Amazon Route 53 Resolver のアウトバウンドエンドポイントを通過するトラフィックを表示したいと考えています。これを行うにはどうすればよいですか?
簡単な説明
Route 53 リゾルバーエンドポイントを通過するトラフィックを表示するには、
Amazon Virtual Private Cloud (Amazon VPC) トラフィックミラーリングを設定します。
解決方法
ネットワーク接続の設定
- ターゲット EC2 インスタンスのセキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) が、UDP ポート 4789 でアウトバウンドエンドポイント Elastic Network Interface からの着信トラフィックを許可していることを確認します。
- ターゲット EC2 インスタンスがアウトバウンドエンドポイントのネットワークインターフェイスサブネットに接続していることを確認します。
- アウトバウンドエンドポイントネットワークインターフェイスサブセットが、UPD ポート 4789 の EC2 インスタンスの発信トラフィック用に設定されていることを確認します。サブセット設定には、ネットワーク ACL、セキュリティグループ、ルーティングテーブルが含まれます。
Amazon VPC トラフィックミラーリングのセットアップ
1. 使用している EC2 インスタンスのネットワークインターフェイスをターゲットとして使用して、トラフィックミラーターゲットを作成します。
2. ミラーフィルターを作成して、アウトバウンドエンドポイントネットワークインターフェイスから EC2 ミラーターゲットへの DNS トラフィックを識別します。
Route 53 のミラーフィルターの例
注: この表の値の例は、次の内容を表しています。
- VPC A は、*.test.com ドメイン DNS クエリをオンプレミスネットワークに転送する Route 53 解決ルールに関連付けられています
- オンプレミスネットワークはドメイン *.test.com をホストしています
| | |
---|
値 | インバウンドルール | アウトバウンドルール |
ルール番号 | ルール優先度 | ルール優先度 |
ルールアクション | 承諾 | 承諾 |
プロトコル | UDP と TCP | UDP と TCP |
送信元ポート範囲 | 53 | 1024-65535 |
送信先ポート範囲 | 1024-65535 | 53 |
ソース CIDR ブロック | オンプレミス CIDR | VPC A CIDR |
送信先 CIDR ブロック | VPC A CIDR | オンプレミス CIDR |
3. ミラー EC2 インスタンスへのアウトバウンドエンドポイントネットワークインターフェイスごとに、ミラーセッションを作成します。次の値を使用します。
ミラーソース: アウトバウンドエンドポイントネットワークインターフェイス
ミラーターゲット: 以前に作成したトラフィックミラー
セッション番号: 1
フィルター: 以前に作成したミラーフィルター
ミラートラフィックを表示する
Linux オペレーティングシステムの場合
1. 次のコマンドを実行して、キャプチャされたトラフィックログを表示します。
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。eth には、EC2 インスタンスで使用するイーサネットポートを使用します。2. 次のコマンドを実行して、EC2 インスタンスからローカルコンピュータにファイルを転送します。
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
keypair には、インスタンスにログインするために使用したキーペアを使用します。filename には、キャプチャされたトラフィックログを保存するファイル名を使用します。
3. キャプチャファイルを開いて DNS パケットを表示します。
Windows オペレーティングシステムの場合
1. Wireshark ツールを開きます。
2. アウトバウンドリゾルバーエンドポイントの IP アドレスを使用してトラフィックをフィルタリングします。
3. キャプチャファイルを開いて DNS パケットを表示します。
関連情報
VPC とネットワーク間のドメインネームシステム (DNS) クエリの解決