Здравейте на всички, казвам се Саша, водя бекенд тестване във FunCorp. Ние, както много други, сме внедрили ориентирана към услуги архитектура. От една страна, това улеснява работата, защото... По-лесно е да се тества всяка услуга поотделно, но от друга страна има нужда да се тества взаимодействието на услугите една с друга, което често се случва в мрежата.

В тази статия ще говоря за две помощни програми, които могат да се използват за проверка на основни сценарии, които описват работата на приложение при наличие на мрежови проблеми.

Симулиране на мрежови проблеми

Обикновено софтуерът се тества на тестови сървъри с добра интернет връзка. В сурови производствени среди нещата може да не са толкова гладки, така че понякога трябва да тествате програми при условия на лоша връзка. В Linux помощната програма ще помогне със задачата за симулиране на такива условия tc.

tc(съкр. от Пътен контрол) ви позволява да конфигурирате предаването на мрежови пакети в системата. Тази помощна програма има големи възможности, можете да прочетете повече за тях тук. Тук ще разгледам само няколко от тях: интересуваме се от планирането на трафика, за което използваме qdisc, и тъй като трябва да емулираме нестабилна мрежа, ще използваме безкласов qdisc netem.

Нека стартираме ехо сървър на сървъра (използвах nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

За да покажа подробно всички времеви отпечатъци на всяка стъпка от взаимодействието между клиента и сървъра, написах прост скрипт на Python, който изпраща заявка тест към нашия ехо сървър.

Изходен код на клиента

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

Нека го стартираме и да видим трафика на интерфейса lo и порт 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

Свалка на трафика

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

Всичко е стандартно: тристранно ръкостискане, PSH/ACK и ACK в отговор два пъти - това е обменът на заявка и отговор между клиента и сървъра и FIN/ACK и ACK два пъти - завършване на връзката.

Забавяне на пакета

Сега нека зададем забавянето на 500 милисекунди:

tc qdisc add dev lo root netem delay 500ms

Стартираме клиента и виждаме, че скриптът сега работи за 2 секунди:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

Какво има в трафика? Нека видим:

Свалка на трафика

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

Можете да видите, че очакваното забавяне от половин секунда се е появило при взаимодействието между клиента и сървъра. Системата се държи много по-интересно, ако забавянето е по-голямо: ядрото започва да изпраща повторно някои TCP пакети. Нека променим забавянето на 1 секунда и погледнем трафика (няма да показвам изхода на клиента, има очакваните 4 секунди обща продължителност):

tc qdisc change dev lo root netem delay 1s

Свалка на трафика

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

Може да се види, че клиентът е изпратил SYN пакет два пъти, а сървърът е изпратил SYN/ACK два пъти.

В допълнение към постоянна стойност, забавянето може да бъде зададено на отклонение, функция на разпределение и корелация (със стойността за предишния пакет). Това се прави по следния начин:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

Тук сме задали забавянето между 100 и 900 милисекунди, стойностите ще бъдат избрани според нормално разпределение и ще има 50% корелация със стойността на забавяне за предишния пакет.

Може би сте забелязали, че в първата команда, която използвах добавете, и тогава промяна. Значението на тези команди е очевидно, така че просто ще добавя, че има още дел, който може да се използва за премахване на конфигурацията.

Изгубен пакет

Нека сега се опитаме да направим загуба на пакети. Както може да се види от документацията, това може да стане по три начина: произволна загуба на пакети с известна вероятност, използване на верига на Марков от 2, 3 или 4 състояния за изчисляване на загубата на пакети или използване на модела на Елиът-Гилбърт. В статията ще разгледам първия (най-простият и очевиден) метод и можете да прочетете за други тук.

Нека направим загубата на 50% от пакетите с корелация от 25%:

tc qdisc add dev lo root netem loss 50% 25%

За съжаление, tcpdump няма да може ясно да ни покаже загубата на пакети, само ще приемем, че наистина работи. И увеличеното и нестабилно време на изпълнение на скрипта ще ни помогне да проверим това. client.py (може да бъде завършен незабавно или може би за 20 секунди), както и увеличен брой препредадени пакети:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

Добавяне на шум към пакетите

В допълнение към загубата на пакети, можете да симулирате повреда на пакета: шумът ще се появи на произволна позиция на пакета. Нека направим повреда на пакета с 50% вероятност и без корелация:

tc qdisc change dev lo root netem corrupt 50%

Изпълняваме клиентския скрипт (нищо интересно там, но отне 2 секунди за завършване), вижте трафика:

Свалка на трафика

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

Може да се види, че някои пакети са изпратени многократно и има един пакет с повредени метаданни: опции [nop,unknown-65 0x0a3dcf62eb3d,[лош избор]>. Но основното е, че в крайна сметка всичко работи правилно - TCP се справи със задачата си.

Дублиране на пакети

Какво друго можете да направите с netem? Например, симулирайте обратната ситуация на загуба на пакети - дублиране на пакети. Тази команда също приема 2 аргумента: вероятност и корелация.

tc qdisc change dev lo root netem duplicate 50% 25%

Промяна на реда на пакетите

Можете да смесите торбите по два начина.

При първия някои пакети се изпращат незабавно, а останалите с определено закъснение. Пример от документацията:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

С вероятност от 25% (и корелация от 50%) пакетът ще бъде изпратен незабавно, останалите ще бъдат изпратени със закъснение от 10 милисекунди.

Вторият метод е, когато всеки N-ти пакет се изпраща моментално с дадена вероятност (и корелация), а останалите с дадено закъснение. Пример от документацията:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

Всеки пети пакет има 25% шанс да бъде изпратен без забавяне.

Промяна на честотната лента

Обикновено навсякъде, където се отнасят TBF, но с помощта netem Можете също да промените честотната лента на интерфейса:

tc qdisc change dev lo root netem rate 56kbit

Този екип ще прави преходи наоколо Localhost толкова болезнено, колкото сърфирането в интернет чрез комутируем модем. В допълнение към настройката на битрейта, можете също да емулирате модела на протокола на слоя за връзка: да зададете режийната стойност за пакета, размера на клетката и режийната стойност за клетката. Например, това може да се симулира банкомат и битрейт 56 kbit/sec:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

Симулиране на изчакване на връзката

Друг важен момент в тестовия план при приемане на софтуер са изчакванията. Това е важно, защото в разпределените системи, когато една от услугите е деактивирана, останалите трябва да се върнат към другите навреме или да върнат грешка на клиента и в никакъв случай не трябва просто да висят, чакайки отговор или връзка да се установи.

Има няколко начина да направите това: например, използвайте макет, който не отговаря, или се свържете с процеса с помощта на дебъгер, поставете точка на прекъсване на правилното място и спрете процеса (това е може би най-перверзният начин). Но един от най-очевидните е портовете или хостовете на защитната стена. Ще ни помогне с това IPTABLES.

За демонстрация ще поставим защитна стена на порт 12345 и ще изпълним нашия клиентски скрипт. Можете да защитите изходящите пакети към този порт при подателя или входящите пакети при получателя. В моите примери входящите пакети ще бъдат защитени със защитна стена (използваме верига INPUT и опцията --dport). Такива пакети могат да бъдат DROP, REJECT или REJECT с TCP флаг RST или с ICMP хост недостъпен (всъщност поведението по подразбиране е icmp-порт-недостъпен, като има и възможност за изпращане на отговор icmp-net-недостъпен, icmp-proto-недостъпен, icmp-net-забранено и icmp-хост-забранен).

Капка

Ако има правило с DROP, пакетите просто ще „изчезнат“.

iptables -A INPUT -p tcp --dport 12345 -j DROP

Стартираме клиента и виждаме, че той замръзва на етапа на свързване към сървъра. Нека да разгледаме трафика:
Свалка на трафика

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

Може да се види, че клиентът изпраща SYN пакети с експоненциално нарастващо време за изчакване. Така че открихме малък бъг в клиента: трябва да използвате метода settimeout()за ограничаване на времето, през което клиентът ще се опитва да се свърже със сървъра.

Веднага премахваме правилото:

iptables -D INPUT -p tcp --dport 12345 -j DROP

Можете да изтриете всички правила наведнъж:

iptables -F

Ако използвате Docker и трябва да защитите целия трафик, отиващ към контейнера, тогава можете да го направите по следния начин:

iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

ОТХВЪРЛЕТЕ

Сега нека добавим подобно правило, но с REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

Клиентът излиза след секунда с грешка [Errno 111] Връзката е отказана. Нека да разгледаме ICMP трафика:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

Вижда се, че клиентът е получил два пъти порт недостъпен и след това завърши с грешка.

ОТХВЪРЛЕТЕ с tcp-reset

Нека се опитаме да добавим опцията --reject-с tcp-reset:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

В този случай клиентът веднага излиза с грешка, тъй като първата заявка е получила RST пакет:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

REJECT с icmp-host-unreachable

Нека опитаме друга опция за използване на REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

Клиентът излиза след секунда с грешка [Errno 113] Няма маршрут към хоста, виждаме в ICMP трафика ICMP хост 127.0.0.1 недостъпен.

Можете също така да опитате другите REJECT параметри и аз ще се съсредоточа върху тях :)

Време за изчакване на симулиране на заявка

Друга ситуация е, когато клиентът е успял да се свърже със сървъра, но не може да изпрати заявка до него. Как да филтрирате пакети, така че филтрирането да не започне веднага? Ако погледнете трафика на всяка комуникация между клиента и сървъра, ще забележите, че при установяване на връзка се използват само флаговете SYN и ACK, но при обмен на данни последният пакет заявка ще съдържа флага PSH. Той се инсталира автоматично, за да се избегне буферирането. Можете да използвате тази информация, за да създадете филтър: той ще позволи всички пакети с изключение на тези, съдържащи флага PSH. Така връзката ще бъде установена, но клиентът няма да може да изпраща данни към сървъра.

Капка

За DROP командата ще изглежда така:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

Стартирайте клиента и наблюдавайте трафика:

Свалка на трафика

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

Виждаме, че връзката е установена и клиентът не може да изпраща данни към сървъра.

ОТХВЪРЛЕТЕ

В този случай поведението ще бъде същото: клиентът няма да може да изпрати заявката, но ще получи ICMP 127.0.0.1 tcp порт 12345 недостъпен и увеличете експоненциално времето между повторното изпращане на заявки. Командата изглежда така:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

ОТХВЪРЛЕТЕ с tcp-reset

Командата изглежда така:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

Вече знаем това, когато използваме --reject-с tcp-reset клиентът ще получи RST пакет в отговор, така че поведението може да се предвиди: получаването на RST пакет, докато връзката е установена, означава, че сокетът е неочаквано затворен от другата страна, което означава, че клиентът трябва да получи Нулиране на връзката от партньор. Нека стартираме нашия скрипт и да се уверим в това. А ето как ще изглежда трафика:

Свалка на трафика

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

REJECT с icmp-host-unreachable

Мисля, че вече е очевидно за всички как ще изглежда командата :) Поведението на клиента в този случай ще бъде малко по-различно от това с обикновен REJECT: клиентът няма да увеличи времето за изчакване между опитите за повторно изпращане на пакета.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

Продукция

Не е необходимо да пишете макет, за да тествате взаимодействието на услуга с окачен клиент или сървър; понякога е достатъчно да използвате стандартни помощни програми, намиращи се в Linux.

Помощните програми, обсъдени в статията, имат дори повече възможности, отколкото са описани, така че можете да измислите някои от вашите собствени опции за тяхното използване. На мен лично винаги ми стига това, за което съм писал (всъщност дори по-малко). Ако използвате тези или подобни помощни програми при тестване във вашата компания, моля, напишете как точно. Ако не, тогава се надявам вашият софтуер да стане по-добър, ако решите да го тествате в условия на мрежови проблеми, като използвате предложените методи.

Източник: www.habr.com