我想查看通过 Amazon Route 53 Resolver 出站端点的流量。该如何操作?
简短描述
要通过 Amazon Route 53 Resolver 出站端点的流量,请配置
Amazon Virtual Private Cloud (Amazon VPC) 流量镜像。
解决方法
配置网络连接
- 确认目标 EC2 实例的安全组和网络访问控制列表(网络 ACL)在 UDP 端口 4789 上允许来自出站端点弹性网络接口的传入流量。
- 确认目标 EC2 实例已连接到出站端点的网络接口子网。
- 确认已为 UPD 端口 4789 上的 EC2 实例出站流量配置了出站端点网络接口子集。子集配置包括网络 ACL、安全组和路由表。
设置 Amazon VPC 流量镜像
1. 使用您用作目标的 EC2 实例的网络接口创建流量镜像目标。
2. 创建镜像筛选条件以识别从出站端点网络接口到 EC2 镜像目标的 DNS 流量。
Route 53 的镜像筛选条件示例
注意:此表中的示例值传递了以下信息:
- VPC A 与 Route 53 解析规则关联,用于将 *.test.com 域 DNS 查询转发到本地部署网络
- 本地部署网络托管域 *.test.com
| | |
---|
值 | 入站规则 | 出站规则 |
规则编号 | 规则优先级 | 规则优先级 |
规则操作 | 接受 | 接受 |
协议 | UDP 和 TCP | UDP 和 TCP |
源端口范围 | 53 | 1024-65535 |
目标端口范围 | 1024-65535 | 53 |
源 CIDR 块 | 本地部署 CIDR | VPC A CIDR |
目标 CIDR 块 | VPC A CIDR | 本地部署 CIDR |
3. 为镜像 EC2 实例的每个出站端点网络接口创建镜像会话。使用以下值:
**镜像源:**出站端点网络接口
镜像目标:之前创建的流量镜像
会话编号:1
筛选条件:之前创建的镜像筛选条件
查看镜像流量
对于 Linux 操作系统
1. 通过运行以下命令来查看捕获的流量日志:
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
对于 filename,请输入保存捕获的流量日志时想使用的文件名。对于 eth,请输入想在 EC2 实例上使用的以太网端口。2. 通过运行以下命令将文件从 EC2 实例传输到本地计算机:
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
对于 keypair,请输入您用于登录实例的密钥对。对于 filename,请输入保存捕获的流量日志时想使用的文件名。
3. 打开捕获文件以查看 DNS 数据包。
对于 Windows 操作系统
1. 打开 Wireshark 工具。
2. 使用出站解析程序端点的 IP 地址筛选流量。
3. 打开捕获文件以查看 DNS 数据包。
相关信息
解决 VPC 与您的网络之间的域名系统(DNS)查询