Je souhaite afficher le trafic passant par le point de terminaison sortant d'Amazon Route 53 resolver. Comment dois-je procéder ?
Brève description
Pour afficher le trafic passant par les points de terminaison du résolveur Route 53, configurez la
mise en miroir du trafic Amazon Virtual Private Cloud (Amazon VPC).
Résolution
Configurer la connectivité réseau
- Vérifiez que le groupe de sécurité et la liste de contrôle d'accès réseau (ACL réseau) de l'instance EC2 cible autorisent le trafic entrant sur le port UDP 4789 à partir de l'interface réseau élastique du point de terminaison sortant.
- Vérifiez que l'instance EC2 cible est connectée au sous-réseau de l'interface réseau du point de terminaison sortant.
- Vérifiez que le sous-ensemble d'interface réseau du point de terminaison sortant est configuré pour le trafic sortant pour l'instance EC2 sur le port UPD 4789. La configuration du sous-ensemble inclut la liste ACL réseau, les groupes de sécurité et les tables de routage.
Configurer la mise en miroir du trafic Amazon VPC
1. Créez une cible de miroir de trafic à l'aide de l'interface réseau de l'instance EC2 que vous utilisez comme cible.
2. Créez un filtre de miroir pour identifier le trafic DNS depuis l'interface réseau du point de terminaison sortant vers la cible de miroir EC2.
Exemple de filtre de miroir pour Route 53
Remarque : les valeurs d'exemple de ce tableau sont les suivantes :
- Le VPC A est associé à la règle de résolution Route 53 pour transférer les requêtes DNS de domaine*.test.com au réseau sur site
- Le réseau sur site héberge le domaine*.test.com
| | |
---|
Valeur | Règle de trafic entrant | Règle de trafic sortant |
Numéro de règle | Priorité des règles | Priorité des règles |
Action de règle | Accepter | Accepter |
Protocole | UDP et TCP | UDP et TCP |
Plage de ports source | 53 | 1024-65535 |
Plage de ports de destination | 1024-65535 | 53 |
Bloc d'adresse CIDR source | CIDR sur site | CIDR du VPC A |
Bloc d'adresse CIDR de destination | CIDR du VPC A | CIDR sur site |
3. Créez une session miroir pour chaque interface réseau de point de terminaison sortant vers l'instance EC2 miroir. Utilisez les valeurs suivantes :
Miroir source : interface réseau du point de terminaison sortant
Miroir cible : miroir de trafic que vous avez créé précédemment
Numéro de session : 1
Filtre: filtre miroir que vous avez créé précédemment
Afficher le trafic en miroir
Pour les systèmes d'exploitation Linux
1. Affichez les journaux de trafic capturés en exécutant la commande suivante :
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
Pour filename (nom de fichier), utilisez le nom de fichier dans lequel vous souhaitez stocker les journaux de trafic capturés. Pour eth, utilisez le port Ethernet que vous souhaitez utiliser sur votre instance EC2. 2. Transférez le fichier de l'instance EC2 vers votre ordinateur local en exécutant la commande suivante :
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
Pour la keypair (paire de clés), utilisez la paire de clés que vous avez utilisée pour vous connecter à l'instance. Pour filename (nom de fichier), utilisez le nom de fichier dans lequel vous souhaitez stocker les journaux de trafic capturés.
3. Ouvrez le fichier de capture pour afficher les paquets DNS.
Pour les systèmes d'exploitation Windows
1. Ouvrez l'outil Wireshark.
2. Filtrez le trafic à l'aide de l'adresse IP du point de terminaison du résolveur sortant.
3. Ouvrez le fichier de capture pour afficher les paquets DNS.
Informations connexes
Résolution des systèmes de nom de domaine (DNS) (Domain Name System) entre votre réseau et les VPC