Wie Sie ausführen, port-spiegelung in einer AWS-IAAS?
Ich habe eine EC2-Instanz, mit 3 AWS-Instanzen auf.
Nun möchte ich in der Lage zu erfassen den gesamten Datenverkehr(Eingang und Ausgang) das geht an die 3-instances in einer AWS-Instanz (Spiegel der Verkehr auf dieser Instanz).
Realen Welt-Netzwerke:
Verwenden Sie einen TAP-oder SPAN-port auf dem router.
Aber in Virtualisated AWS-Umgebung, wie kann ich dies tun?
Das ist nicht direkt möglich. Je nach dem Grund, warum Sie brauchen, um den Netzwerkverkehr aufzeichnen, es könnte ein workaround.
Ich habe gebaut, ein NIDS muss, überwachen den Verkehr, die gehen, um die AWS-Instanzen, die in meiner VPC. Gibt es keine Möglichkeit, ich kann diese Pakete?
Ich habe gebaut, ein NIDS muss, überwachen den Verkehr, die gehen, um die AWS-Instanzen, die in meiner VPC. Gibt es keine Möglichkeit, ich kann diese Pakete?
InformationsquelleAutor deeks jain | 2015-11-10
Du musst angemeldet sein, um einen Kommentar abzugeben.
AWS bietet die Möglichkeit, zu protokollieren und überwachen Sie den Datenverkehr zwischen Instanzen, Subnetze oder das gesamte VPC.
Finden Sie Ihre VPC Verkehrsströme Produkt - https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/
Sie sind beschränkt in dem, was Sie tun können, AWS in Bezug auf Netzwerk-capture, aber wenn Sie brauchen, untere Ebene Daten zu erfassen, führen Sie die folgenden Schritte auf dem Server, den Sie möchten, erfassen Sie Datenverkehr im Netzwerk.
Aufzeichnung.cap-Datei enthält Datenpaket-Erfassung des Verkehrs durch die ENI-Gerät.
Aktualisiert meine Antwort auf Ihren Kommentar
Danke. Wie könnte ich es in dem Szenario beschrieben: Wo habe ich 3 Instanzen in derselben VPC, ich muss überwachen, Datenverkehr zu und von allen drei von Ihnen. Eine Möglichkeit ist die Ausführung von tcpdump auf jedem. Gibt es irgendeine andere Möglichkeit, ich kann alle oben genannten Verkehrs auf eine andere Instanz in AWS ausgeführt werden, in derselben VPC (genau wie das, was einem distributed switch mit Span port funktioniert)
gut, das kann man so synchronisieren Sie das tcp-dump-Dateien zur 4. Instanz, die mit rsync oder syslog. Andere als das, es gibt keine Möglichkeit, zu schnuppern, der Verkehr in AWS wie, wie würden Sie wahrscheinlich wie es zu tun.
InformationsquelleAutor BestPractices
Wegen seiner Skala, die VPC-Netzwerk-Infrastruktur wurde implementiert als software-definierte Netzwerk. Es emuliert Ethernet, aber es ist nicht Ethernet. Es gibt keinerlei Unfall-oder broadcast-Domänen, und kein multicast. In der Tat, wenn eine Instanz "arps", für einen anderen, auch, dass die traffic-macht es nie, um die Ziel-Instanz -- die (richtige) arp-Antwort ist tatsächlich vom Netz generiert. Und, es gibt keine Bestimmung für die port-spiegelung.
Abgesehen vom laufen tcpdump auf eine Instanz selbst, die einzige alternative in den Sinn kommt beinhaltet eine layer-3-setup.
Würden Sie konfigurieren eine separate Instanz -- wo würden Sie die Erfassung der Verkehrs -- und dann iptables verwenden von NAT der Datenverkehr im Namen der intern-Instanz(en), deren Verkehr man abfangen. Die Aufnahme - /NAT-Instanz wäre auf einem "öffentlichen" Subnetz (definition: ein Subnetz, deren Standard-gateway ist die igw-xxxxxxxx-Internet-Gateway-Objekt) und hätte die Instanz überwacht die öffentliche IP(s) befestigt ist, anstatt dass diese an die Instanz, wo der Verkehr letztlich beendet. Die capture-Instanz "IP source - /dest-check" - Attribut deaktiviert wird.
Dann der überwachten Instanzen platziert werden, die über ein eigenes Subnetz (definition: ein Subnetz, deren default-route nicht igw). Diese Subnetz-Standard-gateway würde, zeigen Sie auf die capture - /NAT-Instanz als return-path für alle NAT-traffic für die übersetzung in umgekehrter Richtung.
InformationsquelleAutor Michael - sqlbot