Partager via

Inspecter et analyser les fichiers de capture de paquets Network Watcher

À l’aide de la fonctionnalité de capture de paquets d’Azure Network Watcher, vous pouvez lancer et gérer des sessions de capture sur vos machines virtuelles Azure et vos groupes de machines virtuelles identiques :

  • À partir du portail Azure, de PowerShell et d’Azure CLI.
  • Par programmation via le SDK et l’API REST.

Avec la capture de paquets, vous pouvez résoudre des scénarios qui nécessitent des données au niveau des paquets en fournissant les informations dans un format facilement utilisable. En utilisant des outils disponibles gratuitement pour inspecter les données, vous pouvez examiner les communications envoyées vers et depuis vos machines virtuelles ou groupes identiques pour obtenir des informations sur votre trafic réseau. Les données de capture de paquets comprennent l’investigation des problèmes de réseau ou d’application, la détection des abus de réseau et des tentatives d’intrusion, ainsi que le maintien de la conformité réglementaire.

Dans cet article, vous allez apprendre à utiliser un outil open source populaire pour ouvrir un fichier de capture de paquets fourni par Network Watcher. Vous apprendrez également à calculer la latence de connexion, à identifier le trafic anormal et à examiner les statistiques du réseau.

Conditions préalables

Calculer la latence du réseau

Dans cet exemple, vous allez apprendre à afficher le temps d’aller-retour initial (RTT) d’une conversation TCP (Transmission Control Protocol) entre deux points de terminaison.

Lorsqu’une connexion TCP est établie, les trois premiers paquets envoyés dans la connexion suivent un modèle appelé handshake en trois temps. En examinant les deux premiers paquets envoyés dans cette poignée de main (une demande initiale du client et une réponse du serveur), vous pouvez calculer la latence. Cette latence est la durée d’aller-retour. Pour plus d’informations sur le protocole TCP et l’établissement de liaison à trois voies, consultez Explication de l’établissement de liaison à trois voies via TCP/IP.

  1. Lancez Wireshark.

  2. Chargez le fichier .cap à partir de votre session de capture de paquets.

  3. Sélectionnez un paquet [SYN] dans votre capture. Ce paquet est le premier paquet que le client envoie pour initier une connexion TCP.

  4. Cliquez avec le bouton droit sur le paquet, sélectionnez Suivre, puis Flux TCP.

    Capture d’écran qui montre comment filtrer les paquets de flux TCP dans Wireshark.

  5. Développez la section Protocole de contrôle de transmission du paquet [SYN], puis développez la section Indicateurs .

  6. Vérifiez que le bit Syn est défini sur 1, puis cliquez dessus avec le bouton droit de la souris.

  7. Sélectionnez Appliquer en tant que filtre, puis sélectionnez ... et sélectionné pour afficher les paquets dont le bit Syn est défini sur 1 dans le flux TCP.

    Les deux premiers paquets impliqués dans le handshake TCP sont les paquets [SYN] et [SYN, ACK]. Vous n’avez pas besoin du dernier paquet dans la poignée de main, qui est le paquet [ACK]. Le client envoie le paquet [SYN]. Une fois que le serveur a reçu le paquet [SYN], il envoie le paquet [ACK] en guise d’accusé de réception du paquet [SYN] du client.

    Capture d’écran qui montre comment appliquer un filtre pour afficher les paquets dans un flux TCP dans Wireshark.

  8. Sélectionnez le paquet [SCK].

  9. Développez la section d’analyse SEQ/ACK pour afficher le RTT initial en secondes.

    Capture d’écran qui montre la latence représentée par le temps d’aller-retour initial en secondes dans Wireshark.

Identifiez les protocoles indésirables

Vous pouvez avoir de nombreuses applications exécutées sur une machine virtuelle Azure. Beaucoup de ces applications communiquent sur le réseau, parfois sans votre autorisation explicite. En utilisant la capture de paquets pour enregistrer les communications réseau, vous pouvez examiner comment les applications communiquent sur le réseau. L’enquête vous aide à identifier et à résoudre tout problème potentiel.

Dans cet exemple, vous allez apprendre à analyser une capture de paquets pour trouver des protocoles indésirables susceptibles d’indiquer une communication non autorisée à partir d’une application exécutée sur votre machine virtuelle.

  1. Ouvrez Wireshark.

  2. Chargez le fichier .cap à partir de votre session de capture de paquets.

  3. Dans le menu Statistiques , sélectionnez Hiérarchie de protocoles.

    Capture d’écran qui montre comment accéder à la hiérarchie des protocoles à partir du menu Statistiques de Wireshark.

  4. La fenêtre Statistiques de hiérarchie des protocoles répertorie tous les protocoles utilisés lors de la session de capture, ainsi que le nombre de paquets transmis et reçus pour chaque protocole. Cette vue est utile pour trouver le trafic réseau indésirable sur vos machines virtuelles ou votre réseau.

    Capture d’écran montrant la fenêtre Statistiques de la hiérarchie des protocoles dans Wireshark.

    Cet exemple montre le trafic pour le protocole BitTorrent, qui est utilisé pour le partage de fichiers peer-to-peer. En tant qu’administrateur, si vous ne vous attendez pas à voir du trafic BitTorrent sur cette machine virtuelle, vous pouvez soit :

    • Supprimez le logiciel d’égal à égal installé sur cette machine virtuelle.
    • Bloquez le trafic à l’aide d’un groupe de sécurité réseau ou d’un pare-feu.

Trouver des destinations et des ports

Il est important de comprendre les types de trafic, les points de terminaison et les ports de communication lorsque vous surveillez ou dépannez des applications et des ressources de votre réseau. En analysant un fichier de capture de paquets, vous pouvez connaître les principales destinations avec lesquelles votre machine virtuelle a communiqué et les ports qu’elle a utilisés.

  1. Lancez Wireshark.

  2. Chargez le fichier .cap à partir de votre session de capture de paquets.

  3. Dans le menu Statistiques , sélectionnez Statistiques IPv4 , puis Destinations et ports.

    Capture d’écran qui montre comment accéder à la fenêtre Destinations et ports dans Wireshark.

  4. La fenêtre Destinations et ports répertorie les principales destinations et ports avec lesquels la machine virtuelle a communiqué au cours de la session de capture. Vous n’affichez que la communication via un protocole spécifique à l’aide d’un filtre. Par exemple, vous pouvez voir si une communication a utilisé le protocole RDP (Remote Desktop Protocol) en entrant rdp dans la zone de filtre Affichage .

    Capture d’écran qui montre les destinations RDP et les ports qui ont été utilisés dans Wireshark.

    De même, vous pouvez filtrer d’autres protocoles qui vous intéressent.

Étape suivante

Pour en savoir plus sur les autres outils de diagnostic réseau de Network Watcher, consultez :

Résoudre les problèmes de connexions sortantes