有没有其他EC2用户可以通过网络嗅探来自或转到我的某个EC2实例的流量,即使我们的虚拟实例都在同一个物理主机上?因为这个对我来说是最敏感的,我会特别问,是否可以使用另一个EC2来嗅探我的EC2实例和我的RDS数据库之间的流量?
答案 0 :(得分:4)
我不是EC2的专家,但如果亚马逊为不同的实例设置NAT'ed DomU(我确信他们这样做),那么你应该是安全的。
使用NAT,每个实例仅接收针对该主机的数据包。所以没有数据包嗅探(至少在理论上)。
我应该补充说有一些有趣的东西(如“看起来我们做过它并写了一篇关于它的论文”)嗅探基于L1缓存嗅探的攻击。 link to paper, if you're interested