Come posso visualizzare il traffico che passa attraverso un endpoint in uscita di Amazon Route 53 Resolver?

Ultimo aggiornamento: 08/12/2021

Voglio visualizzare il traffico che passa attraverso l'endpoint in uscita di Amazon Route 53 Resolver. In che modo posso farlo?

Breve descrizione

Per visualizzare il traffico che passa attraverso gli endpoint di Route 53 Resolver, configura la funzionalità di mirroring del traffico di Amazon Virtual Private Cloud (Amazon VPC).

Risoluzione

Configurazione della connettività di rete

  1. Verifica che il gruppo di sicurezza dell'istanza EC2 di destinazione e la lista di controllo degli accessi di rete consentano il traffico in ingresso sulla porta UDP 4789 dall'interfaccia di rete elastica dell'endpoint in uscita.
  2. Verifica che l'istanza EC2 di destinazione sia connessa alla sottorete dell'interfaccia di rete dell'endpoint in uscita.
  3. Verifica che il sottogruppo dell'interfaccia di rete degli endpoint in uscita sia configurato per il traffico in uscita per l'istanza EC2 sulla porta UPD 4789. La configurazione del sottogruppo include la lista di controllo degli accessi di rete, gruppi di sicurezza e tabelle di routing.

Configurazione della funzionalità di mirroring del traffico di Amazon VPC

1.    Crea una destinazione mirror del traffico utilizzando l'interfaccia di rete dell'istanza EC2 che stai utilizzando come destinazione.

2.    Crea un filtro mirror per identificare il traffico DNS dall'interfaccia di rete dell'endpoint in uscita alla destinazione mirroring EC2.

Filtro mirror di esempio per Route 53

Nota: i valori esemplificativi in questa tabella rappresentano quanto segue:

  • Il VPC A è associato alla regola di risoluzione di Route 53 per inoltrare le query DNS del dominio*.test.com alla rete on-premise
  • La rete on-premise ospita il dominio *.test.com
Valore Regola in entrata Regola in uscita
Numero di regola Priorità regola Priorità regola
Operazione di regola Accetta Accetta
Protocollo UDP e TCP UDP e TCP
Intervallo di porte di origine 53 1024-65535
Intervallo di porte di destinazione 1024-65535 53
Blocco CIDR di origine CIDR on-premise CIDR VPC A
Blocco CIDR di destinazione CIDR VPC A CIDR on-premise

3.    Crea una sessione mirror per ogni interfaccia di rete dell'endpoint in uscita verso l'istanza EC2 mirror. Usa i seguenti valori:
       Origine mirror: interfaccia di rete endpoint in uscita
       
Destinazione mirror: mirror del traffico creato in precedenza
      
Numero di sessione: 1
      
Filtro: filtro mirror creato in precedenza

Visualizza il traffico sottoposto a mirroring

Per i sistemi operativi Linux

1.    Visualizza i registri del traffico acquisiti eseguendo il seguente comando:

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

Per filename, utilizza il nome del file in cui desideri archiviare i registri del traffico acquisiti. Per eth, usa la porta Ethernet che desideri utilizzare sulla tua istanza EC2. 

2.    Trasferisci il file dall'istanza EC2 al computer locale eseguendo il comando seguente:

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

Per keypair, usa la coppia di chiavi che hai usato per accedere all'istanza. Per filename, utilizza il nome del file in cui desideri archiviare i registri del traffico acquisiti.

3.    Apri il file di acquisizione per visualizzare i pacchetti DNS.

Per sistemi operativi Windows

1.    Apri lo strumento Wireshark.

2.    Filtra il traffico utilizzando l'indirizzo IP dell'endpoint del resolver in uscita.

3.    Apri il file di acquisizione per visualizzare i pacchetti DNS.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?