我想要檢視通過 Amazon Route 53 Resolver 對外端點的流量。該如何進行?
簡短描述
要檢視通過 Route 53 解析程式端點的流量,請設定
Amazon Virtual Private Cloud (Amazon VPC) 流量鏡像。
解決方案
設定網路連線
- 確認目標 EC2 執行個體的安全群組和網路存取控制清單 (網路 ACL) 允許來自對外端點彈性網絡介面之 UDP 連接埠 4789 上的傳入流量。
- 確認目標 EC2 執行個體可以連線至對外端點的網路介面子網路。
- 確認已為 UPD 連接埠 4789 上 EC2 執行個體之傳出流量設定對外端點網路介面子集。子集配置包括網路 ACL、安全群組和路由表。
設定 Amazon VPC 流量鏡像
1. 使用您用作目標之 EC2 執行個體的網路介面建立流量鏡像目標。
2. 建立鏡像篩選條件以識別從對外端點網路介面到 EC2 鏡像目標的 DNS 流量。
Route 53 的鏡像篩選條件範例
注意:此表中的範例值代表以下內容:
- VPC A 與 Route 53 解析規則相關聯,以便將 *.test.com 網域 DNS 查詢轉寄至內部部署網路
- 內部部署託管網域 *.test.com
| | |
---|
值 | 入站規則 | 出站規則 |
規則編號 | 規則優先順序 | 規則優先順序 |
規則動作 | 接受 | 接受 |
通訊協定 | UDP 和 TCP | UDP 和 TCP |
來源連接埠範圍 | 53 | 1024-65535 |
目的地連接埠範圍 | 1024-65535 | 53 |
來源 CIDR 區塊 | 內部部署 CIDR | VPC A CIDR |
目的地 CIDR 區塊 | VPC A CIDR | 內部部署 CIDR |
3. 為鏡像 EC2 執行個體的每個對外端點網路介面建立鏡像工作階段。使用下列值:
**鏡像來源:**對外端點網路介面
鏡像目標:您之前建立的流量鏡像
工作階段編號:1
篩選條件:鏡像您之前建立的篩選條件
檢視鏡像的流量
對於 Linux 作業系統
1. 透過執行以下命令檢視擷取的流量日誌:
sudo tcpdump -w <filename>.pcap -i <eth> port 4789
對於檔案名稱,請使用要存放擷取之流量日誌的檔案名稱。對於 eth,請使用您想要在 EC2 執行個體上使用的乙太網路連接埠。2. 透過執行以下命令將檔案從 EC2 執行個體傳輸到本機電腦:
scp -i <keypair>.pem ec2-user@<ec2 instance's public/private DNS name or IP address>:<file path>/<filename>.pcap ~/Desktop/
對於金鑰對,請使用用於登入執行個體的金鑰對。對於檔案名稱,請使用要存放擷取之流量日誌的檔案名稱。
3. 開啟擷取檔案以檢視 DNS 封包。
對於 Windows 作業系統
1. 開啟 Wireshark 工具。
2. 使用對外解析程式端點的 IP 地址篩選流量。
3. 開啟擷取檔案以檢視 DNS 封包。
相關資訊
解析 VPC 和網路之間的網域名稱系統 (DNS) 查詢