檢查和分析 網路監看員 封包擷取檔案
您可以使用 Azure 網路監看員 的封包擷取功能,在 Azure 虛擬機器 (VM) 和虛擬機擴展集上起始和管理擷取工作階段:
- 從 Azure 入口網站、PowerShell 和 Azure CLI。
- 以程序設計方式透過SDK和REST API。
使用封包擷取,您可以藉由以易用的格式提供資訊來解決需要封包層級數據的案例。 藉由使用免費可用的工具來檢查數據,您可以檢查傳送至 VM 或擴展集的通訊,以深入瞭解您的網路流量。 封包擷取數據的範例使用包括調查網路或應用程式問題、偵測網路誤用和入侵嘗試,以及維護法規合規性。
在本文中,您將瞭解如何使用熱門的開放原始碼工具來開啟 網路監看員 提供的封包擷取檔案。 您也會瞭解如何計算連線延遲、識別異常流量,以及檢查網路統計數據。
必要條件
透過 網路監看員 建立的封包擷取檔案。 如需詳細資訊,請參閱使用 Azure 入口網站 管理虛擬機的封包擷取。
Wireshark。 如需詳細資訊,請參閱 Wireshark網站。
計算網路等待時間
在此範例中,您會瞭解如何檢視兩個端點之間傳輸控制通訊協定 (TCP) 交談的初始來回時間 (RTT)。
建立 TCP 連線時,在連線中傳送的前三個封包會遵循稱為三向交握的模式。 藉由檢查在此交握中傳送的前兩個封包(來自用戶端的初始要求和伺服器的回應),您可以計算延遲。 此延遲是 RTT。 如需 TCP 通訊協定和三向交握的詳細資訊,請參閱 透過 TCP/IP 進行三向交握的說明。
啟動Wireshark。
從封包擷取會話載入 .cap 檔案。
在擷取中選取 [SYN] 封包。 此封包是客戶端傳送以起始 TCP 連線的第一個封包。
以滑鼠右鍵按兩下封包,選取 [追蹤],然後選取 [ TCP 數據流]。
展開 [SYN] 封包的 [ 傳輸控制通訊協定 ] 區段,然後展開 [旗標] 區 段。
確認 Syn bit 設定為 1,然後按鼠右鍵。
選取 [套用為篩選],然後選取 ...。並選取以顯示在 TCP 數據流中將 Syn 位設定為 1 的封包。
TCP 交握所涉及的前兩個封包是 [SYN] 和 [SYN, ACK] 封包。 您不需要交握的最後一個封包,也就是 [ACK] 封包。 用戶端會傳送 [SYN] 封包。 在伺服器收到 [SYN] 封包之後,它會傳送 [ACK] 封包作為接收用戶端 [SYN] 封包的通知。
選取 [SCK] 封包。
展開 SEQ/ACK 分析區段,以秒為單位顯示初始 RTT。
尋找不必要的通訊協定
您可以在 Azure 虛擬機上執行許多應用程式。 其中許多應用程式會透過網路通訊,有時不需要您的明確許可權。 藉由使用封包擷取來記錄網路通訊,您可以調查應用程式如何透過網路通訊。 調查可協助您找出並解決任何潛在的問題。
在此範例中,您會瞭解如何分析封包擷取,以尋找可能表示來自虛擬機上執行之應用程式未授權通訊的垃圾通訊協定。
開啟Wireshark。
從封包擷取會話載入 .cap 檔案。
在 [統計數據] 功能表上,選取 [通訊協定階層]。
[通訊 協定階層統計數據 ] 視窗會列出擷取會話期間使用的所有通訊協定,以及針對每個通訊協定傳輸和接收的封包數目。 此檢視適用於在虛擬機或網路上尋找不必要的網路流量。
此範例顯示 BitTorrent 通訊協定的流量,用於點對點檔案共用。 身為系統管理員,如果您不預期在此虛擬機上看到 BitTorrent 流量,您可以:
- 拿掉此虛擬機上安裝的點對點軟體。
- 使用網路安全組或防火牆封鎖流量。
尋找目的地和埠
當您監視或針對網路中的應用程式和資源進行疑難解答時,瞭解流量、端點和通訊埠的類型非常重要。 藉由分析封包擷取檔案,您可以了解虛擬機與其通訊的最上層目的地,以及它們所使用的埠。
啟動Wireshark。
從封包擷取會話載入 .cap 檔案。
在 [ 統計數據] 功能表上,選取 [IPv4 統計數據 ],然後選取 [目的地和埠]。
[ 目的地和埠 ] 視窗會列出 VM 在擷取工作階段期間與其通訊的最上層目的地和埠。 您只會使用篩選來顯示透過特定通訊協議的通訊。 例如,您可以在 [顯示篩選] 方塊中輸入 rdp,查看是否有任何使用遠端桌面通訊協定 (RDP) 的通訊。
同樣地,您可以篩選您感興趣的其他通訊協定。
後續步驟
若要瞭解 網路監看員 的其他網路診斷工具,請參閱: