Compartir a través de

Inspeccione y analice los archivos de captura de paquetes de Network Watcher

Mediante el uso de la característica de captura de paquetes de Azure Network Watcher, puede iniciar y administrar sesiones de captura en las máquinas virtuales (VM) de Azure y los conjuntos de escalado de máquinas virtuales:

  • Desde Azure Portal, PowerShell y la CLI de Azure.
  • Mediante programación a través del SDK y la API de REST.

Con la captura de paquetes, puede abordar escenarios que requieren datos a nivel de paquete proporcionando la información en un formato fácilmente utilizable. Mediante el uso de herramientas disponibles gratuitamente para inspeccionar los datos, puede examinar las comunicaciones enviadas hacia y desde las máquinas virtuales o los conjuntos de escalado para obtener información sobre el tráfico de red. Algunos ejemplos de usos de los datos de captura de paquetes incluyen la investigación de problemas de red o aplicaciones, la detección de uso indebido de la red y los intentos de intrusión, y el mantenimiento del cumplimiento normativo.

En este artículo, aprenderá a usar una herramienta de código abierto popular para abrir un archivo de captura de paquetes que Network Watcher proporcionó. También aprenderá a calcular la latencia de conexión, identificar el tráfico anormal y examinar las estadísticas de la red.

Prerrequisitos

Calcular la latencia de red

En este escenario, aprenderá cómo ver el tiempo de ida y vuelta (RTT) inicial de una conversación de Protocolo de control de transmisión (TCP) que se produce entre dos puntos de conexión.

Cuando se establece una conexión TCP, los tres primeros paquetes enviados en la conexión siguen un patrón llamado handshake de tres vías. Al examinar los dos primeros paquetes enviados en este protocolo de enlace (una solicitud inicial del cliente y una respuesta del servidor), puede calcular la latencia. Esta latencia es el RTT. Para obtener más información sobre el protocolo TCP y el protocolo de enlace de tres vías, consulte Explicación del protocolo de enlace de tres vías a través de TCP/IP.

  1. Inicia Wireshark.

  2. Cargue el archivo .cap de la sesión de captura de paquetes.

  3. Seleccione un paquete [SYN] en la captura. Este paquete es el primer paquete que el cliente envía para iniciar una conexión TCP.

  4. Haga clic con el botón secundario en el paquete, seleccione Seguir y, a continuación, seleccione TCP Stream.

    Captura de pantalla que muestra cómo filtrar paquetes de flujo TCP en Wireshark.

  5. Expanda la sección Protocolo de control de transmisión del paquete [SYN] y, a continuación, expanda la sección Indicadores .

  6. Confirme que el bit Syn está establecido en 1 y, a continuación, haga clic con el botón secundario en él.

  7. Seleccione Aplicar como filtro y, a continuación, seleccione ... y seleccionado para mostrar los paquetes con el bit Syn establecido en 1 dentro del flujo TCP.

    Los dos primeros paquetes implicados en el protocolo de enlace TCP son los paquetes [SYN] y [SYN, ACK]. No necesita el último paquete del protocolo de enlace, que es el paquete [ACK]. El cliente envía el paquete [SYN]. Una vez que el servidor recibe el paquete [SYN], envía el paquete [ACK] como reconocimiento de la recepción del paquete [SYN] del cliente.

    Captura de pantalla que muestra cómo aplicar un filtro para mostrar los paquetes en un flujo TCP en Wireshark.

  8. Seleccione el paquete [SCK].

  9. Expanda la sección de análisis SEQ/ACK para mostrar el RTT inicial en segundos.

    Captura de pantalla que muestra la latencia representada como tiempo inicial de ida y vuelta en segundos en Wireshark.

Buscar protocolos no deseados

Puede tener muchas aplicaciones ejecutándose en una máquina virtual de Azure. Muchas de estas aplicaciones se comunican a través de la red, a veces sin su permiso explícito. Mediante el uso de la captura de paquetes para registrar la comunicación de red, puede investigar cómo se comunican las aplicaciones a través de la red. La investigación le ayuda a identificar y abordar cualquier problema potencial.

En este ejemplo, aprenderá a analizar una captura de paquetes para encontrar protocolos no deseados que podrían indicar una comunicación no autorizada desde una aplicación que se ejecuta en la máquina virtual.

  1. Abra Wireshark.

  2. Cargue el archivo .cap de la sesión de captura de paquetes.

  3. En el menú Estadísticas , seleccione Jerarquía de protocolos.

    Captura de pantalla que muestra cómo llegar a la jerarquía de protocolos desde el menú Estadísticas de Wireshark.

  4. La ventana Estadísticas de jerarquía de protocolos enumera todos los protocolos que estaban en uso durante la sesión de captura, junto con el número de paquetes transmitidos y recibidos para cada protocolo. Esta vista es útil para encontrar tráfico de red no deseado en las máquinas virtuales o la red.

    Captura de pantalla que muestra la ventana de estadísticas de la jerarquía de protocolos en Wireshark.

    En este ejemplo se muestra el tráfico por el protocolo BitTorrent, que se utiliza para la compartición de archivos entre pares. Como administrador, si no espera ver tráfico de BitTorrent en esta máquina virtual, puede:

    • Quitar el software punto a punto que está instalado en esta máquina virtual.
    • Bloquee el tráfico mediante un grupo de seguridad de red o un firewall.

Buscar destinos y puertos

Comprender los tipos de tráfico, los puntos de conexión y los puertos de comunicación es importante cuando se supervisan o solucionan problemas de aplicaciones y recursos de la red. Al analizar un archivo de captura de paquetes, puede conocer los destinos principales con los que se comunicó la máquina virtual y los puertos que usaron.

  1. Inicia Wireshark.

  2. Cargue el archivo .cap de la sesión de captura de paquetes.

  3. En el menú Estadísticas , seleccione Estadísticas de IPv4 y, a continuación, seleccione Destinos y puertos.

    Captura de pantalla que muestra cómo llegar a la ventana Destinos y Puertos en Wireshark.

  4. En la ventana Destinos y puertos se enumeran los principales destinos y puertos con los que se comunicó la máquina virtual durante la sesión de captura. Solo se muestra la comunicación a través de un protocolo específico mediante un filtro. Por ejemplo, puede ver si alguna comunicación utilizó el Protocolo de escritorio remoto (RDP) introduciendo rdp en el cuadro Filtro de pantalla .

    Captura de pantalla que muestra los destinos RDP y los puertos que se utilizaron en Wireshark.

    Del mismo modo, puede filtrar por otros protocolos que le interesen.

Paso siguiente

Para obtener información sobre las otras herramientas de diagnóstico de red de Network Watcher, consulte:

Solución de problemas de conexiones salientes