Amazon web services 如何在AWS IAAS中执行端口镜像？

我有一个EC2实例，上面有3个AWS实例

现在，我希望能够捕获一个AWS实例中3个实例的所有流量（入站和出站）（将流量镜像到此实例）

现实世界网络： 使用路由器上的TAP或SPAN端口

---

但在虚拟化的AWS环境中，我如何做到这一点

AWS提供了记录和监控实例、子网或整个专有网络之间流量的能力

查看他们的专有网络流量产品-

在网络捕获方面，您在AWS中所能做的有限，但是如果您需要较低级别的数据捕获，您可以在希望捕获网络流量的服务器上执行以下操作

tcpdump –p –i eth0 –w capture.cap

---

capture.cap文件包含通过ENI设备的流量数据包捕获。

由于其规模，VPC网络基础设施被实现为软件定义的网络。它模拟以太网，但它不是以太网。没有冲突或广播域，也没有多播。事实上，当一个实例为另一个实例“arp”时，即使该流量也不会到达目标实例——网络实际上生成（正确的）arp响应。而且，没有提供端口镜像

除了在实例本身上运行tcpdump之外，想到的唯一替代方案是第3层设置

您需要配置一个单独的实例，在其中捕获流量，然后使用iptables代表您正在拦截其流量的内部实例对流量进行NAT。捕获/NAT实例将放置在“公共”子网（定义：其默认网关为igw-xxxxxxxx Internet网关对象的子网）上，并将受监视实例的公共IP连接到该子网，而不是连接到流量最终终止的实例。捕获实例的“IP源/目的地检查”属性将被禁用

---

然后，受监视的实例将被放置在一个私有子网（定义：默认路由不是igw的子网）。此子网的默认网关将指向capture/NAT实例，作为所有NAT传输的返回路径，以便反向转换。

以前，AWS中无法以本机方式镜像传输。您必须使用变通方法将数据包路由到您想要的位置。现在，随着AWS发布的新产品，情况发生了变化

---

基本上，您可以将来自EC2实例或整个VPC的流量镜像到您选择的目的地。在许多情况下，这实际上比内部部署更容易，因为您不需要经过网络团队。另一方面，如果攻击者获得系统的管理控制权，则更容易窥探流量。我记录下来解释AWS VPC流量镜像以及为什么它对安全可见性很重要。

这是不可能的。根据您需要捕获流量的原因，我已经构建了一个NIDS，它需要监控进入我的VPC中AWS实例的流量。我没有办法得到这些数据包吗？我需要一些东西，使我能够捕获整个数据包，对它们进行分析。流量日志提供数据包的信息，但我需要整个数据包的有效负载和完整的标题。根据您的评论更新我的答案谢谢。在所描述的场景中，我如何做到这一点：在同一VPC中有3个实例，我需要监控它们之间的通信量。一种方法是在每个服务器上运行tcpdump。是否有其他方法可以将上述所有流量传输到同一VPC中运行在AWS上的另一个实例上（就像带有Span端口的分布式交换机所做的那样）。当然，您可以使用rsync或syslog将tcp转储文件同步到第四个实例。除此之外，在AWS中没有一种方法可以像你可能想做的那样嗅探流量。谢谢！那很有帮助！不幸的是，这只支持基于Nitro的虚拟实例的镜像源。