Поделиться через

Проверка и анализ файлов захвата пакетов Наблюдателя за сетями

С помощью функции захвата пакетов Наблюдателя за сетями Azure вы можете инициировать сеансы захвата и управлять ими на виртуальных машинах Azure и масштабируемых наборах виртуальных машин:

  • На портале Azure, в PowerShell и с помощью Azure CLI.
  • Программно с помощью SDK и REST API.

С помощью перехвата пакетов можно решать сценарии, требующие данных на уровне пакетов, предоставляя информацию в удобном для использования формате. Используя общедоступные средства для проверки данных, вы можете изучать сообщения, отправляемые на виртуальные машины или масштабируемые наборы и из них, чтобы получить аналитические сведения о сетевом трафике. Примеры использования данных захвата пакетов включают исследование проблем в сети или приложениях, обнаружение неправомерного использования сети и попыток вторжения, а также обеспечение соответствия нормативным требованиям.

В этой статье вы узнаете, как использовать популярное средство с открытым исходным кодом для открытия файла захвата пакетов, предоставленного Наблюдателем за сетями. Вы также узнаете, как вычислять задержку подключения, выявлять аномальный трафик и изучать сетевую статистику.

Предпосылки

Расчет задержки в сети

В этом примере вы узнаете, как просмотреть начальное время кругового пути (RTT) диалога протокола TCP между двумя конечными точками.

Когда TCP-соединение установлено, первые три пакета, отправленные в соединение, следуют шаблону, называемому трехсторонним рукопожатием. Изучив первые два пакета, отправленные в этом рукопожатии (первоначальный запрос от клиента и ответ от сервера), вы можете рассчитать задержку. Эта задержка и есть RTT. См. дополнительную информацию о протоколе TCP и трехстороннем рукопожатии в разделе «Объяснение трехстороннего рукопожатия через TCP/IP».

  1. Запустите Wireshark.

  2. Загрузите файл .cap из сеанса захвата пакетов.

  3. Выберите пакет [SYN] в процессе захвата. Этот пакет является первым пакетом, который клиент отправляет для инициирования TCP-соединения.

  4. Щелкните правой кнопкой мыши пакет, выберите «Следовать», а затем выберите «TCP Stream».

    Скриншот, на котором показано, как фильтровать пакеты TCP-потока в Wireshark.

  5. Разверните раздел Transmission Control Protocol пакета [SYN], а затем разверните раздел Flags .

  6. Убедитесь, что для бита Syn установлено значение 1, а затем щелкните его правой кнопкой мыши.

  7. Выберите Применить как фильтр, а затем выберите ... и выберите для отображения пакетов, для которых бит Synустановлен в 1 в потоке TCP.

    Первые два пакета, участвующие в рукопожатии TCP, — это пакеты [SYN] и [SYN, ACK]. Вам не нужен последний пакет в рукопожатии, которым является пакет [ACK]. Клиент отправляет пакет [SYN]. После того, как сервер получает пакет [SYN], он отправляет пакет [ACK] в качестве подтверждения получения пакета [SYN] от клиента.

    Скриншот, показывающий, как применить фильтр для отображения пакетов в потоке TCP в Wireshark.

  8. Выберите пакет [SCK].

  9. Разверните раздел анализа SEQ/ACK, чтобы отобразить исходное значение RTT в секундах.

    Скриншот, на котором показана задержка, представленная в виде начального времени кругового пути в секундах в Wireshark.

Поиск нежелательных протоколов

На виртуальной машине Azure может быть запущено множество приложений. Многие из этих приложений обмениваются данными по сети, иногда без вашего явного разрешения. Используя захват пакетов для записи сетевого взаимодействия, можно исследовать, как приложения взаимодействуют по сети. Расследование поможет вам выявить и устранить любые потенциальные проблемы.

В этом примере вы узнаете, как анализировать запись пакетов для поиска нежелательных протоколов, которые могут указывать на несанкционированный обмен данными из приложения, работающего на виртуальной машине.

  1. Откройте Wireshark.

  2. Загрузите файл .cap из сеанса захвата пакетов.

  3. В меню Статистика выберите пункт Иерархия протоколов.

    Скриншот, на котором показано, как попасть в иерархию протоколов из меню «Статистика» в Wireshark.

  4. В окне «Статистика иерархии протоколов» перечислены все протоколы, которые использовались во время сеанса перехвата, а также количество переданных и полученных пакетов для каждого протокола. Это представление полезно для поиска нежелательного сетевого трафика на виртуальных машинах или в сети.

    Скриншот, на котором показано окно статистики иерархии протоколов в Wireshark.

    В этом примере показан трафик для протокола BitTorrent, который используется для однорангового обмена файлами. Если вы как администратор не ожидаете увидеть трафик BitTorrent на этой виртуальной машине, вы можете:

    • Удалите одноранговое программное обеспечение, установленное на этой виртуальной машине.
    • Блокируйте трафик с помощью группы безопасности сети или брандмауэра.

Поиск пунктов назначения и портов

Понимание типов трафика, конечных точек и портов для связи важно при мониторинге или устранении неполадок приложений и ресурсов в сети. Анализируя файл захвата пакетов, можно узнать основные места назначения, с которыми взаимодействовала виртуальная машина, и порты, которые они использовали.

  1. Запустите Wireshark.

  2. Загрузите файл .cap из сеанса захвата пакетов.

  3. В меню Статистика выберите пункт Статистика IPv4 , а затем выберите Назначения и порты.

    Скриншот, на котором показано, как попасть в окно «Пункты назначения и порты» в Wireshark.

  4. В окне "Назначения и порты " перечислены основные назначения и порты, с которыми виртуальная машина взаимодействовала во время сеанса захвата. С помощью фильтра отображается только обмен данными по определенному протоколу. Например, можно узнать, используется ли протокол удаленного рабочего стола (RDP) для какого-либо взаимодействия, введя rdp в поле Фильтр отображения .

    Скриншот, на котором показаны назначения RDP и порты, которые использовались в Wireshark.

    Точно так же вы можете отфильтровать другие протоколы, которые вас интересуют.

Следующий шаг

Чтобы узнать о других средствах диагностики сети Наблюдателя за сетями, см. раздел:

Устранение неполадок с исходящими подключениями