Comment afficher le trafic passant par un point de terminaison sortant d'Amazon Route 53 resolver ?

Dernière mise à jour : 08/12/2021

Je souhaite afficher le trafic passant par le point de terminaison sortant d'Amazon Route 53 resolver. Comment dois-je procéder ?

Brève description

Pour afficher le trafic passant par les points de terminaison du résolveur Route 53, configurez la mise en miroir du trafic Amazon Virtual Private Cloud (Amazon VPC).

Résolution

Configurer la connectivité réseau

  1. Vérifiez que le groupe de sécurité et la liste de contrôle d'accès réseau (ACL réseau) de l'instance EC2 cible autorisent le trafic entrant sur le port UDP 4789 à partir de l'interface réseau élastique du point de terminaison sortant.
  2. Vérifiez que l'instance EC2 cible est connectée au sous-réseau de l'interface réseau du point de terminaison sortant.
  3. Vérifiez que le sous-ensemble d'interface réseau du point de terminaison sortant est configuré pour le trafic sortant pour l'instance EC2 sur le port UPD 4789. La configuration du sous-ensemble inclut la liste ACL réseau, les groupes de sécurité et les tables de routage.

Configurer la mise en miroir du trafic Amazon VPC

1.    Créez une cible de miroir de trafic à l'aide de l'interface réseau de l'instance EC2 que vous utilisez comme cible.

2.    Créez un filtre de miroir pour identifier le trafic DNS depuis l'interface réseau du point de terminaison sortant vers la cible de miroir EC2.

Exemple de filtre de miroir pour Route 53

Remarque : les valeurs d'exemple de ce tableau sont les suivantes :

  • Le VPC A est associé à la règle de résolution Route 53 pour transférer les requêtes DNS de domaine*.test.com au réseau sur site
  • Le réseau sur site héberge le domaine*.test.com
Valeur Règle de trafic entrant Règle de trafic sortant
Numéro de règle Priorité des règles Priorité des règles
Action de règle Accepter Accepter
Protocole UDP et TCP UDP et TCP
Plage de ports source 53 1024-65535
Plage de ports de destination 1024-65535 53
Bloc d'adresse CIDR source CIDR sur site CIDR du VPC A
Bloc d'adresse CIDR de destination CIDR du VPC A CIDR sur site

3.    Créez une session miroir pour chaque interface réseau de point de terminaison sortant vers l'instance EC2 miroir. Utilisez les valeurs suivantes :    

        Miroir source : interface réseau du point de terminaison sortant
        Miroir cible : miroir de trafic que vous avez créé précédemment
        Numéro de session : 1
        Filtre: filtre miroir que vous avez créé précédemment

Afficher le trafic en miroir

Pour les systèmes d'exploitation Linux

1.    Affichez les journaux de trafic capturés en exécutant la commande suivante :

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

Pour filename (nom de fichier), utilisez le nom de fichier dans lequel vous souhaitez stocker les journaux de trafic capturés. Pour eth, utilisez le port Ethernet que vous souhaitez utiliser sur votre instance EC2. 2.    Transférez le fichier de l'instance EC2 vers votre ordinateur local en exécutant la commande suivante :

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

Pour la keypair (paire de clés), utilisez la paire de clés que vous avez utilisée pour vous connecter à l'instance. Pour filename (nom de fichier), utilisez le nom de fichier dans lequel vous souhaitez stocker les journaux de trafic capturés.

3.    Ouvrez le fichier de capture pour afficher les paquets DNS.

Pour les systèmes d'exploitation Windows

1.    Ouvrez l'outil Wireshark.

2.    Filtrez le trafic à l'aide de l'adresse IP du point de terminaison du résolveur sortant.

3.    Ouvrez le fichier de capture pour afficher les paquets DNS.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?