通過使用 Azure 網路觀察程式的數據包捕獲功能,可以在 Azure 虛擬機器 (VM) 和虛擬機器規模集上啟動和管理捕獲會話:
- 從 Azure 門戶、PowerShell 和 Azure CLI。
- 通過 SDK 和 REST API 以程式設計方式。
使用數據包捕獲,您可以通過以易於使用的格式提供資訊來解決需要數據包級數據的方案。 通過使用免費提供的工具檢查數據,您可以分析發送至和從您的 VM 或規模集發出的通信,從而深入了解網路流量。 數據包捕獲數據的示例用途包括調查網路或應用程式問題、檢測網路濫用和入侵嘗試以及維護法規合規性。
在本文中,你將瞭解如何使用常用的開源工具打開網路觀察程式提供的數據包捕獲檔。 您還將學習如何計算連接延遲、識別異常流量和檢查網路統計資訊。
先決條件
通過網路觀察程式創建的數據包捕獲檔。 有關詳細資訊,請參閱 使用 Azure 網路觀察程式啟動、停止、下載和刪除數據包捕獲。
Wireshark 有關更多資訊,請參閱 Wireshark網站。
計算網路延遲
在此範例中,您將瞭解如何查看兩個終端節點之間傳輸控制協定 (TCP) 對話的初始往返時間 (RTT)。
建立 TCP 連接后,連接中發送的前三個數據包遵循稱為三次握手的模式。 通過檢查此握手中發送的前兩個數據包(來自用戶端的初始請求和來自伺服器的回應),您可以計算延遲。 此延遲就是 RTT。 有關 TCP 協定和三次握手的更多資訊,請參閱 通過 TCP/IP 的三次握手說明。
啟動Wireshark。
從數據包捕獲會話載入 .cap 檔。
在捕獲中選擇一個 [SYN] 數據包。 此資料包是客戶端發送以啟動 TCP 連接的第一個資料包。
右鍵按單擊數據包,選擇 「關注」,然後選擇 「TCP 流」。。
展開 [SYN] 數據包的 Transmission Control Protocol 部分,然後展開 Flags 部分。
確認 Syn 位設置為 1,然後右鍵按兩下它。
選擇 Apply as Filter(應用為篩選器),然後選擇 ...並選擇 以顯示 TCP 流中 Syn 位元設為 1 的封包。
TCP 握手涉及的前兩個數據包是 [SYN] 和 [SYN, ACK] 數據包。 您不需要握手中的最後一個數據包,即 [ACK] 數據包。 客戶端發送 [SYN] 資料包。 伺服器收到 [SYN] 數據包后,發送 [ACK] 數據包,以確認從用戶端收到 [SYN] 數據包。
選擇 [SCK] 數據包。
展開 SEQ/ACK 分析 部分以顯示初始 RTT(以秒為單位)。
查找不需要的協定
您可以在 Azure 虛擬機上執行許多應用程式。 其中許多應用程式通過網路進行通信,有時無需您的明確許可。 通過使用數據包捕獲來記錄網路通信,您可以調查應用程式如何通過網路進行通信。 調查可説明您識別和解決任何潛在問題。
在此示例中,您將瞭解如何分析數據包捕獲以查找不需要的協定,這些協定可能表明來自虛擬機上運行的應用程式進行了未經授權的通信。
開啟 Wireshark。
從數據包捕獲會話載入 .cap 檔。
在 Statistics (統計資訊 ) 功能表上,選擇 Protocol Hierarchy (協定層次結構)。
Protocol Hierarchy Statistics (協定層次結構統計資訊) 視窗列出了捕獲會話期間使用的所有協定,以及每個協定發送和接收的數據包數。 此檢視可用於查找虛擬機或網路上不需要的網路流量。
此示例顯示了 BitTorrent 協定的流量,該協定用於對等文件共用。 作為管理員,如果您不希望在此虛擬機上看到 BitTorrent 流量,則可以:
- 刪除此虛擬機上已安裝的點對點軟體。
- 使用網路安全組或防火牆阻止流量。
尋找目的地和港口
在監控或排查網路中的應用程式和資源時,瞭解流量類型、終端節點和通信埠非常重要。 通過分析數據包捕獲檔,您可以了解虛擬機與之通信的主要目標以及它們使用的埠。
啟動Wireshark。
從數據包捕獲會話載入 .cap 檔。
在 Statistics (統計資訊 ) 功能表上,選擇 IPv4 Statistics (IPv4 統計資訊 ),然後選擇 Destinations and Ports(目標和埠)。
Destinations and Ports (目標和埠) 視窗列出了 VM 在捕獲會話期間與之通信的主要目標和埠。 使用篩選器僅顯示通過特定協議進行的通信。 例如,您可以通過在 Display filter (顯示篩選器) 框中輸入 rdp 來查看是否有任何通信使用遠端桌面協定 (RDP)。
同樣,您可以篩選您感興趣的其他協定。
後續步驟
若要瞭解網路觀察程式的其他網路診斷工具,請參閱: