Inspecionar e analisar arquivos de captura de pacotes do Observador de Rede

Usando o recurso de captura de pacotes do Observador de Rede do Azure, você pode iniciar e gerenciar sessões de captura em suas VMs (máquinas virtuais) do Azure e conjuntos de dimensionamento de máquinas virtuais:

• No portal do Azure, no PowerShell e na CLI do Azure.
• Programaticamente por meio do SDK e da API REST.

Com a captura de pacotes, você pode abordar cenários que exigem dados no nível do pacote fornecendo as informações em um formato prontamente utilizável. Usando ferramentas livremente disponíveis para inspecionar os dados, você pode examinar as comunicações enviadas de e para suas VMs ou conjuntos de dimensionamento para obter informações sobre o tráfego de rede. Os usos de exemplo de dados de captura de pacote incluem investigar problemas de rede ou aplicativo, detectar tentativas de uso indevido e intrusão de rede e manter a conformidade regulatória.

Neste artigo, você aprenderá a usar uma ferramenta de software livre popular para abrir um arquivo de captura de pacote que o Observador de Rede forneceu. Você também aprenderá a calcular a latência da conexão, identificar o tráfego anormal e examinar estatísticas de rede.

Pré-requisitos

• Um arquivo de captura de pacote criado por meio do Observador de Rede. Para obter mais informações, confira Gerenciar capturas de pacotes para máquinas virtuais usando o portal do Azure.

• Wireshark. Para obter mais informações, consulte o site do Wireshark.

calcular a latência da rede

Neste exemplo, você aprenderá a exibir o RTT (tempo de ida e volta) inicial de uma conversa TCP (Protocolo de Controle de Transmissão) entre dois pontos de extremidade.

Quando uma conexão TCP é estabelecida, os três primeiros pacotes enviados na conexão seguem um padrão chamado handshake de três vias. Examinando os dois primeiros pacotes enviados neste handshake (uma solicitação inicial do cliente e uma resposta do servidor), você pode calcular a latência. Essa latência é a RTT. Para obter mais informações sobre o protocolo TCP e o handshake de três vias, consulte Explicação do handshake de três vias por meio de TCP/IP.

1. Inicie o Wireshark.

2. Carregue o arquivo .cap da sessão de captura de pacotes.

3. Selecione um pacote [SYN] na captura. Esse pacote é o primeiro pacote que o cliente envia para iniciar uma conexão TCP.

4. Clique com o botão direito do mouse no pacote, selecione Seguir, e selecione Fluxo TCP.

   

5. Expanda a seção Protocolo de Controle de Transmissão do pacote [SYN] e expanda a seção Sinalizadores.

6. Confirme se o bit Syn está definido como 1 e clique com o botão direito do mouse nele.

7. Selecione Aplicar como Filtro e selecione ... e selecionou para mostrar os pacotes que têm o Syn bit definido como 1 dentro do fluxo TCP.

   Os dois primeiros pacotes envolvidos no handshake TCP são os pacotes [SYN] e [SYN, ACK]. Você não precisa do último pacote no handshake, que é o pacote [ACK]. O cliente envia o pacote [SYN]. Depois que o servidor recebe o pacote [SYN], ele envia o pacote [ACK] como uma confirmação de recebimento do pacote [SYN] do cliente.

   

8. Selecione o pacote [SCK].

9. Expanda a seção de análise SEQ/ACK para mostrar o RTT inicial em segundos.

   

Localizar protocolos indesejados

Você pode ter muitos aplicativos em execução em uma máquina virtual do Azure. Muitos desses aplicativos se comunicam pela rede, às vezes, sem sua permissão explícita. Usando a captura de pacotes para registrar a comunicação de rede, você pode investigar como os aplicativos se comunicam pela rede. A investigação ajuda você a identificar e resolver possíveis problemas.

Neste exemplo, aprenda como analisar uma captura de pacotes para localizar protocolos indesejados que possam indicar uma comunicação não autorizada de um aplicativo em execução na sua máquina virtual.

1. Abra o Wireshark.

2. Carregue o arquivo .cap da sessão de captura de pacotes.

3. No menu Estatísticas, selecione Hierarquia de Protocolo.

   

4. A janela Estatísticas da Hierarquia de Protocolo lista todos os protocolos que estavam em uso durante a sessão de captura, juntamente com o número de pacotes transmitidos e recebidos para cada protocolo. Essa exibição é útil para localizar o tráfego de rede indesejado em suas máquinas virtuais ou na rede.

   

   Este exemplo mostra o tráfego para o protocolo BitTorrent, que é usado para compartilhamento de arquivos ponto a ponto. Como administrador, se você não espera ver o tráfego do BitTorrent nesta máquina virtual, você também pode:

   • Remova o software ponto a ponto instalado nesta máquina virtual.
   • Bloqueie o tráfego usando um grupo de segurança de rede ou um firewall.

Localizar destinos e portas

Entender os tipos de tráfego, os pontos de extremidade e as portas de comunicação é importante quando você está monitorando ou solucionando problemas de aplicativos e recursos em sua rede. Analisando um arquivo de captura de pacotes, você pode aprender os principais destinos com os quais sua máquina virtual se comunicou e as portas que eles usaram.

1. Inicie o Wireshark.

2. Carregue o arquivo .cap da sessão de captura de pacotes.

3. No menu Estatísticas, selecione Estatísticas IPv4 e, em seguida, selecione Destinos e Portas.

   

4. A janela Destinos e Portas lista os principais destinos e portas com as quais a VM se comunicou durante a sessão de captura. Você exibe apenas a comunicação por meio de um protocolo específico usando um filtro. Por exemplo, você pode ver se alguma comunicação usou o RDP (Protocolo de Área de Trabalho Remota) inserindo rdp na caixa Exibição de filtro.

   

   Da mesma forma, você pode filtrar outros protocolos nos quais está interessado.

Próxima etapa

Para saber mais sobre as outras ferramentas de diagnóstico de rede do Observador de Rede, consulte:

Ferramentas de diagnóstico do Observador de Rede