У меня настроена сеть VPC в облаке Google с несколькими запущенными экземплярами. Один из этих экземпляров служит VPN-машиной, позволяя мне взаимодействовать с экземплярами из Интернета.
Я хочу захватить трафик:
Кто-нибудь знает, что я могу здесь сделать? Был бы очень признателен. Спасибо!
Это до смешного громоздко, я описываю это только потому, что некоторые организации действительно используют этот способ:
TL; DR маршрутизация всего через другой выделенный VPC.
Создайте «левый» VPC, создайте «безопасный» VPC, создайте «правый» VPC.
Установите маршрутизацию, чтобы пакет перемещался:
Установите пиринги VPC (ну иначе такую маршрутизацию сделать не получится).
Создайте экземпляр внутри «безопасности» (на самом деле лучше иметь пару экземпляров за внутренним балансировщиком нагрузки TCP) и запустить tcpdump там. Или snort, или что-то подобное. Или даже межсетевой экран на виртуальной машине. На обоих сетевых устройствах должно быть указано «Включить переадресацию IP» = Да.
Пакеты между левым и правым будут захвачены, но не трафик слева направо или справа налево.
Кстати, экземпляр VPN тоже можно переместить в «безопасный» VPC.
Предполагая, что вы используете образ Debian от Google, вы можете установить и использовать tcpdump для захвата трафика.
$ sudo apt update
$ sudo apt install -y tcpdump
$ sudo tcpdump -i eth0
Вы можете включить Журналы потоков VPC. При этом регистрируются входящие и исходящие потоки TCP и UDP каждой виртуальной машины. Эти потоки могут быть между виртуальной машиной и другой виртуальной машиной в том же VPC. Вам также необходимо учитывать ограничение количество журналов, сгенерированных для снижения ваших затрат на драйверы стека.