¿Cómo puedo ver el tráfico que pasa por el punto de enlace de salida de Amazon Route 53 Resolver?

Última actualización: 08-12-2021

Quiero ver el tráfico que pasa por el punto de enlace de salida de Amazon Route 53 Resolver. ¿Cómo puedo hacerlo?

Descripción corta

Para ver el tráfico que pasa por los puntos de enlace de Route 53 Resolver, configure la replicación de tráfico de Amazon Virtual Private Cloud (Amazon VPC).

Resolución

Configuración de la conectividad de la red

  1. Confirme que el grupo de seguridad de la instancia EC2 de destino y la lista de control de acceso a la red (ACL de red) permiten el tráfico entrante en el puerto UDP 4789 desde la interfaz de red elástica del punto de enlace de salida.
  2. Confirme que la instancia EC2 de destino tiene conectividad con la subred de la interfaz de red del punto de enlace de salida.
  3. Confirme que el subconjunto de interfaz de red de punto de enlace de salida está configurado para el tráfico saliente para la instancia EC2 en el puerto UPD 4789. La configuración del subconjunto incluye ACL de red, grupos de seguridad y tablas de enrutamiento.

Configuarción de la replicación de tráfico de Amazon VPC

1.    Cree un destino de réplica de tráfico mediante la interfaz de red de la instancia EC2 que está utilizando como destino.

2.    Cree un filtro de réplica para identificar el tráfico de DNS desde la interfaz de red del punto de enlace de salida hasta el destino de réplica de EC2.

Ejemplo de filtro de réplica para Route 53

Nota: Los valores de ejemplo de esta tabla representan lo siguiente:

  • La VPC A está asociada con la regla de resolución de Route 53 para reenviar las consultas DNS del dominio*.test.com a la red local
  • La red aloja el dominio *.test.com en las instalaciones
Valor Regla de entrada Regla de salida
Número de regla Prioridad regla Prioridad regla
Acción de regla Acepte Acepte
Protocolo UDP y TCP UDP y TCP
Rango de puertos de origen 53 1024-65535
Rango de puertos de destino 1024-65535 53
Bloque de CIDR de origen CIDR en las instalaciones VPC A CIDR
Bloque de CIDR de destino VPC A CIDR CIDR en las instalaciones

3.    Cree una sesión de réplica para cada interfaz de red de punto de enlace de salida a la instancia EC2 de réplica. Utilice los siguientes valores:    

        Mirror source: (Origen de la réplica) interfaz de red del punto de conexión de salida
        Mirror target (Destino de la réplica): réplica del tráfico que creó previamente
        Session number (Número de sesión): 1
        Filter (Filtro): filtro de réplica que creó previamente

Ver el tráfico replicada

Para sistemas operativos Linux

1.    Vea los registros de tráfico capturados ejecutando el siguiente comando:

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

Para filename, utilice el filename (nombre de archivo) donde desea almacenar los registros de tráfico capturados. Para eth, utilice el puerto ethernet que desee utilizar en la instancia EC2. 2.    Transfiera el archivo desde la instancia EC2 al ordenador local ejecutando el siguiente comando:

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

Para keypair, utilice el keypair (par de claves) que utilizó para iniciar sesión en la instancia. Para filename, utilice el filename (nombre de archivo) donde desea almacenar los registros de tráfico capturados.

3.    Abra el archivo de captura para ver los paquetes DNS.

Para sistemas operativos Windows

1.    Abra la herramienta Wireshark.

2.    Filtre el tráfico utilizando la dirección IP del punto de enlace de resolución de salida.

3.    Abra el archivo de captura para ver los paquetes DNS.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?