如何理解 AWS VPC Flow Log 端口?

【问题标题】:How to understand AWS VPC Flow Log ports?如何理解 AWS VPC Flow Log 端口?
【发布时间】:2019-02-22 22:28:29
【问题描述】:

我正在尝试使用 AWS VPC 流日志来查找 EC2 实例上的端口使用情况,但无法理解。

比如这两行,10.200.10.30就是接口的私网IP。安全组允许 443 端口。但是如此处所示,目标端口 33788 是 ACCEPT 吗?!

2 123456789123 eni-abc123ab 54.152.158.21 10.200.10.30 443 33788 6 12 6861 1550793782 1550793842 接受 OK 2 123456789123 eni-abc123ab 10.200.10.30 54.152.158.21 33788 443 6 13 2745 1550793782 1550793842 接受 OK

好的,也许它只是倒退了,但这也不起作用,因为其他时候源/目标端口是预期的......

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-monitoring.html 提到每个连接有两个条目,但上面的实例不是负载均衡器...

任何指针?

【问题讨论】:

    标签: amazon-web-services amazon-vpc


    【解决方案1】:

    在不了解您的网络的情况下,这似乎是一个从一个 EC2 实例到另一个实例的出站连接。

    第二 行表示从源 (10.200.10.30:33788) 到目标 (54.152.158.21:443) 的 HTTPS 请求,而第一行表示为该请求返回的包。

    那么,您网络上的哪个主机有 54.152.158.21?我的猜测是它是一个 ALB。

    【讨论】:

    • 该 IP 更有可能是此实例正在联系的外部服务器,可能是外部 API 或检查操作系统更新的机器。与 this VPC 内的设备关联的公共 IP 不应出现在流日志中,因为该映射发生在 Internet 网关的另一端,并且 ALB 到实例的流量将显示私有 IP两边。
    • @Michael-sqlbot - 面向公众的 ALB 解析为 VPC 内机器的公共 IP,而不是内部 IP(相信我,这给我带来了无尽的痛苦)。虽然请求可以是任何公共 IP,但它是一个 EC2 地址并且 OP 没有提到连接到其他机器这一事实让我同意它可能是一个 ALB。
    • 我实际上创建了一个示例,但必须稍后发布——客人已经到了。
    • @kdgregory 同意,它当然可以是从实例到 ALB 的 出站 连接,甚至是同一 VPC 中的 ALB。我可能误解了这个答案,认为它可能是从 ALB 到实例的 inbound 连接,我认为这将涉及两个私有地址。重新阅读答案,我似乎一直不同意实际上并没有做出的断言。我想我们都同意这是从实例到任何公共 IP 地址的出站连接,连接由实例发起。
    • 是的,所以没有办法知道流日志中的一行是来自响应还是请求,对吧?对于端口 33788 和 443,你当然可以做明显的猜测......
    猜你喜欢
    • 1970-01-01
    • 2023-02-07
    • 2020-02-07
    • 2021-10-06
    • 1970-01-01
    • 1970-01-01
    • 2021-06-22
    • 2022-01-21
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode