Freigeben über

Überprüfen und Analysieren von Network Watcher-Paketerfassungsdateien

Mithilfe der Paketerfassungsfunktion von Azure Network Watcher können Sie Erfassungssitzungen auf Ihren virtuellen Azure-Computern (VMs) und VM-Skalierungsgruppen initiieren und verwalten:

  • Über das Azure-Portal, PowerShell und die Azure CLI.
  • Programmgesteuert über das SDK und die REST-API.

Mit der Paketerfassung können Sie Szenarien bewältigen, in denen Daten auf Paketebene erforderlich sind, indem Sie die Informationen in einem leicht verwendbaren Format bereitstellen. Durch die Verwendung frei verfügbarer Tools zum Überprüfen der Daten können Sie die Kommunikation untersuchen, die an und von Ihren VMs oder Skalierungsgruppen gesendet wird, um Einblicke in Ihren Netzwerkdatenverkehr zu erhalten. Beispiele für die Verwendung von Paketerfassungsdaten sind die Untersuchung von Netzwerk- oder Anwendungsproblemen, die Erkennung von Netzwerkmissbrauch und Eindringversuchen sowie die Einhaltung gesetzlicher Vorschriften.

In diesem Artikel erfahren Sie, wie Sie ein beliebtes Open-Source-Tool verwenden, um eine von Network Watcher bereitgestellte Paketerfassungsdatei zu öffnen. Außerdem erfahren Sie, wie Sie die Verbindungslatenz berechnen, abnormalen Datenverkehr identifizieren und Netzwerkstatistiken untersuchen.

Voraussetzungen

Berechnen der Netzwerklatenz

In diesem Beispiel erfahren Sie, wie Sie die anfängliche Roundtripzeit (RTT) einer TCP-Konversation (Transmission Control Protocol) zwischen zwei Endpunkten anzeigen.

Wenn eine TCP-Verbindung hergestellt wird, folgen die ersten drei Pakete, die in der Verbindung gesendet werden, einem Muster, das als Drei-Wege-Handshake bezeichnet wird. Indem Sie die ersten beiden Pakete untersuchen, die in diesem Handshake gesendet werden (eine erste Anforderung vom Client und eine Antwort vom Server), können Sie die Latenz berechnen. Diese Latenz ist die RTT. Weitere Informationen zum TCP-Protokoll und zum Drei-Wege-Handshake finden Sie unter Erläuterung des Drei-Wege-Handshakes über TCP/IP.

  1. Starten Sie Wireshark.

  2. Laden Sie die .cap-Datei aus Ihrer Paketerfassungssitzung.

  3. Wählen Sie ein [SYN]-Paket in Ihrer Aufnahme aus. Dieses Paket ist das erste Paket, das der Client sendet, um eine TCP-Verbindung zu initiieren.

  4. Klicken Sie mit der rechten Maustaste auf das Paket, wählen Sie Folgen und dann TCP-Stream aus.

    Screenshot, der zeigt, wie TCP-Stream-Pakete in Wireshark gefiltert werden.

  5. Erweitern Sie den Abschnitt Transmission Control Protocol des [SYN]-Pakets und dann den Abschnitt Flags .

  6. Vergewissern Sie sich, dass das Syn-Bit auf 1 festgelegt ist, und klicken Sie dann mit der rechten Maustaste darauf.

  7. Wählen Sie Als Filter anwenden und dann ... und ausgewählt aus, um die Pakete anzuzeigen, für die Syn innerhalb des TCP-Datenstroms auf 1 festgelegt ist.

    Die ersten beiden Pakete, die am TCP-Handshake beteiligt sind, sind die Pakete [SYN] und [SYN, ACK]. Sie benötigen nicht das letzte Paket im Handshake, d. h. das [ACK]-Paket. Der Client sendet das [SYN]-Paket. Nachdem der Server das [SYN]-Paket empfangen hat, sendet er das [ACK]-Paket als Bestätigung für den Empfang des [SYN]-Pakets vom Client.

    Screenshot, der zeigt, wie ein Filter angewendet wird, um die Pakete in einem TCP-Stream in Wireshark anzuzeigen.

  8. Wählen Sie das [SCK]-Paket aus.

  9. Erweitern Sie den Abschnitt SEQ/ACK-Analyse, um die anfängliche RTT in Sekunden anzuzeigen.

    Screenshot, der die Latenz zeigt, die in Wireshark als anfängliche Roundtrip-Zeit in Sekunden dargestellt wird.

Unerwünschte Protokolle finden

Auf einem virtuellen Azure-Computer können viele Anwendungen ausgeführt werden. Viele dieser Anwendungen kommunizieren über das Netzwerk, manchmal ohne Ihre ausdrückliche Erlaubnis. Durch die Paketerfassung zum Aufzeichnen der Netzwerkkommunikation können Sie untersuchen, wie Anwendungen über das Netzwerk kommunizieren. Die Untersuchung hilft Ihnen, potenzielle Probleme zu identifizieren und zu beheben.

In diesem Beispiel erfahren Sie, wie Sie eine Paketerfassung analysieren, um unerwünschte Protokolle zu finden, die auf eine nicht autorisierte Kommunikation von einer Anwendung hinweisen können, die auf Ihrem virtuellen Computer ausgeführt wird.

  1. Öffnen Sie Wireshark.

  2. Laden Sie die .cap-Datei aus Ihrer Paketerfassungssitzung.

  3. Wählen Sie im Menü Statistik die Option Protokollhierarchie aus.

    Screenshot, der zeigt, wie Sie über das Statistikmenü in Wireshark zur Protokollhierarchie gelangen.

  4. Im Fenster Protokollhierarchiestatistik werden alle Protokolle aufgelistet, die während der Erfassungssitzung verwendet wurden, zusammen mit der Anzahl der Pakete, die für jedes Protokoll übertragen und empfangen wurden. Diese Ansicht ist nützlich, um unerwünschten Netzwerkdatenverkehr auf Ihren virtuellen Maschinen oder im Netzwerk zu finden.

    Screenshot, der das Fenster Protocol Hierarchy Statistics in Wireshark zeigt.

    Dieses Beispiel zeigt den Datenverkehr für das BitTorrent-Protokoll, das für die Peer-to-Peer-Dateifreigabe verwendet wird. Wenn Sie als Administrator nicht erwarten, dass BitTorrent-Datenverkehr auf dieser virtuellen Maschine angezeigt wird, können Sie entweder:

    • Entfernen Sie die Peer-to-Peer-Software, die auf diesem virtuellen Computer installiert ist.
    • Blockieren Sie den Datenverkehr mithilfe einer Netzwerksicherheitsgruppe oder einer Firewall.

Finden Sie Ziele und Häfen

Das Verständnis der Arten des Datenverkehrs, der Endpunkte und der Ports für die Kommunikation ist wichtig, wenn Sie Anwendungen und Ressourcen in Ihrem Netzwerk überwachen oder Fehler beheben. Durch die Analyse einer Paketerfassungsdatei können Sie die wichtigsten Ziele, mit denen Ihre virtuelle Maschine kommuniziert hat, und die von ihnen verwendeten Ports ermitteln.

  1. Starten Sie Wireshark.

  2. Laden Sie die .cap-Datei aus Ihrer Paketerfassungssitzung.

  3. Wählen Sie im Menü Statistik die Option IPv4-Statistik und dann Ziele und Ports aus.

    Screenshot, der zeigt, wie Sie zum Fenster

  4. Im Fenster "Ziele und Ports" werden die wichtigsten Ziele und Ports aufgelistet, mit denen die VM während der Erfassungssitzung kommuniziert hat. Sie zeigen nur die Kommunikation über ein bestimmtes Protokoll an, indem Sie einen Filter verwenden. Sie können z. B. überprüfen, ob bei der Kommunikation RDP (Remote Desktop Protocol) verwendet wurde, indem Sie rdp in das Filterfeld Anzeige eingeben.

    Screenshot, der die RDP-Ziele und die Ports zeigt, die in Wireshark verwendet wurden.

    Auf ähnliche Weise können Sie nach anderen Protokollen filtern, an denen Sie interessiert sind.

Nächster Schritt

Weitere Informationen zu den anderen Netzwerkdiagnosetools von Network Watcher finden Sie unter:

Problembehandlung bei ausgehenden Verbindungen

  • Last updated on