A Network Watcher csomagrögzítési fájljainak vizsgálata és elemzése
Az Azure Network Watcher csomagrögzítési funkciójával kezdeményezhet és kezelhet rögzítési munkameneteket az Azure-beli virtuális gépeken és virtuálisgép-méretezési csoportokban:
- Az Azure Portalon, a PowerShellben és az Azure CLI-ben.
- Programozott módon az SDK-val és a REST API-val.
A csomagrögzítéssel olyan forgatókönyveket kezelhet, amelyek csomagszintű adatokat igényelnek az információk könnyen használható formátumban történő megadásával. Az adatok vizsgálatához szabadon elérhető eszközökkel megvizsgálhatja a virtuális gépekre vagy méretezési csoportokra küldött és onnan érkező kommunikációt, hogy betekintést nyerjen a hálózati forgalomba. A csomagrögzítési adatok például a hálózati vagy alkalmazásproblémák kivizsgálása, a hálózati visszaélések és behatolási kísérletek észlelése, valamint a jogszabályi megfelelőség fenntartása.
Ebből a cikkből megtudhatja, hogyan nyithat meg egy, a Network Watcher által biztosított csomagrögzítési fájlt egy népszerű nyílt forráskódú eszköz használatával. Azt is megtudhatja, hogyan számíthatja ki a kapcsolat késését, azonosíthatja a rendellenes forgalmat, és hogyan vizsgálhatja meg a hálózati statisztikákat.
Előfeltételek
A Network Watcheren keresztül létrehozott csomagrögzítési fájl. További információ: Csomagrögzítések kezelése virtuális gépekhez az Azure Portal használatával.
Wireshark. További információt a Wireshark webhelyén talál.
Hálózati késés kiszámítása
Ebben a példában megtudhatja, hogyan tekintheti meg a tcp-átvitelvezérlési protokoll (TCP) két végpont közötti beszélgetésének kezdeti oda-vissza menetideje (RTT) értékét.
TCP-kapcsolat létrehozásakor a kapcsolat első három csomagja a háromirányú kézfogás nevű mintát követi. Az ebben a kézfogásban küldött első két csomag (az ügyfél kezdeti kérése és a kiszolgáló válasza) vizsgálatával kiszámíthatja a késést. Ez a késés az RTT. A TCP protokollról és a háromirányú kézfogásról további információt a TCP/IP protokollon keresztüli háromirányú kézfogás magyarázatában talál.
Indítsa el a Wiresharkot.
Töltse be a .cap fájlt a csomagrögzítési munkamenetből.
Válasszon ki egy [SYN] csomagot a rögzítésben. Ez a csomag az első csomag, amelyet az ügyfél a TCP-kapcsolat kezdeményezéséhez küld.
Kattintson a jobb gombbal a csomagra, válassza a Követés, majd a TCP Stream lehetőséget.
Bontsa ki a [SYN] csomag Átviteli vezérlési protokoll szakaszát, majd bontsa ki a Jelzők szakaszt .
Győződjön meg arról, hogy a Syn bit értéke 1, majd kattintson rá a jobb gombbal.
Válassza az Alkalmaz szűrőként lehetőséget, majd válassza a ... és ki van jelölve azoknak a csomagoknak a megjelenítéséhez, amelyeknél a Syn bit értéke 1 a TCP-adatfolyamban.
A TCP-kézfogás első két csomagja a [SYN] és a [SYN, ACK] csomag. Nincs szükség az utolsó csomagra a kézfogásban, ami az [ACK] csomag. Az ügyfél elküldi a [SYN] csomagot. Miután a kiszolgáló megkapta a [SYN] csomagot, elküldi az [ACK] csomagot annak nyugtázásaként, hogy a [SYN] csomagot megkapja az ügyféltől.
Válassza ki az [SCK] csomagot.
Bontsa ki a Standard kiadás Q/ACK elemzési szakaszt a kezdeti RTT másodpercben való megjelenítéséhez.
Nem kívánt protokollok keresése
Számos alkalmazás futtatható egy Azure-beli virtuális gépen. Számos alkalmazás kommunikál a hálózaton keresztül, néha kifejezett engedély nélkül. A csomagrögzítéssel rögzítheti a hálózati kommunikációt, és megvizsgálhatja, hogyan kommunikálnak az alkalmazások a hálózaton keresztül. A vizsgálat segít azonosítani és kezelni a lehetséges problémákat.
Ebben a példában megtudhatja, hogyan elemezhet csomagrögzítést a nem kívánt protokollok megkereséséhez, amelyek a virtuális gépen futó alkalmazások jogosulatlan kommunikációját jelezhetik.
Nyissa meg a Wiresharkot.
Töltse be a .cap fájlt a csomagrögzítési munkamenetből.
A Statisztika menüben válassza a Protokollhierarchia lehetőséget.
A Protokollhierarchia statisztikái ablak felsorolja a rögzítési munkamenet során használt összes protokollt, valamint az egyes protokollokhoz továbbított és fogadott csomagok számát. Ez a nézet hasznos lehet a nem kívánt hálózati forgalom megkereséséhez a virtuális gépeken vagy a hálózaton.
Ez a példa a társközi fájlmegosztáshoz használt BitTorrent protokoll forgalmát mutatja be. Ha rendszergazdaként nem számít BitTorrent-forgalomra ezen a virtuális gépen, a következőket teheti:
- Távolítsa el a virtuális gépre telepített társközi szoftvert.
- Tiltsa le a forgalmat egy hálózati biztonsági csoport vagy tűzfal használatával.
Úti célok és portok keresése
A forgalom típusainak, a végpontoknak és a kommunikációs portoknak a megértése fontos a hálózatban lévő alkalmazások és erőforrások monitorozása vagy hibaelhárítása során. A csomagrögzítési fájl elemzésével megismerheti a virtuális gép által kommunikált legfontosabb célhelyeket és az általuk használt portokat.
Indítsa el a Wiresharkot.
Töltse be a .cap fájlt a csomagrögzítési munkamenetből.
A Statisztika menüben válassza az IPv4-statisztikák, majd a Célhelyek és portok lehetőséget.
A Célhelyek és portok ablak felsorolja azokat a legfontosabb célhelyeket és portokat, amelyekkel a virtuális gép kommunikált a rögzítési munkamenet során. Csak egy adott protokollon keresztüli kommunikációt jeleníthet meg egy szűrő használatával. Láthatja például, hogy a Távoli asztali protokoll (RDP) protokollt használó kommunikáció az RDP-t a Megjelenítés szűrőmezőbe való beírásával használja-e.
Hasonlóképpen szűrhet más, önt érdeklő protokollokra is.
Következő lépés
A Network Watcher egyéb hálózati diagnosztikai eszközeiről a következő témakörben tájékozódhat: