A Network Watcher csomagrögzítési fájljainak vizsgálata és elemzése

  • Cikk

Az Azure Network Watcher csomagrögzítési funkciójával kezdeményezhet és kezelhet rögzítési munkameneteket az Azure-beli virtuális gépeken és virtuálisgép-méretezési csoportokban:

  • Az Azure Portalon, a PowerShellben és az Azure CLI-ben.
  • Programozott módon az SDK-val és a REST API-val.

A csomagrögzítéssel olyan forgatókönyveket kezelhet, amelyek csomagszintű adatokat igényelnek az információk könnyen használható formátumban történő megadásával. Az adatok vizsgálatához szabadon elérhető eszközökkel megvizsgálhatja a virtuális gépekre vagy méretezési csoportokra küldött és onnan érkező kommunikációt, hogy betekintést nyerjen a hálózati forgalomba. A csomagrögzítési adatok például a hálózati vagy alkalmazásproblémák kivizsgálása, a hálózati visszaélések és behatolási kísérletek észlelése, valamint a jogszabályi megfelelőség fenntartása.

Ebből a cikkből megtudhatja, hogyan nyithat meg egy, a Network Watcher által biztosított csomagrögzítési fájlt egy népszerű nyílt forráskódú eszköz használatával. Azt is megtudhatja, hogyan számíthatja ki a kapcsolat késését, azonosíthatja a rendellenes forgalmat, és hogyan vizsgálhatja meg a hálózati statisztikákat.

Előfeltételek

Hálózati késés kiszámítása

Ebben a példában megtudhatja, hogyan tekintheti meg a tcp-átvitelvezérlési protokoll (TCP) két végpont közötti beszélgetésének kezdeti oda-vissza menetideje (RTT) értékét.

TCP-kapcsolat létrehozásakor a kapcsolat első három csomagja a háromirányú kézfogás nevű mintát követi. Az ebben a kézfogásban küldött első két csomag (az ügyfél kezdeti kérése és a kiszolgáló válasza) vizsgálatával kiszámíthatja a késést. Ez a késés az RTT. A TCP protokollról és a háromirányú kézfogásról további információt a TCP/IP protokollon keresztüli háromirányú kézfogás magyarázatában talál.

  1. Indítsa el a Wiresharkot.

  2. Töltse be a .cap fájlt a csomagrögzítési munkamenetből.

  3. Válasszon ki egy [SYN] csomagot a rögzítésben. Ez a csomag az első csomag, amelyet az ügyfél a TCP-kapcsolat kezdeményezéséhez küld.

  4. Kattintson a jobb gombbal a csomagra, válassza a Követés, majd a TCP Stream lehetőséget.

    Screenshot that shows how to filter TCP stream packets in Wireshark.

  5. Bontsa ki a [SYN] csomag Átviteli vezérlési protokoll szakaszát, majd bontsa ki a Jelzők szakaszt .

  6. Győződjön meg arról, hogy a Syn bit értéke 1, majd kattintson rá a jobb gombbal.

  7. Válassza az Alkalmaz szűrőként lehetőséget, majd válassza a ... és ki van jelölve azoknak a csomagoknak a megjelenítéséhez, amelyeknél a Syn bit értéke 1 a TCP-adatfolyamban.

    A TCP-kézfogás első két csomagja a [SYN] és a [SYN, ACK] csomag. Nincs szükség az utolsó csomagra a kézfogásban, ami az [ACK] csomag. Az ügyfél elküldi a [SYN] csomagot. Miután a kiszolgáló megkapta a [SYN] csomagot, elküldi az [ACK] csomagot annak nyugtázásaként, hogy a [SYN] csomagot megkapja az ügyféltől.

    Screenshot that shows how to apply a filter to show the packets in a TCP stream in Wireshark.

  8. Válassza ki az [SCK] csomagot.

  9. Bontsa ki a Standard kiadás Q/ACK elemzési szakaszt a kezdeti RTT másodpercben való megjelenítéséhez.

    Screenshot that shows the latency represented as initial round-trip time in seconds in Wireshark.

Nem kívánt protokollok keresése

Számos alkalmazás futtatható egy Azure-beli virtuális gépen. Számos alkalmazás kommunikál a hálózaton keresztül, néha kifejezett engedély nélkül. A csomagrögzítéssel rögzítheti a hálózati kommunikációt, és megvizsgálhatja, hogyan kommunikálnak az alkalmazások a hálózaton keresztül. A vizsgálat segít azonosítani és kezelni a lehetséges problémákat.

Ebben a példában megtudhatja, hogyan elemezhet csomagrögzítést a nem kívánt protokollok megkereséséhez, amelyek a virtuális gépen futó alkalmazások jogosulatlan kommunikációját jelezhetik.

  1. Nyissa meg a Wiresharkot.

  2. Töltse be a .cap fájlt a csomagrögzítési munkamenetből.

  3. A Statisztika menüben válassza a Protokollhierarchia lehetőséget.

    Screenshot that shows how to get to Protocol Hierarchy from the Statistics menu in Wireshark.

  4. A Protokollhierarchia statisztikái ablak felsorolja a rögzítési munkamenet során használt összes protokollt, valamint az egyes protokollokhoz továbbított és fogadott csomagok számát. Ez a nézet hasznos lehet a nem kívánt hálózati forgalom megkereséséhez a virtuális gépeken vagy a hálózaton.

    Screenshot that shows the Protocol Hierarchy Statistics window in Wireshark.

    Ez a példa a társközi fájlmegosztáshoz használt BitTorrent protokoll forgalmát mutatja be. Ha rendszergazdaként nem számít BitTorrent-forgalomra ezen a virtuális gépen, a következőket teheti:

    • Távolítsa el a virtuális gépre telepített társközi szoftvert.
    • Tiltsa le a forgalmat egy hálózati biztonsági csoport vagy tűzfal használatával.

Úti célok és portok keresése

A forgalom típusainak, a végpontoknak és a kommunikációs portoknak a megértése fontos a hálózatban lévő alkalmazások és erőforrások monitorozása vagy hibaelhárítása során. A csomagrögzítési fájl elemzésével megismerheti a virtuális gép által kommunikált legfontosabb célhelyeket és az általuk használt portokat.

  1. Indítsa el a Wiresharkot.

  2. Töltse be a .cap fájlt a csomagrögzítési munkamenetből.

  3. A Statisztika menüben válassza az IPv4-statisztikák, majd a Célhelyek és portok lehetőséget.

    Screenshot that shows how to get to the Destinations and Ports window in Wireshark.

  4. A Célhelyek és portok ablak felsorolja azokat a legfontosabb célhelyeket és portokat, amelyekkel a virtuális gép kommunikált a rögzítési munkamenet során. Csak egy adott protokollon keresztüli kommunikációt jeleníthet meg egy szűrő használatával. Láthatja például, hogy a Távoli asztali protokoll (RDP) protokollt használó kommunikáció az RDP-t a Megjelenítés szűrőmezőbe való beírásával használja-e.

    Screenshot that shows the RDP destinations and the ports that were used in Wireshark.

    Hasonlóképpen szűrhet más, önt érdeklő protokollokra is.

Következő lépés

A Network Watcher egyéb hálózati diagnosztikai eszközeiről a következő témakörben tájékozódhat:

Network Watcher diagnosztikai eszközök