC) 트래픽 미러링을 구성하세요.
해결 방법
네트워크 연결 구성
- 대상 EC2 인스턴스의 보안 그룹 및 네트워크 액세스 제어 목록(네트워크 ACL)이 아웃바운드 엔드포인트 탄력적 네트워크 인터페이스의 UDP 포트 4789에서 들어오는 트래픽을 허용하는지 확인합니다.
- 대상 EC2 인스턴스가 아웃바운드 엔드포인트의 네트워크 인터페이스 서브넷에 연결되어 있는지 확인합니다.
- 아웃바운드 엔드포인트 네트워크 인터페이스 하위 집합이 UPD 포트 4789의 EC2 인스턴스에 대한 발신 트래픽에 대해 구성되어 있는지 확인합니다. 하위 집합 구성에는 네트워크 ACL, 보안 그룹 및 라우팅 테이블이 포함됩니다.
Amazon VPC 트래픽 미러링 설정
1. 대상으로 사용 중인 EC2 인스턴스의 네트워크 인터페이스를 사용하여 트래픽 미러 대상을 생성합니다.
2. 미러 필터를 생성하여 아웃바운드 엔드포인트 네트워크 인터페이스에서 EC2 미러 대상으로의 DNS 트래픽을 식별합니다.
Route 53용 미러 필터 예시
참고: 이 표의 예시 값은 다음을 나타냅니다.
- VPC A는 Route 53 해결 규칙과 연결되어 *.test.com 도메인 DNS 쿼리를 온프레미스 네트워크로 전달합니다.
- 온프레미스 네트워크에서 도메인 *.test.com을 호스팅하고 있습니다.
| 값 | 인바운드 규칙 | 아웃바운드 규칙 |
| 규칙 번호 | 규칙 우선 순위 | 규칙 우선 순위 |
| 규칙 작업 | 수락 | 수락 |
| 프로토콜 | UDP 및 TCP | UDP 및 TCP |
| 소스 포트 범위 | 53 | 1024-65535 |
| 대상 포트 범위 | 1024-65535 | 53 |
| 소스 CIDR 블록 | 온프레미스 CIDR | VPC A CIDR |
| 대상 CIDR 블록 | VPC A CIDR | 온프레미스 CIDR |
3. 미러 EC2 인스턴스에 대한 각 아웃바운드 엔드포인트 네트워크 인터페이스에 대해 미러 세션을 생성합니다. 다음 값을 사용합니다.
미러 소스: 아웃바운드 엔드포인트 네트워크 인터페이스
미러 대상: 이전에 생성한 트래픽 미러
세션 번호: 1
필터: 이전에 생성한 미러 필터
미러링된 트래픽 보기
Linux 운영 체제의 경우
1. 다음 명령을 실행하여 캡처된 트래픽 로그를 확인합니다.
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
filename의 경우 캡처된 트래픽 로그를 저장할 파일 이름을 사용합니다. eth의 경우 EC2 인스턴스에서 사용하려는 이더넷 포트를 사용합니다. 2. 다음 명령을 실행하여 EC2 인스턴스에서 로컬 컴퓨터로 파일을 전송합니다.
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
keypair의 경우 인스턴스에 로그인할 때 사용한 키페어를 사용합니다. filename의 경우 캡처된 트래픽 로그를 저장할 파일 이름을 사용합니다.
3. 캡처 파일을 열어 DNS 패킷을 확인합니다.
윈도우 운영 체제의 경우
1. Wireshark 도구를 엽니다.
2. 아웃바운드 확인자 엔드포인트의 IP 주소를 사용하여 트래픽을 필터링합니다.
3. 캡처 파일을 열어 DNS 패킷을 확인합니다.
관련 정보
관련 콘텐츠
AWS 공식업데이트됨 일 년 전- AWS 공식업데이트됨 6달 전
