Amazon Route 53 Resolver のアウトバウンドエンドポイントを通過するトラフィックは、どのように表示すればよいですか?

最終更新日: 2021 年 12 月 8 日

Amazon Route 53 Resolver のアウトバウンドエンドポイントを通過するトラフィックを表示したいと考えています。これを行うにはどうすればよいですか?

簡単な説明

Route 53 リゾルバーエンドポイントを通過するトラフィックを表示するには、 Amazon Virtual Private Cloud (Amazon VPC) トラフィックミラーリングを設定します

解決方法

ネットワーク接続の設定

  1. ターゲット EC2 インスタンスのセキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) が、UDP ポート 4789 でアウトバウンドエンドポイント Elastic Network Interface からの着信トラフィックを許可していることを確認します。
  2. ターゲット EC2 インスタンスがアウトバウンドエンドポイントのネットワークインターフェイスサブネットに接続していることを確認します。
  3. アウトバウンドエンドポイントネットワークインターフェイスサブセットが、UPD ポート 4789 の EC2 インスタンスの発信トラフィック用に設定されていることを確認します。サブセット設定には、ネットワーク ACL、セキュリティグループ、ルーティングテーブルが含まれます。

Amazon VPC トラフィックミラーリングのセットアップ

1.    使用している EC2 インスタンスのネットワークインターフェイスをターゲットとして使用して、トラフィックミラーターゲットを作成します

2.    ミラーフィルターを作成して、アウトバウンドエンドポイントネットワークインターフェイスから EC2 ミラーターゲットへの DNS トラフィックを識別します。

Route 53 のミラーフィルターの例

: この表の値の例は、次の内容を表しています。

  • VPC A は、*.test.com ドメイン DNS クエリをオンプレミスネットワークに転送する Route 53 解決ルールに関連付けられています
  • オンプレミスネットワークはドメイン *.test.com をホストしています
インバウンドルール アウトバウンドルール
ルール番号 ルール優先度 ルール優先度
ルールアクション 承諾 承諾
プロトコル UDP と TCP UDP と TCP
送信元ポート範囲 53 1024-65535
送信先ポート範囲 1024-65535 53
ソース CIDR ブロック オンプレミス CIDR VPC A CIDR
送信先 CIDR ブロック VPC A CIDR オンプレミス CIDR

3.    ミラー EC2 インスタンスへのアウトバウンドエンドポイントネットワークインターフェイスごとに、ミラーセッションを作成します。次の値を使用します。    

        ミラーソース: アウトバウンドエンドポイントネットワークインターフェイス
        ミラーターゲット: 以前に作成したトラフィックミラー
        セッション番号: 1
        フィルター: 以前に作成したミラーフィルター

ミラートラフィックを表示する

Linux オペレーティングシステムの場合

1.    次のコマンドを実行して、キャプチャされたトラフィックログを表示します。

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。eth には、EC2 インスタンスで使用するイーサネットポートを使用します。2.    次のコマンドを実行して、EC2 インスタンスからローカルコンピュータにファイルを転送します。

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

keypair には、インスタンスにログインするために使用したキーペアを使用します。filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。

3.    キャプチャファイルを開いて DNS パケットを表示します。

Windows オペレーティングシステムの場合

1.    Wireshark ツールを開きます。

2.    アウトバウンドリゾルバーエンドポイントの IP アドレスを使用してトラフィックをフィルタリングします。

3.    キャプチャファイルを開いて DNS パケットを表示します。


この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?