{VPC}Get started with Traffic Mirroring

 

https://docs.aws.amazon.com/ja_jp/vpc/latest/mirroring/traffic-mirroring-getting-started.html

https://aws.amazon.com/jp/blogs/news/new-vpc-traffic-mirroring/

https://dev.classmethod.jp/articles/201906-release-vpc-traffic-mirroring/

作業端末:   work       Amazon Linux2 172.31.31.111
ソース:     instance01 Amazon Linux2 172.31.24.112  eni-11111111111111111
ターゲット: instance02 Amazon Linux2 172.31.20.113  eni-22222222222222222

作業端末からソースへのhttp通信がターゲットにミラーリングされること確認


-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

 

-- 1.2 jqインストール
sudo yum -y install jq


-- 2. EC2インスタンス作成

aws ec2 run-instances \
--image-id ami-0404778e217f54308 \
--instance-type t3.nano \
--key-name key1 \
--tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=instance01}]' 


aws ec2 run-instances \
--image-id ami-0404778e217f54308 \
--instance-type t3.nano \
--key-name key1 \
--tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=instance02}]' 

aws ec2 describe-instances


-- 3. トラフィックミラーターゲットの作成

aws ec2 create-traffic-mirror-target \
--network-interface-id eni-22222222222222222 \
--description "target01" \
--tag-specifications 'ResourceType=traffic-mirror-target,Tags=[{Key=Name,Value=target01}]'

 

aws ec2 describe-traffic-mirror-targets

 

-- 4. トラフィックミラーフィルターの作成

aws ec2 create-traffic-mirror-filter \
--description "filter01" \
--tag-specifications 'ResourceType=traffic-mirror-filter,Tags=[{Key=Name,Value=filter01}]'

 


aws ec2 create-traffic-mirror-filter-rule \
--traffic-mirror-filter-id tmf-33333333333333333 \
--traffic-direction ingress \
--rule-number 1 \
--rule-action accept \
--protocol 6 \
--destination-cidr-block 172.31.0.0/16 \
--source-cidr-block 172.31.0.0/16 \
--description "filter_rule01"

 

 

aws ec2 describe-traffic-mirror-filters

 


-- 5. トラフィックミラーセッションの作成


aws ec2 create-traffic-mirror-session \
--network-interface-id eni-11111111111111111 \
--traffic-mirror-target-id tmt-44444444444444444 \
--traffic-mirror-filter-id tmf-33333333333333333 \
--session-number 1 \
--description "session01" \
--tag-specifications 'ResourceType=traffic-mirror-session,Tags=[{Key=Name,Value=session01}]'

 

aws ec2 describe-traffic-mirror-sessions

 

 

-- 6. 動作確認

-- ターゲットでVXLANパケットをターゲットでモニタリング


sudo tcpdump -i eth0 -A udp port 4789


-- ソースでhttpdインストール

sudo su -

yum -y update
yum -y install httpd
systemctl start httpd
systemctl enable httpd
echo $(hostname) > /var/www/html/index.html


-- 作業端末からソースへhttpパケット送信

curl -v -X GET http://172.31.24.112/index.html

 


-- 7. クリーンアップ


-- トラフィックミラーセッションの削除

aws ec2 describe-traffic-mirror-sessions

aws ec2 delete-traffic-mirror-session \
--traffic-mirror-session-id tms-55555555555555555


-- トラフィックミラーフィルターの削除

aws ec2 describe-traffic-mirror-filters

aws ec2 delete-traffic-mirror-filter \
--traffic-mirror-filter-id tmf-33333333333333333


-- トラフィックミラーターゲットの削除
aws ec2 describe-traffic-mirror-targets


aws ec2 delete-traffic-mirror-target \
--traffic-mirror-target-id tmt-44444444444444444

 


-- EC2インスタンスの削除

aws ec2 describe-instances

aws ec2 terminate-instances --instance-ids i-66666666666666666

aws ec2 terminate-instances --instance-ids i-77777777777777777