Проверка и анализ файлов записи пакетов Наблюдатель за сетями

  • Статья

С помощью функции отслеживания пакетов Наблюдатель за сетями Azure можно инициировать сеансы записи и управлять ими на виртуальных машинах Azure и масштабируемых наборах виртуальных машин.

  • Из портал Azure, PowerShell и Azure CLI.
  • Программно с помощью пакета SDK и REST API.

С помощью отслеживания пакетов можно решить сценарии, требующие данных на уровне пакетов, предоставив информацию в легко пригодном для использования формате. С помощью бесплатных средств для проверки данных можно изучить обмен данными, отправленные на виртуальные машины или масштабируемые наборы, чтобы получить аналитические сведения о сетевом трафике. Пример использования данных сбора пакетов включает изучение проблем сети или приложения, обнаружение неправильного использования сети и попытки вторжения и поддержание соответствия нормативным требованиям.

В этой статье вы узнаете, как использовать популярное средство с открытым кодом для открытия файла записи пакетов, который Наблюдатель за сетями предоставлен. Вы также узнаете, как вычислить задержку подключения, определить ненормальный трафик и изучить статистику сети.

Необходимые компоненты

расчет задержки в сети.

В этом примере вы узнаете, как просмотреть начальное время кругового пути (RTT) беседы протокола TCP между двумя конечными точками.

При установке TCP-подключения первые три пакета, отправленные в соединении, следуют шаблону трехстороннего подтверждения. Проверив первые два пакета, отправленных в этом подтверждении (первоначальный запрос от клиента и ответ с сервера), вы можете вычислить задержку. Эта задержка представляет собой RTT. Дополнительные сведения о протоколе TCP и трехстороннем подтверждении см. в разделе "Объяснение трехстороннего подтверждения через TCP/IP".

  1. Запустите Wireshark.

  2. Загрузите CAP-файл из сеанса записи пакетов.

  3. Выберите пакет [SYN] в записи. Этот пакет является первым пакетом, который клиент отправляет для запуска TCP-подключения.

  4. Щелкните пакет правой кнопкой мыши, выберите "Следовать", а затем выберите TCP Stream.

    Screenshot that shows how to filter TCP stream packets in Wireshark.

  5. Разверните раздел протокола управления передачей пакета [SYN], а затем разверните раздел "Флаги".

  6. Убедитесь, что бит Syn имеет значение 1, а затем щелкните его правой кнопкой мыши.

  7. Выберите " Применить как фильтр", а затем выберите ... и выбран для отображения пакетов, имеющих бит Syn , равный 1 в tcp-потоке.

    Первые два пакета, участвующие в подтверждении TCP, являются пакетами [SYN] и [SYN, ACK]. Вам не нужен последний пакет в подтверждении, который является пакетом [ACK]. Клиент отправляет пакет [SYN]. После того как сервер получает пакет [SYN], он отправляет пакет [ACK] в качестве подтверждения получения пакета [SYN] от клиента.

    Screenshot that shows how to apply a filter to show the packets in a TCP stream in Wireshark.

  8. Выберите пакет [SCK].

  9. Разверните раздел анализа SEQ/ACK, чтобы отобразить начальный RTT в секундах.

    Screenshot that shows the latency represented as initial round-trip time in seconds in Wireshark.

Поиск нежелательных протоколов

Вы можете использовать множество приложений, работающих на виртуальной машине Azure. Многие из этих приложений взаимодействуют по сети, иногда без явного разрешения. С помощью записи записи пакетов для записи сетевого взаимодействия можно исследовать, как приложения взаимодействуют по сети. Исследование помогает выявлять и устранять потенциальные проблемы.

В этом примере вы узнаете, как проанализировать запись пакетов, чтобы найти нежелательные протоколы, которые могут указывать на несанкционированное взаимодействие с приложением, работающем на виртуальной машине.

  1. Откройте Wireshark.

  2. Загрузите CAP-файл из сеанса записи пакетов.

  3. В меню "Статистика" выберите "Иерархия протоколов".

    Screenshot that shows how to get to Protocol Hierarchy from the Statistics menu in Wireshark.

  4. В окне статистики иерархии протоколов перечислены все протоколы, используемые во время сеанса записи, а также количество передаваемых и полученных пакетов для каждого протокола. Это представление полезно для поиска нежелательного сетевого трафика на виртуальных машинах или в сети.

    Screenshot that shows the Protocol Hierarchy Statistics window in Wireshark.

    В этом примере показан трафик для протокола BitTorrent, который используется для однорангового общего доступа к файлам. Если вы не ожидаете, что трафик BitTorrent на этой виртуальной машине отображается администратором, можно:

    • Удалите одноранговую программу, установленную на этой виртуальной машине.
    • Блокировать трафик с помощью группы безопасности сети или брандмауэра.

Поиск назначений и портов

Понимание типов трафика, конечных точек и портов для обмена данными важно при мониторинге или устранении неполадок приложений и ресурсов в сети. Анализируя файл отслеживания пакетов, вы можете узнать основные назначения, с которыми общалась виртуальная машина, и порты, с которыми они использовались.

  1. Запустите Wireshark.

  2. Загрузите CAP-файл из сеанса записи пакетов.

  3. В меню "Статистика" выберите "Статистика IPv4", а затем выберите "Назначения" и "Порты".

    Screenshot that shows how to get to the Destinations and Ports window in Wireshark.

  4. В окне "Назначения" и "Порты " перечислены основные назначения и порты, с которыми виртуальная машина взаимодействовала во время сеанса записи. Связь отображается только через определенный протокол с помощью фильтра. Например, можно увидеть, используется ли связь с протоколом удаленного рабочего стола (RDP), введя rdp в поле фильтра отображения.

    Screenshot that shows the RDP destinations and the ports that were used in Wireshark.

    Аналогичным образом можно отфильтровать другие протоколы, которые вам нужны.

Следующий шаг

Дополнительные сведения о других средствах диагностики сети Наблюдатель за сетями см. в следующих статье:

средства диагностики Наблюдатель за сетями