Network Watcher-pakketopnamebestanden inspecteren en analyseren

Met behulp van de functie voor pakketopname van Azure Network Watcher kunt u capturesessies op uw virtuele Azure-machines (VM's) en virtuele-machineschaalsets initiëren en beheren:

• Vanuit Azure Portal, PowerShell en De Azure CLI.
• Programmatisch via de SDK en REST API.

Met pakketopname kunt u scenario's aanpakken waarvoor gegevens op pakketniveau zijn vereist door de informatie in een gemakkelijk bruikbare indeling op te geven. Door vrij beschikbare hulpprogramma's te gebruiken om de gegevens te inspecteren, kunt u de communicatie onderzoeken die naar en van uw VM's of schaalsets wordt verzonden om inzicht te krijgen in uw netwerkverkeer. Voorbeeld van het gebruik van pakketopnamegegevens zijn het onderzoeken van netwerk- of toepassingsproblemen, het detecteren van netwerkmisbruik en inbraakpogingen en het onderhouden van naleving van regelgeving.

In dit artikel leert u hoe u een populair opensource-hulpprogramma kunt gebruiken om een pakketopnamebestand te openen dat door Network Watcher is verstrekt. U leert ook hoe u de verbindingslatentie berekent, abnormaal verkeer identificeert en netwerkstatistieken onderzoekt.

Vereisten

• Een pakketopnamebestand dat is gemaakt via Network Watcher. Zie Pakketopnamen beheren voor virtuele machines met behulp van Azure Portal voor meer informatie.

• Wireshark. Zie de Wireshark-website voor meer informatie.

Netwerklatentie berekenen

In dit voorbeeld leert u hoe u de eerste retourtijd (RTT) van een TCP-gesprek (Transmission Control Protocol) tussen twee eindpunten kunt bekijken.

Wanneer er een TCP-verbinding tot stand is gebracht, volgen de eerste drie pakketten die in de verbinding worden verzonden, een patroon met de naam de drierichtingshanddruk. Door de eerste twee pakketten te onderzoeken die in deze handshake zijn verzonden (een eerste aanvraag van de client en een reactie van de server), kunt u de latentie berekenen. Deze latentie is de RTT. Zie Uitleg van de drierichtingshanddruk via TCP/IP voor meer informatie over het TCP-protocol en de drierichtingshanddruk.

1. Start Wireshark.

2. Laad het CAP-bestand van uw pakketopnamesessie.

3. Selecteer een [SYN]-pakket in uw opname. Dit pakket is het eerste pakket dat de client verzendt om een TCP-verbinding te initiëren.

4. Klik met de rechtermuisknop op het pakket, selecteer Volgen en selecteer vervolgens TCP Stream.

   

5. Vouw de sectie Transmission Control Protocol van het [SYN]-pakket uit en vouw vervolgens de sectie Vlaggen uit.

6. Controleer of de Syn-bit is ingesteld op 1 en klik er met de rechtermuisknop op.

7. Selecteer Toepassen als filter en selecteer vervolgens ... en geselecteerd om de pakketten weer te geven waarvoor de Syn-bit is ingesteld op 1 in de TCP-stream.

   De eerste twee pakketten die betrokken zijn bij de TCP-handshake zijn de pakketten [SYN] en [SYN, ACK]. U hebt het laatste pakket niet nodig in de handshake, het [ACK]-pakket. De client verzendt het [SYN]-pakket. Nadat de server het [SYN]-pakket heeft ontvangen, wordt het pakket [ACK] verzonden als bevestiging van het ontvangen van het [SYN]-pakket van de client.

   

8. Selecteer het [SCK]-pakket.

9. Vouw de sectie SEQ/ACK-analyse uit om de eerste RTT in seconden weer te geven.

   

Ongewenste protocollen zoeken

U kunt veel toepassingen uitvoeren op een virtuele Azure-machine. Veel van deze toepassingen communiceren via het netwerk, soms zonder uw expliciete toestemming. Door pakketopname te gebruiken om netwerkcommunicatie vast te leggen, kunt u onderzoeken hoe toepassingen communiceren via het netwerk. Met het onderzoek kunt u potentiële problemen identificeren en oplossen.

In dit voorbeeld leert u hoe u een pakketopname analyseert om ongewenste protocollen te vinden die mogelijk duiden op onbevoegde communicatie van een toepassing die wordt uitgevoerd op uw virtuele machine.

1. Open Wireshark.

2. Laad het CAP-bestand van uw pakketopnamesessie.

3. Selecteer Protocolhiërarchie in het menu Statistieken.

   

4. In het venster Protocolhiërarchiestatistieken worden alle protocollen vermeld die tijdens de opnamesessie werden gebruikt, samen met het aantal pakketten dat voor elk protocol is verzonden en ontvangen. Deze weergave is handig voor het vinden van ongewenst netwerkverkeer op uw virtuele machines of netwerk.

   

   In dit voorbeeld ziet u verkeer voor het Bit Listen-protocol, dat wordt gebruikt voor het delen van peer-to-peer-bestanden. Als beheerder, als u niet verwacht BitOpgegeven-verkeer op deze virtuele machine te zien, kunt u het volgende doen:

   • Verwijder de peer-to-peersoftware die op deze virtuele machine is geïnstalleerd.
   • Het verkeer blokkeren met behulp van een netwerkbeveiligingsgroep of een firewall.

Bestemmingen en poorten zoeken

Het is belangrijk om inzicht te krijgen in de typen verkeer, de eindpunten en de poorten voor communicatie wanneer u toepassingen en resources in uw netwerk bewaakt of problemen met toepassingen en resources opspoort. Door een pakketopnamebestand te analyseren, kunt u de belangrijkste bestemmingen leren waarmee uw virtuele machine heeft gecommuniceerd en de poorten waarmee ze hebben aangegeven.

1. Start Wireshark.

2. Laad het CAP-bestand van uw pakketopnamesessie.

3. Selecteer in het menu Statistieken de optie IPv4-statistieken en selecteer vervolgens Bestemmingen en poorten.

   

4. Het venster Bestemmingen en poorten bevat de belangrijkste bestemmingen en poorten waarmee de VIRTUELE machine heeft gecommuniceerd tijdens de opnamesessie. U geeft alleen communicatie weer via een specifiek protocol met behulp van een filter. U kunt bijvoorbeeld zien of er communicatie wordt gebruikt met RdP (Remote Desktop Protocol) door rdp in te voeren in het filtervak Weergave.

   

   Op dezelfde manier kunt u filteren op andere protocollen waarin u geïnteresseerd bent.

Volgende stap

Zie voor meer informatie over de andere diagnostische hulpprogramma's voor netwerken van Network Watcher:

Diagnostische hulpprogramma's voor Network Watcher