Udostępnij za pośrednictwem

Sprawdzanie i analizowanie plików przechwytywania pakietów usługi Network Watcher

  • Artykuł

Korzystając z funkcji przechwytywania pakietów usługi Azure Network Watcher, można inicjować sesje przechwytywania i zarządzać nimi na maszynach wirtualnych platformy Azure i zestawach skalowania maszyn wirtualnych:

  • Z poziomu witryny Azure Portal, programu PowerShell i interfejsu wiersza polecenia platformy Azure.
  • Programowo za pomocą zestawu SDK i interfejsu API REST.

W przypadku przechwytywania pakietów można rozwiązywać scenariusze, które wymagają danych na poziomie pakietów, dostarczając informacje w łatwo dostępnym formacie. Korzystając z bezpłatnych narzędzi do sprawdzania danych, możesz zbadać komunikację wysłaną do i z maszyn wirtualnych lub zestawów skalowania, aby uzyskać wgląd w ruch sieciowy. Przykładowe zastosowania danych przechwytywania pakietów obejmują badanie problemów z siecią lub aplikacją, wykrywanie nieprawidłowego użycia sieci i prób włamania oraz utrzymywanie zgodności z przepisami.

Z tego artykułu dowiesz się, jak za pomocą popularnego narzędzia open source otworzyć plik przechwytywania pakietów udostępniony przez usługę Network Watcher. Dowiesz się również, jak obliczyć opóźnienie połączenia, zidentyfikować nietypowy ruch i zbadać statystyki sieci.

Wymagania wstępne

Obliczanie opóźnienia sieci

W tym przykładzie dowiesz się, jak wyświetlić początkowy czas rundy (RTT) konwersacji protokołu TRANSMISSION Control Protocol (TCP) między dwoma punktami końcowymi.

Po nawiązaniu połączenia TCP pierwsze trzy pakiety wysyłane w połączeniu są zgodne ze wzorcem nazywanym uzgadnianiem trzykierunkowym. Sprawdzając pierwsze dwa pakiety wysyłane w tym uścisku dłoni (początkowe żądanie od klienta i odpowiedź z serwera), możesz obliczyć opóźnienie. To opóźnienie to RTT. Aby uzyskać więcej informacji na temat protokołu TCP i trójkierunkowego uzgadniania, zobacz Wyjaśnienie trójkierunkowego uzgadniania za pośrednictwem protokołu TCP/IP.

  1. Uruchom narzędzie Wireshark.

  2. Załaduj plik cap z sesji przechwytywania pakietów.

  3. Wybierz pakiet [SYN] w przechwyceniu. Ten pakiet jest pierwszym pakietem wysyłanym przez klienta w celu zainicjowania połączenia TCP.

  4. Kliknij prawym przyciskiem myszy pakiet, wybierz pozycję Obserwuj, a następnie wybierz pozycję Strumień TCP.

    Screenshot that shows how to filter TCP stream packets in Wireshark.

  5. Rozwiń sekcję Transmission Control Protocol pakietu [SYN], a następnie rozwiń sekcję Flags (Flagi ).

  6. Upewnij się, że wartość Bit syn jest ustawiona na 1, a następnie kliknij ją prawym przyciskiem myszy.

  7. Wybierz pozycję Zastosuj jako filtr, a następnie wybierz pozycję ... i wybrano, aby wyświetlić pakiety, które mają bit Syn ustawiony na 1 w strumieniu TCP.

    Dwa pierwsze pakiety zaangażowane w uzgadnianie TCP to pakiety [SYN] i [SYN, ACK]. Nie potrzebujesz ostatniego pakietu w uścisku dłoni, który jest pakietem [ACK]. Klient wysyła pakiet [SYN]. Po odebraniu pakietu [SYN] serwer wysyła pakiet [ACK] jako potwierdzenie odebrania pakietu [SYN] od klienta.

    Screenshot that shows how to apply a filter to show the packets in a TCP stream in Wireshark.

  8. Wybierz pakiet [SCK].

  9. Rozwiń sekcję analizy SEQ/ACK, aby wyświetlić początkowy protokół RTT w sekundach.

    Screenshot that shows the latency represented as initial round-trip time in seconds in Wireshark.

Znajdowanie niechcianych protokołów

Na maszynie wirtualnej platformy Azure może być uruchomionych wiele aplikacji. Wiele z tych aplikacji komunikuje się za pośrednictwem sieci, czasami bez wyraźnego uprawnienia. Korzystając z funkcji przechwytywania pakietów do rejestrowania komunikacji sieciowej, możesz zbadać, w jaki sposób aplikacje komunikują się za pośrednictwem sieci. Badanie pomaga zidentyfikować i rozwiązać wszelkie potencjalne problemy.

W tym przykładzie dowiesz się, jak analizować przechwytywanie pakietów w celu znalezienia niechcianych protokołów, które mogą wskazywać na nieautoryzowaną komunikację z aplikacji uruchomionej na maszynie wirtualnej.

  1. Otwórz narzędzie Wireshark.

  2. Załaduj plik cap z sesji przechwytywania pakietów.

  3. W menu Statystyka wybierz pozycję Hierarchia protokołu.

    Screenshot that shows how to get to Protocol Hierarchy from the Statistics menu in Wireshark.

  4. Okno Statystyka hierarchii protokołu zawiera listę wszystkich protokołów, które były używane podczas sesji przechwytywania, wraz z liczbą pakietów przesyłanych i odbieranych dla każdego protokołu. Ten widok jest przydatny do znajdowania niechcianego ruchu sieciowego na maszynach wirtualnych lub w sieci.

    Screenshot that shows the Protocol Hierarchy Statistics window in Wireshark.

    W tym przykładzie pokazano ruch dla protokołu BitGp, który jest używany do współużytkowania plików równorzędnych. Jako administrator, jeśli nie spodziewasz się, że na tej maszynie wirtualnej będzie widoczny ruch BitMyślnie, możesz wykonać następujące czynności:

    • Usuń oprogramowanie równorzędne zainstalowane na tej maszynie wirtualnej.
    • Blokuj ruch przy użyciu sieciowej grupy zabezpieczeń lub zapory.

Znajdowanie miejsc docelowych i portów

Zrozumienie typów ruchu, punktów końcowych i portów komunikacji jest ważne podczas monitorowania lub rozwiązywania problemów z aplikacjami i zasobami w sieci. Analizując plik przechwytywania pakietów, możesz poznać najważniejsze miejsca docelowe, z którymi maszyna wirtualna komunikowała się i z używanymi portami.

  1. Uruchom narzędzie Wireshark.

  2. Załaduj plik cap z sesji przechwytywania pakietów.

  3. W menu Statystyka wybierz pozycję Statystyki IPv4, a następnie wybierz pozycję Miejsca docelowe i porty.

    Screenshot that shows how to get to the Destinations and Ports window in Wireshark.

  4. Okno Miejsca docelowe i porty zawiera listę najważniejszych miejsc docelowych i portów, z którymi maszyna wirtualna komunikowała się podczas sesji przechwytywania. Komunikacja odbywa się tylko za pośrednictwem określonego protokołu przy użyciu filtru. Na przykład możesz sprawdzić, czy jakakolwiek komunikacja używała protokołu RDP (Remote Desktop Protocol), wprowadzając rdp w polu Filtr wyświetlania.

    Screenshot that shows the RDP destinations and the ports that were used in Wireshark.

    Podobnie można filtrować pod kątem innych zainteresowanych protokołów.

Następny krok

Aby dowiedzieć się więcej o innych narzędziach diagnostycznych sieci usługi Network Watcher, zobacz:

Narzędzia diagnostyczne usługi Network Watcher