目录
- 1. 概念
- 1.1 什么是流量镜像:
- 1.2 流量镜像概念
- 1.3 流量镜像优势
- 1.4 如何工作的:
- 1.5 实例类型的限制:
- 2. 实验
- 2.1 创建EC2实例
- 2.2 创建镜像会话
- 2.3 测试
1. 概念
1.1 什么是流量镜像:
流量镜像是一项 Amazon VPC 功能,可用于从接口类型的弹性网络接口复制网络流量。然
后,您可以将流量发送到带外安全和监控设备,以便:
内容检查
威胁监控
故障排除
安全和监控设备可以部署为单个实例,也可以部署为具有 UDP 侦听器的网络负载均衡器或
具有 UDP 侦听器的网关负载均衡器后面的实例队列。流量镜像支持过滤器和数据包截断,
以便您仅使用所选的监控工具提取要监控的感兴趣流量。
1.2 流量镜像概念
以下是流量镜像的关键概念:
源 — 要监视的网络接口。
目标 — 镜像流量的目标。
过滤器 — 一组规则,用于定义在流量镜像会话中复制的流量。
会话 — 描述使用过滤器从源到目标的流量镜像的实体。
1.3 流量镜像优势
流量镜像具有以下优点:
简化操作 — 镜像任意范围的 VPC 流量,而无需管理 EC2 实例上的数据包转发代理。
增强的安全性 — 在弹性网络接口捕获数据包,无法从用户空间禁用或篡改数据包。
增加监控选项 — 将镜像流量发送到任何安全设备。
1.4 如何工作的:
流量镜像从连接到您的实例的网络接口复制入站和出站流量。您可以将镜像流量发送到另一
个实例的网络接口、具有 UDP 侦听器的网络负载均衡器或具有 UDP 侦听器的网关负载均
衡器。流镜像源和流镜像目标(监控设备)可以在同一个 VPC 中。或者它们可以位于不同
的 VPC 中,这些 VPC 通过区域内 VPC 对等连接、中转网关或通过网关负载均衡器端点
连接到不同 VPC 中的网关负载均衡器。
考虑以下场景,您希望将来自两个源(源 A 和源 B)的流量镜像到单个流量镜像目标(目
标 D)。需要以下进程:
识别流量镜像源(Source A),识别流量镜像源(Source B),配置流量镜像目标(Target D)
配置流量镜像过滤器(Filter A)
为 Source A、Filter A 和 Target D 配置流量镜像会话
为 Source B、Filter A 和 Target D 配置流镜像会话
创建流量镜像会话后,任何符合过滤规则的流量都会封装在 VXLAN 标头中。然后发送到目
标。
1.5 实例类型的限制:
https://docs.aws.amazon.com/zh_cn/vpc/latest/mirroring/traffic-mirroring-limits.html t3.micro支持流量镜像
2. 实验
2.1 创建EC2实例
创建两个 EC2,类型为 t3.micro
2.2 创建镜像会话
VPC》流量镜像》镜像会话》创建流量镜像会话
镜像源: 作为源的实例的网络接口id
镜像目标:作为源的实例的网络接口id(需要点击右侧Create target进行创建)
绘画编号:1
筛选条件:点击Create filter创建流量镜像筛选条件
筛选条件
创建如下筛选条件后,回到创建流量镜像会话页面选择即可
2.3 测试
打开作为目标的实例的会话,输入以下指令抓取包
tcpdump -i ens5 -n -vv udp port 4789
打开作为源的实例的会话,curl一下baidu
curl www.baidu.com
再查看作为目标的实例的会话,可以抓取到baidu相关的包
