数据包捕获包含有助于执行网络取证和深度数据包检查的网络数据。 许多开源工具可用于分析数据包捕获并获取有关网络的见解。 其中一种工具是 CapAnalysis,它是用于数据包捕获的开源可视化工具。
可视化数据包捕获数据是快速获取网络中模式和异常的见解的宝贵方法。 可视化还提供了一种以易于理解的格式共享此类见解的方法。
使用 Azure 网络观察程序,可以通过在网络上执行数据包捕获来捕获数据。 本文演示了如何将 CapAnalysis 与网络观察程序结合使用来可视化和获取数据包捕获的见解。
Scenario
本文假设在 Azure 中的虚拟机(VM)上部署了一个简单的 Web 应用程序。 你希望使用开源工具可视化其网络流量,并快速识别流模式和任何异常。 使用网络观察程序,可以获取网络环境的数据包捕获,并直接将其存储在存储帐户上。 然后,CapAnalysis 可以从存储 Blob 中直接引入数据包捕获,并将其内容进行可视化。
安装 CapAnalysis
若要在虚拟机上安装 CapAnalysis,请参阅官方 CapAnalysis 说明。
若要远程访问 CapAnalysis,需要通过添加新的入站安全规则在 VM 上打开端口 9877。 有关在网络安全组(NSG)中创建规则的详细信息,请参阅 “创建安全规则”。 成功添加规则后,应该能够从 http://<PublicIP>:9877中访问 CapAnalysis。
使用 Azure 网络观察程序启动数据包捕获会话
使用网络观察程序,可以捕获数据包来跟踪虚拟机进出的流量。 若要启动数据包捕获会话,请按照《使用网络观察程序管理数据包捕获》文章中的说明进行操作。 数据包捕获可以存储在 CapAnalysis 可以访问的存储 Blob 中。
将数据包捕获上传到 CapAnalysis
可以直接从网络监视器上传捕获的数据包。 使用“ 从 URL 导入 ”选项卡,并提供存储数据包捕获的存储 Blob 的链接。
提供 CapAnalysis 链接时,请务必将共享访问签名 (SAS) 令牌追加到存储 Blob URL。 从存储帐户转到 共享访问签名 ,指定允许的权限,然后选择“ 生成 SAS ”按钮以创建令牌。 然后,可以将 SAS 令牌追加到捕获数据包的块存储 URL。
生成的 URL 如下所示 http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere。
分析数据包捕获
CapAnalysis 提供了各种选项来可视化数据包捕获。 每一个从不同的角度进行分析。 通过这些视觉摘要,可以了解网络流量趋势并快速发现任何异常活动。
以下列表描述了一些 CapAnalysis 功能:
流表
“ 流 ”选项卡列出数据包数据中的流。 对于每个流,选项卡显示时间戳、源 IP 和目标 IP 以及关联协议等信息。
协议概述
“ 概述 ”选项卡显示通过各种协议和地理位置分布网络流量。
统计信息
“ 统计信息 ”选项卡显示网络流量统计信息。 此信息包括从源 IP 和目标 IP 发送和接收的字节、每个源 IP 和目标 IP 的流、用于各种流的协议以及流的持续时间。
地理地图
“GeoMAP”选项卡提供网络流量的地图视图。 颜色根据每个国家/地区的流量进行调整。 可以选择突出显示的国家/地区以查看其他流统计信息,例如从国家/地区 IP 发送和接收的数据的比例。
过滤 器
CapAnalysis 提供了一组筛选器,用于快速分析特定数据包。 例如,可以选择按协议筛选数据,以获取有关该流量子集的特定见解。
若要详细了解 CapAnalysis 的所有功能,请转到 该工具的网站。
结论
可以使用网络观察程序数据包捕获功能捕获必要的数据来执行网络取证并更好地了解网络流量。 本文中的方案展示了如何使用开源可视化工具集成来自网络观察程序的数据包捕获。 通过使用 CapAnalysis 等工具来可视化数据包捕获,可以执行深度数据包检查并快速识别网络流量的趋势。