ProHoster > Блог > Administracija > Simulacija mrežnih problema u Linuxu

Simulacija mrežnih problema u Linuxu

Pozdrav svima, moje ime je Sasha, vodim backend testiranje u FunCorp-u. Mi, kao i mnogi drugi, implementirali smo servisno orijentisanu arhitekturu. S jedne strane, to pojednostavljuje rad, jer... Lakše je testirati svaki servis posebno, ali s druge strane, postoji potreba da se testira interakcija usluga međusobno, što se često dešava preko mreže.

U ovom članku govorit ću o dva pomoćna programa koja se mogu koristiti za provjeru osnovnih scenarija koji opisuju rad aplikacije u prisustvu mrežnih problema.

Simulacija mrežnih problema u Linuxu

Simulacija mrežnih problema

Obično se softver testira na test serverima sa dobrom internet vezom. U teškim proizvodnim okruženjima stvari možda neće biti tako glatke, pa ponekad morate testirati programe u lošim uvjetima veze. Na Linuxu će uslužni program pomoći u zadatku simulacije takvih uvjeta tc.

tc(skr. iz Kontrole saobraćaja) omogućava vam da konfigurišete prenos mrežnih paketa u sistemu. Ovaj uslužni program ima velike mogućnosti, možete pročitati više o njima ovdje. Ovdje ću razmotriti samo neke od njih: zanima nas planiranje saobraćaja, za šta se koristimo qdisc, a pošto trebamo emulirati nestabilnu mrežu, koristit ćemo qdisc bez klasa netem.

Pokrenimo echo server na serveru (ja sam koristio nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

Kako bih detaljno prikazao sve vremenske oznake u svakom koraku interakcije između klijenta i servera, napisao sam jednostavnu Python skriptu koja šalje zahtjev test na naš eho server.

Izvorni kod klijenta

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

Pokrenimo ga i pogledajmo promet na interfejsu lo i port 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

Saobraćajna deponija

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

Sve je standardno: trosmjerno rukovanje, PSH/ACK i ACK odgovor dva puta - to je razmjena zahtjeva i odgovora između klijenta i servera, te FIN/ACK i ACK dva puta - dovršavanje veze.

Kašnjenje paketa

Sada postavimo kašnjenje na 500 milisekundi:

tc qdisc add dev lo root netem delay 500ms

Pokrećemo klijenta i vidimo da skripta sada radi 2 sekunde:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

Šta je u saobraćaju? pogledajmo:

Saobraćajna deponija

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

Možete vidjeti da se u interakciji između klijenta i servera pojavilo očekivano kašnjenje od pola sekunde. Sistem se ponaša mnogo interesantnije ako je kašnjenje veće: kernel počinje ponovo da šalje neke TCP pakete. Promijenimo kašnjenje na 1 sekundu i pogledajmo promet (neću prikazati izlaz klijenta, postoje očekivane 4 sekunde u ukupnom trajanju):

tc qdisc change dev lo root netem delay 1s

Saobraćajna deponija

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

Vidi se da je klijent dva puta poslao SYN paket, a server dva puta SYN/ACK.

Pored konstantne vrijednosti, kašnjenje se može postaviti na odstupanje, funkciju distribucije i korelaciju (sa vrijednošću za prethodni paket). To se radi na sljedeći način:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

Ovdje smo postavili kašnjenje između 100 i 900 milisekundi, vrijednosti će biti odabrane prema normalnoj distribuciji i postojat će korelacija od 50% sa vrijednošću kašnjenja za prethodni paket.

Možda ste to primijetili u prvoj naredbi koju sam koristio dodati, i onda promjena. Značenje ovih naredbi je očigledno, pa ću samo dodati da ih ima još del, koji se može koristiti za uklanjanje konfiguracije.

Packet Loss

Pokušajmo sada napraviti gubitak paketa. Kao što se može vidjeti iz dokumentacije, to se može učiniti na tri načina: gubljenje paketa nasumično sa određenom vjerovatnoćom, korištenje Markovljevog lanca od 2, 3 ili 4 stanja za izračunavanje gubitka paketa ili korištenje Elliott-Gilbert modela. U članku ću razmotriti prvu (najjednostavniju i najočitiju) metodu, a možete pročitati i o drugima ovdje.

Napravimo gubitak 50% paketa sa korelacijom od 25%:

tc qdisc add dev lo root netem loss 50% 25%

Nažalost, tcpdump neće nam moći jasno pokazati gubitak paketa, samo ćemo pretpostaviti da to zaista funkcionira. A povećano i nestabilno vrijeme rada skripte pomoći će nam da to provjerimo. client.py (može se završiti trenutno, ili možda za 20 sekundi), kao i povećani broj ponovno poslatih paketa:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

Dodavanje buke paketima

Osim gubitka paketa, možete simulirati oštećenje paketa: šum će se pojaviti na slučajnom položaju paketa. Hajde da napravimo oštećenje paketa sa 50% verovatnoće i bez korelacije:

tc qdisc change dev lo root netem corrupt 50%

Pokrećemo klijentsku skriptu (tu nema ništa zanimljivo, ali je trebalo 2 sekunde da se završi), pogledajte promet:

Saobraćajna deponija

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

Vidi se da su neki paketi slani više puta i da postoji jedan paket sa pokvarenim metapodacima: opcije [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Ali glavna stvar je da je na kraju sve funkcionisalo kako treba - TCP se nosio sa svojim zadatkom.

Dupliciranje paketa

Šta još možeš da uradiš netem? Na primjer, simulirajte obrnutu situaciju gubitka paketa – dupliranje paketa. Ova komanda također uzima 2 argumenta: vjerovatnoću i korelaciju.

tc qdisc change dev lo root netem duplicate 50% 25%

Promjena redoslijeda paketa

Kese možete miješati na dva načina.

U prvom se neki paketi šalju odmah, a ostali sa određenim kašnjenjem. Primjer iz dokumentacije:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

Sa vjerovatnoćom od 25% (i korelacijom od 50%) paket će biti poslan odmah, ostatak će biti poslan sa zakašnjenjem od 10 milisekundi.

Druga metoda je kada se svaki N-ti paket šalje trenutno sa datom vjerovatnoćom (i korelacijom), a ostatak sa datim kašnjenjem. Primjer iz dokumentacije:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

Svaki peti paket ima 25% šanse da bude poslan bez odlaganja.

Promjena propusnog opsega

Obično svuda na koje se pozivaju TBF, ali uz pomoć netem Također možete promijeniti propusni opseg interfejsa:

tc qdisc change dev lo root netem rate 56kbit

Ovaj tim će ići okolo localhost bolno kao surfovanje internetom preko dial-up modema. Osim postavljanja bitrate-a, možete emulirati i model protokola sloja veze: postaviti gornje troškove za paket, veličinu ćelije i nadmetanje za ćeliju. Na primjer, ovo se može simulirati Bankomat i bitrate 56 kbit/sec:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

Simulacija isteka veze

Još jedna važna tačka u planu testiranja prilikom prihvatanja softvera je vremensko ograničenje. Ovo je važno jer u distribuiranim sistemima, kada je jedan od servisa onemogućen, ostali se moraju na vrijeme vratiti ostalima ili vratiti grešku klijentu, a ni u kojem slučaju ne bi trebali jednostavno visi čekajući odgovor ili vezu. biti uspostavljena.

Postoji nekoliko načina da to učinite: na primjer, koristite mock koji ne reaguje, ili se povežite s procesom pomoću programa za otklanjanje grešaka, stavite tačku prekida na pravo mjesto i zaustavite proces (ovo je vjerovatno najperverzniji način). Ali jedan od najočitijih je firewall portove ili hostove. To će nam pomoći u tome iptables.

Za demonstraciju ćemo postaviti port 12345 na firewall i pokrenuti našu klijentsku skriptu. Možete zaštititi odlazne pakete na ovom portu kod pošiljaoca ili dolazne pakete kod primaoca. U mojim primjerima, dolazni paketi će biti zaštićeni vatrozidom (koristimo lančani INPUT i opciju --dport). Takvi paketi mogu biti DROP, REJECT ili REJECT sa TCP zastavicom RST, ili sa nedostupnim ICMP hostom (u stvari, podrazumevano ponašanje je icmp-port-nedostupan, a postoji i mogućnost slanja odgovora icmp-net-nedostupan, icmp-proto-nedostupan, icmp-net-prohibited и icmp-host-prohibited).

DROP

Ako postoji pravilo sa DROP, paketi će jednostavno “nestati”.

iptables -A INPUT -p tcp --dport 12345 -j DROP

Pokrećemo klijenta i vidimo da se zamrzava u fazi povezivanja na server. Pogledajmo promet:
Saobraćajna deponija

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

Može se vidjeti da klijent šalje SYN pakete sa eksponencijalno rastućim timeoutom. Tako smo pronašli malu grešku u klijentu: morate koristiti metodu settimeout()ograničiti vrijeme tokom kojeg će klijent pokušati da se poveže sa serverom.

Odmah uklanjamo pravilo:

iptables -D INPUT -p tcp --dport 12345 -j DROP

Možete izbrisati sva pravila odjednom:

iptables -F

Ako koristite Docker i trebate zaštititi sav promet koji ide ka kontejneru, onda to možete učiniti na sljedeći način:

iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

ODBITI

Sada dodajmo slično pravilo, ali sa REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

Klijent izlazi nakon sekunde sa greškom [Errno 111] Veza odbijena. Pogledajmo ICMP promet:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

Vidi se da je klijent primio dva puta port nedostupan a zatim završila sa greškom.

ODBACI sa tcp-resetom

Pokušajmo dodati opciju --reject-with tcp-reset:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

U ovom slučaju, klijent odmah izlazi sa greškom, jer je prvi zahtjev primio RST paket:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

REJECT sa icmp-host-unreachable

Pokušajmo drugu opciju za korištenje REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

Klijent izlazi nakon sekunde sa greškom [Errno 113] Nema rute do hosta, vidimo u ICMP prometu ICMP host 127.0.0.1 nedostupan.

Možete isprobati i druge REJECT parametre, a ja ću se fokusirati na ove :)

Simulacija isteka zahtjeva

Druga situacija je kada je klijent mogao da se poveže sa serverom, ali ne može da mu pošalje zahtev. Kako filtrirati pakete tako da filtriranje ne počne odmah? Ako pogledate promet bilo koje komunikacije između klijenta i servera, primijetit ćete da se prilikom uspostavljanja veze koriste samo SYN i ACK zastavice, ali kada se razmjenjuju podaci, posljednji paket zahtjeva će sadržavati PSH oznaku. Instalira se automatski kako bi se izbjeglo baferovanje. Možete koristiti ove informacije za kreiranje filtera: on će dozvoliti sve pakete osim onih koji sadrže PSH zastavicu. Tako će se veza uspostaviti, ali klijent neće moći poslati podatke na server.

DROP

Za DROP naredba bi izgledala ovako:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

Pokrenite klijent i gledajte promet:

Saobraćajna deponija

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

Vidimo da je veza uspostavljena i klijent ne može poslati podatke na server.

ODBITI

U ovom slučaju ponašanje će biti isto: klijent neće moći poslati zahtjev, ali će ga primiti ICMP 127.0.0.1 tcp port 12345 nedostupan i eksponencijalno povećati vrijeme između ponovnih podnošenja zahtjeva. Naredba izgleda ovako:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

ODBACI sa tcp-resetom

Naredba izgleda ovako:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

To već znamo prilikom upotrebe --reject-with tcp-reset klijent će primiti RST paket kao odgovor, tako da se ponašanje može predvidjeti: primanje RST paketa dok je veza uspostavljena znači da je utičnica neočekivano zatvorena na drugoj strani, što znači da bi klijent trebao primiti Veza je resetirana od strane peer-a. Pokrenimo našu skriptu i uvjerimo se u ovo. A ovako će izgledati saobraćaj:

Saobraćajna deponija

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

REJECT sa icmp-host-unreachable

Mislim da je već svima jasno kako će komanda izgledati :) Ponašanje klijenta u ovom slučaju će se malo razlikovati od onog sa jednostavnim REJECT: klijent neće povećavati vremensko ograničenje između pokušaja ponovnog slanja paketa.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

zaključak

Nije potrebno pisati mock za testiranje interakcije servisa sa obješenim klijentom ili serverom; ponekad je dovoljno koristiti standardne uslužne programe koji se nalaze u Linuxu.

Uslužni programi o kojima se govori u članku imaju još više mogućnosti nego što je opisano, tako da možete smisliti neke svoje opcije za njihovo korištenje. Meni lično uvek dosta toga o čemu sam pisao (u stvari, još manje). Ako koristite ove ili slične uslužne programe u testiranju u vašoj kompaniji, napišite kako tačno. Ako ne, onda se nadam da će vaš softver postati bolji ako odlučite da ga testirate u uslovima mrežnih problema koristeći predložene metode.

izvor: www.habr.com

Dodajte komentar