我有一个EC2实例,上面有3个AWS实例。
现在,我希望能够捕获到达一个AWS实例中的3个实例的所有流量(入站和出站)(镜像此实例的流量)。
真实世界网络: 使用路由器上的TAP或SPAN端口。
但是在Virtualisated AWS环境中,我该怎么做?
答案 0 :(得分:1)
AWS提供了记录和监控实例,子网或整个VPC之间流量的流量的功能。
查看他们的VPC流量产品 - https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/
在网络捕获方面,您在AWS中的工作受到限制,但是如果您需要较低级别的数据捕获,则可以在希望捕获网络流量的服务器上执行以下操作。
tcpdump –p –i eth0 –w capture.cap
capture.cap文件包含通过ENI设备的流量数据包捕获。
答案 1 :(得分:1)
由于其规模,VPC网络基础设施被实施为软件定义网络。它模拟以太网,但它不是以太网。没有冲突或广播域,也没有多播。事实上,当一个实例“arps”为另一个实例时,即使该流量从未进入目标实例 - (正确的)arp响应实际上是由网络生成的。并且,没有端口镜像的规定。
除了在实例本身上运行tcpdump之外,想到的唯一选择是涉及第3层设置。
您将配置一个单独的实例 - 您将捕获流量 - 然后使用iptables代表您正在拦截其流量的内部实例对流量进行NAT。捕获/ NAT实例将放置在“公共”子网上(定义:默认网关为igw-xxxxxxxx Internet网关对象的子网),并且将监视的实例的公共IP附加到其上,而不是它们附加到流量最终终止的实例。捕获实例的“IP源/目标检查”属性将被禁用。
然后,受监视的实例将被放置在私有子网上(定义:默认路由不是 igw的子网)。该子网的默认网关将指向捕获/ NAT实例,作为反向转换的所有NAT-ed流量的返回路径。
答案 2 :(得分:0)
以前,无法在AWS中本地镜像流量。您必须使用变通方法将数据包路由到所需的位置。现在,新的AWS VPC traffic mirroring宣布了这一点。
基本上,您可以将来自EC2实例或整个VPC的流量镜像到您选择的目的地。实际上,在许多情况下,这比本地部署要容易,因为您无需经过网络团队。另一方面,如果攻击者获得了系统的管理控制权,它将使攻击者更容易窥探流量。我录制了a lightboard video,以解释AWS VPC通信镜像以及为什么它对于安全可见性很重要。