AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

Amazon Route 53 Resolver のアウトバウンドエンドポイントを通過するトラフィックは、どのように表示すればよいですか?

所要時間2分
0

Amazon Route 53 Resolver のアウトバウンドエンドポイントを通過するトラフィックを表示したいと考えています。これを行うにはどうすればよいですか?

簡単な説明

Route 53 リゾルバーエンドポイントを通過するトラフィックを表示するには、 Amazon Virtual Private Cloud (Amazon VPC) トラフィックミラーリングを設定します

解決方法

ネットワーク接続の設定

  1. ターゲット EC2 インスタンスのセキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) が、UDP ポート 4789 でアウトバウンドエンドポイント Elastic Network Interface からの着信トラフィックを許可していることを確認します。
  2. ターゲット EC2 インスタンスがアウトバウンドエンドポイントのネットワークインターフェイスサブネットに接続していることを確認します。
  3. アウトバウンドエンドポイントネットワークインターフェイスサブセットが、UPD ポート 4789 の EC2 インスタンスの発信トラフィック用に設定されていることを確認します。サブセット設定には、ネットワーク ACL、セキュリティグループ、ルーティングテーブルが含まれます。

Amazon VPC トラフィックミラーリングのセットアップ

1.    使用している EC2 インスタンスのネットワークインターフェイスをターゲットとして使用して、トラフィックミラーターゲットを作成します

2.    ミラーフィルターを作成して、アウトバウンドエンドポイントネットワークインターフェイスから EC2 ミラーターゲットへの DNS トラフィックを識別します。

Route 53 のミラーフィルターの例

: この表の値の例は、次の内容を表しています。

  • VPC A は、*.test.com ドメイン DNS クエリをオンプレミスネットワークに転送する Route 53 解決ルールに関連付けられています
  • オンプレミスネットワークはドメイン *.test.com をホストしています
インバウンドルールアウトバウンドルール
ルール番号ルール優先度ルール優先度
ルールアクション承諾承諾
プロトコルUDP と TCPUDP と TCP
送信元ポート範囲531024-65535
送信先ポート範囲1024-6553553
ソース CIDR ブロックオンプレミス CIDRVPC A CIDR
送信先 CIDR ブロックVPC A CIDRオンプレミス CIDR

3.    ミラー EC2 インスタンスへのアウトバウンドエンドポイントネットワークインターフェイスごとに、ミラーセッションを作成します。次の値を使用します。    

        ミラーソース: アウトバウンドエンドポイントネットワークインターフェイス
ミラーターゲット: 以前に作成したトラフィックミラー
セッション番号: 1
フィルター: 以前に作成したミラーフィルター

ミラートラフィックを表示する

Linux オペレーティングシステムの場合

1.    次のコマンドを実行して、キャプチャされたトラフィックログを表示します。

sudo tcpdump -w <filename>.pcap -i <eth> port 4789

filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。eth には、EC2 インスタンスで使用するイーサネットポートを使用します。2.    次のコマンドを実行して、EC2 インスタンスからローカルコンピュータにファイルを転送します。

scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/

keypair には、インスタンスにログインするために使用したキーペアを使用します。filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。

3.    キャプチャファイルを開いて DNS パケットを表示します。

Windows オペレーティングシステムの場合

1.    Wireshark ツールを開きます。

2.    アウトバウンドリゾルバーエンドポイントの IP アドレスを使用してトラフィックをフィルタリングします。

3.    キャプチャファイルを開いて DNS パケットを表示します。


関連情報

VPC とネットワーク間のドメインネームシステム (DNS) クエリの解決

コメントはありません