【AWS入门】流量镜像

1. 概念

1.1 什么是流量镜像：

流量镜像是一项 Amazon VPC 功能，可用于从接口类型的弹性网络接口复制网络流量。然
后，您可以将流量发送到带外安全和监控设备，以便：
内容检查
威胁监控
故障排除
安全和监控设备可以部署为单个实例，也可以部署为具有 UDP 侦听器的网络负载均衡器或
具有 UDP 侦听器的网关负载均衡器后面的实例队列。流量镜像支持过滤器和数据包截断，
以便您仅使用所选的监控工具提取要监控的感兴趣流量。

1.2 流量镜像概念

以下是流量镜像的关键概念：
源 — 要监视的网络接口。
目标 — 镜像流量的目标。
过滤器 — 一组规则，用于定义在流量镜像会话中复制的流量。
会话 — 描述使用过滤器从源到目标的流量镜像的实体。

1.3 流量镜像优势

流量镜像具有以下优点：
简化操作 — 镜像任意范围的 VPC 流量，而无需管理 EC2 实例上的数据包转发代理。
增强的安全性 — 在弹性网络接口捕获数据包，无法从用户空间禁用或篡改数据包。
增加监控选项 — 将镜像流量发送到任何安全设备。

1.4 如何工作的：

流量镜像从连接到您的实例的网络接口复制入站和出站流量。您可以将镜像流量发送到另一
个实例的网络接口、具有 UDP 侦听器的网络负载均衡器或具有 UDP 侦听器的网关负载均
衡器。流镜像源和流镜像目标（监控设备）可以在同一个 VPC 中。或者它们可以位于不同
的 VPC 中，这些 VPC 通过区域内 VPC 对等连接、中转网关或通过网关负载均衡器端点
连接到不同 VPC 中的网关负载均衡器。
考虑以下场景，您希望将来自两个源（源 A 和源 B）的流量镜像到单个流量镜像目标（目
标 D）。需要以下进程：
识别流量镜像源（Source A），识别流量镜像源（Source B），配置流量镜像目标（Target D）
配置流量镜像过滤器（Filter A）
为 Source A、Filter A 和 Target D 配置流量镜像会话
为 Source B、Filter A 和 Target D 配置流镜像会话
创建流量镜像会话后，任何符合过滤规则的流量都会封装在 VXLAN 标头中。然后发送到目
标。

1.5 实例类型的限制：

https://docs.aws.amazon.com/zh_cn/vpc/latest/mirroring/traffic-mirroring-limits.html
t3.micro支持流量镜像

2. 实验

2.1 创建EC2实例

创建两个 EC2,类型为 t3.micro

2.2 创建镜像会话

VPC》流量镜像》镜像会话》创建流量镜像会话
镜像源: 作为源的实例的网络接口id
镜像目标：作为源的实例的网络接口id（需要点击右侧Create target进行创建）
绘画编号：1
筛选条件：点击Create filter创建流量镜像筛选条件

筛选条件
创建如下筛选条件后，回到创建流量镜像会话页面选择即可

2.3 测试

打开作为目标的实例的会话，输入以下指令抓取包

tcpdump -i ens5 -n -vv udp port 4789

打开作为源的实例的会话，curl一下baidu

curl www.baidu.com

再查看作为目标的实例的会话，可以抓取到baidu相关的包