Inspektera och analysera insamlingsfiler för Network Watcher-paket

Genom att använda funktionen för paketinsamling i Azure Network Watcher kan du initiera och hantera insamlingssessioner på dina virtuella Azure-datorer (VM) och vm-skalningsuppsättningar:

  • Från Azure-portalen, PowerShell och Azure CLI.
  • Programmatiskt via SDK och REST API.

Med paketinsamling kan du hantera scenarier som kräver data på paketnivå genom att tillhandahålla informationen i ett enkelt användbart format. Genom att använda fritt tillgängliga verktyg för att inspektera data kan du undersöka kommunikationen som skickas till och från dina virtuella datorer eller skalningsuppsättningar för att få insikter om din nätverkstrafik. Exempel på användning av paketinsamlingsdata är att undersöka nätverks- eller programproblem, upptäcka missbruk av nätverk och intrångsförsök och upprätthålla regelefterlevnad.

I den här artikeln lär du dig hur du använder ett populärt verktyg med öppen källkod för att öppna en paketinsamlingsfil som Network Watcher tillhandahöll. Du får också lära dig hur du beräknar anslutningsfördröjning, identifierar onormal trafik och undersöker nätverksstatistik.

Förutsättningar

Beräkna nätverksfördröjning

I det här exemplet får du lära dig hur du visar den inledande tidsåtgången (RTT) för en TCP-konversation (Transmission Control Protocol) mellan två slutpunkter.

När en TCP-anslutning upprättas följer de tre första paketen som skickas i anslutningen ett mönster som kallas trevägshandskakning. Genom att undersöka de två första paketen som skickas i den här handskakningen (en första begäran från klienten och ett svar från servern) kan du beräkna svarstiden. Den här svarstiden är RTT. Mer information om TCP-protokollet och trevägshandskakningen finns i Förklaring av trevägshandskakning via TCP/IP.

  1. Starta Wireshark.

  2. Läs in .cap-filen från paketinsamlingssessionen.

  3. Välj ett [SYN]-paket i insamlingen. Det här paketet är det första paket som klienten skickar för att initiera en TCP-anslutning.

  4. Högerklicka på paketet, välj Följ och välj sedan TCP Stream.

    Screenshot that shows how to filter TCP stream packets in Wireshark.

  5. Expandera avsnittet Transmission Control Protocol i [SYN]-paketet och expandera sedan avsnittet Flaggor .

  6. Bekräfta att Syn-biten är inställd på 1 och högerklicka sedan på den.

  7. Välj Använd som filter och välj sedan ... och valt för att visa de paket som har Syn-biten inställd på 1 i TCP-strömmen.

    De första två paketen som ingår i TCP-handskakningen är paketen [SYN] och [SYN, ACK]. Du behöver inte det sista paketet i handskakningen, vilket är [ACK]-paketet. Klienten skickar [SYN]-paketet. När servern har tagit emot [SYN]-paketet skickar den [ACK]-paketet som en bekräftelse på att [SYN]-paketet tas emot från klienten.

    Screenshot that shows how to apply a filter to show the packets in a TCP stream in Wireshark.

  8. Välj [SCK]-paketet.

  9. Expandera avsnittet SEQ/ACK-analys för att visa den första RTT i sekunder.

    Screenshot that shows the latency represented as initial round-trip time in seconds in Wireshark.

Hitta oönskade protokoll

Du kan ha många program som körs på en virtuell Azure-dator. Många av dessa program kommunicerar via nätverket, ibland utan din uttryckliga behörighet. Genom att använda paketinsamling för att registrera nätverkskommunikation kan du undersöka hur program kommunicerar via nätverket. Undersökningen hjälper dig att identifiera och åtgärda eventuella problem.

I det här exemplet får du lära dig hur du analyserar en paketinsamling för att hitta oönskade protokoll som kan tyda på obehörig kommunikation från ett program som körs på den virtuella datorn.

  1. Öppna Wireshark.

  2. Läs in .cap-filen från paketinsamlingssessionen.

  3. På menyn Statistik väljer du Protokollhierarki.

    Screenshot that shows how to get to Protocol Hierarchy from the Statistics menu in Wireshark.

  4. Fönstret Statistik för protokollhierarki visar alla protokoll som användes under insamlingssessionen, tillsammans med antalet paket som överförts och tagits emot för varje protokoll. Den här vyn är användbar för att hitta oönskad nätverkstrafik på dina virtuella datorer eller nätverk.

    Screenshot that shows the Protocol Hierarchy Statistics window in Wireshark.

    Det här exemplet visar trafik för BitTorrent-protokollet, som används för peer-to-peer-fildelning. Om du som administratör inte förväntar dig att se BitTorrent-trafik på den här virtuella datorn kan du antingen:

    • Ta bort peer-to-peer-programvaran som är installerad på den här virtuella datorn.
    • Blockera trafiken med hjälp av en nätverkssäkerhetsgrupp eller en brandvägg.

Hitta mål och portar

Det är viktigt att förstå trafiktyperna, slutpunkterna och kommunikationsportarna när du övervakar eller felsöker program och resurser i nätverket. Genom att analysera en paketinsamlingsfil kan du lära dig de främsta målen som din virtuella dator kommunicerade med och de portar som de använde.

  1. Starta Wireshark.

  2. Läs in .cap-filen från paketinsamlingssessionen.

  3. På menyn Statistik väljer du IPv4-statistik och sedan Mål och portar.

    Screenshot that shows how to get to the Destinations and Ports window in Wireshark.

  4. Fönstret Mål och portar visar de främsta mål och portar som den virtuella datorn kommunicerade med under avbildningssessionen. Du visar endast kommunikation via ett specifikt protokoll med hjälp av ett filter. Du kan till exempel se om någon kommunikation använde RDP (Remote Desktop Protocol) genom att ange rdp i filterrutan Visa.

    Screenshot that shows the RDP destinations and the ports that were used in Wireshark.

    På samma sätt kan du filtrera efter andra protokoll som du är intresserad av.

Gå vidare

Mer information om de andra verktygen för nätverksdiagnostik i Network Watcher finns i: