Hola a tots, em dic Sasha, dirigeixo les proves de backend a FunCorp. Nosaltres, com molts altres, hem implementat una arquitectura orientada a serveis. D'una banda, això simplifica la feina, perquè... És més fàcil provar cada servei per separat, però, d'altra banda, cal provar la interacció dels serveis entre ells, que sovint es produeix a la xarxa.
En aquest article, parlaré de dues utilitats que es poden utilitzar per comprovar escenaris bàsics que descriuen el funcionament d'una aplicació en presència de problemes de xarxa.
Simulació de problemes de xarxa
Normalment, el programari es prova en servidors de prova amb una bona connexió a Internet. En entorns de producció durs, és possible que les coses no siguin tan fluides, de manera que de vegades cal provar programes en condicions de connexió deficients. A Linux, la utilitat ajudarà amb la tasca de simular aquestes condicions tc.
tc(abr. de Control de Trànsit) permet configurar la transmissió de paquets de xarxa al sistema. Aquesta utilitat té grans capacitats, podeu llegir més sobre elles . Aquí en consideraré només alguns: ens interessa la programació del trànsit, per a la qual fem servir qdisc, i com que necessitem emular una xarxa inestable, utilitzarem qdisc sense classe .
Anem a llançar un servidor d'eco al servidor (he utilitzat ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Per mostrar amb detall totes les marques de temps a cada pas d'interacció entre el client i el servidor, vaig escriure un script Python senzill que envia una sol·licitud. Test al nostre servidor d'eco.
Codi font del client
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Llancem-lo i mirem el trànsit a la interfície lo i el port 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Abocador de trànsit
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Tot és estàndard: una encaixada de mans a tres direccions, PSH/ACK i ACK en resposta dues vegades - aquest és l'intercanvi de sol·licitud i resposta entre el client i el servidor, i FIN/ACK i ACK dues vegades - completant la connexió.
Retard del paquet
Ara establim el retard en 500 mil·lisegons:
tc qdisc add dev lo root netem delay 500ms
Llencem el client i veiem que ara l'script s'executa durant 2 segons:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Què hi ha al trànsit? Mirem:
Abocador de trànsit
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Podeu veure que el retard esperat de mig segon ha aparegut en la interacció entre el client i el servidor. El sistema es comporta de manera molt més interessant si el retard és més gran: el nucli comença a tornar a enviar alguns paquets TCP. Canviem el retard a 1 segon i mirem el trànsit (no mostraré la sortida del client, hi ha els 4 segons de durada total esperats):
tc qdisc change dev lo root netem delay 1s
Abocador de trànsit
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Es pot veure que el client va enviar un paquet SYN dues vegades i el servidor va enviar un SYN/ACK dues vegades.
A més d'un valor constant, el retard es pot establir en una desviació, una funció de distribució i una correlació (amb el valor del paquet anterior). Això es fa de la següent manera:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Aquí hem establert el retard entre 100 i 900 mil·lisegons, els valors es seleccionaran segons una distribució normal i hi haurà una correlació del 50% amb el valor del retard del paquet anterior.
Potser us heu adonat que a la primera comanda que vaig utilitzar afegiri després canvi. El significat d'aquestes ordres és obvi, així que només afegiré que n'hi ha més del , que es pot utilitzar per eliminar la configuració.
Pèrdua de paquets
Ara intentem fer la pèrdua de paquets. Com es pot veure a la documentació, això es pot fer de tres maneres: perdent paquets aleatòriament amb certa probabilitat, utilitzant una cadena de Markov de 2, 3 o 4 estats per calcular la pèrdua de paquets, o utilitzant el model d'Elliott-Gilbert. A l'article consideraré el primer mètode (més senzill i més obvi), i podeu llegir sobre els altres .
Fem la pèrdua del 50% dels paquets amb una correlació del 25%:
tc qdisc add dev lo root netem loss 50% 25%
Desafortunadament, tcpdump no ens podrem mostrar clarament la pèrdua de paquets, només assumirem que realment funciona. I el temps d'execució augmentat i inestable de l'script ens ajudarà a verificar-ho. client.py (es pot completar a l'instant, o potser en 20 segons), així com un major nombre de paquets retransmesos:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Afegeix soroll als paquets
A més de la pèrdua de paquets, podeu simular el dany del paquet: el soroll apareixerà en una posició de paquet aleatòria. Fem danys al paquet amb un 50% de probabilitat i sense correlació:
tc qdisc change dev lo root netem corrupt 50%
Executem l'script del client (no hi ha res interessant, però va trigar 2 segons a completar-se), mirem el trànsit:
Abocador de trànsit
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Es pot veure que alguns paquets s'han enviat repetidament i hi ha un paquet amb metadades trencades: opcions [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Però el més important és que al final tot va funcionar correctament: TCP va fer front a la seva tasca.
Duplicació de paquets
Amb què més pots fer netem? Per exemple, simuleu la situació inversa de la pèrdua de paquets: duplicació de paquets. Aquesta ordre també pren 2 arguments: probabilitat i correlació.
tc qdisc change dev lo root netem duplicate 50% 25%
Canviar l'ordre dels paquets
Podeu barrejar les bosses de dues maneres.
En el primer, alguns paquets s'envien immediatament, la resta amb un retard especificat. Exemple de la documentació:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Amb una probabilitat del 25% (i una correlació del 50%) el paquet s'enviarà immediatament, la resta s'enviarà amb un retard de 10 mil·lisegons.
El segon mètode és quan cada paquet Nè s'envia a l'instant amb una probabilitat (i correlació) determinada, i la resta amb un retard determinat. Exemple de la documentació:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Cada cinquè paquet té un 25% de possibilitats de ser enviat sense demora.
Canvi d'amplada de banda
Normalment a tot arreu a què es refereixen , però amb l'ajuda netem També podeu canviar l'amplada de banda de la interfície:
tc qdisc change dev lo root netem rate 56kbit
Aquest equip farà caminades pels voltants localhost tan dolorós com navegar per Internet mitjançant un mòdem d'accés telefònic. A més d'establir la taxa de bits, també podeu emular el model de protocol de la capa d'enllaç: establiu la sobrecàrrega per al paquet, la mida de la cel·la i la sobrecàrrega per a la cel·la. Per exemple, això es pot simular i velocitat de bits 56 kbit/s:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simulant el temps d'espera de la connexió
Un altre punt important del pla de proves quan s'accepta el programari són els temps d'espera. Això és important perquè en els sistemes distribuïts, quan un dels serveis està desactivat, els altres han de retrocedir a temps als altres o retornar un error al client, i en cap cas s'han de penjar simplement, esperant una resposta o una connexió. a establir.
Hi ha diverses maneres de fer-ho: per exemple, utilitzar un simulacre que no respon, o connectar-se al procés mitjançant un depurador, posar un punt d'interrupció al lloc correcte i aturar el procés (aquesta és probablement la manera més pervertida). Però un dels més evidents és als ports o amfitrions del tallafoc. Ens ajudarà amb això .
Per a la demostració, farem el port del tallafoc 12345 i executarem el nostre script de client. Podeu tallar els paquets de sortida a aquest port a l'emissor o els paquets entrants al receptor. En els meus exemples, els paquets entrants seran tallafocs (utilitzem la cadena INPUT i l'opció --dport). Aquests paquets poden ser DROP, REJECT o REJECT amb el senyalador TCP RST, o amb l'amfitrió ICMP inaccessible (de fet, el comportament predeterminat és icmp-port-inaccessible, i també hi ha l'oportunitat d'enviar una resposta icmp-net-inaccessible, icmp-proto-inaccessible, icmp-net-prohibit и icmp-host-prohibit).
DROP
Si hi ha una regla amb DROP, els paquets simplement "desapareixeran".
iptables -A INPUT -p tcp --dport 12345 -j DROP
Llencem el client i veiem que es congela en l'etapa de connexió al servidor. Mirem el trànsit:
Abocador de trànsit
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Es pot veure que el client envia paquets SYN amb un temps d'espera que augmenta exponencialment. Així que hem trobat un petit error al client: cal utilitzar el mètode settimeout()per limitar el temps durant el qual el client intentarà connectar-se al servidor.
De seguida eliminem la regla:
iptables -D INPUT -p tcp --dport 12345 -j DROPPodeu suprimir totes les regles alhora:
iptables -F
Si utilitzeu Docker i necessiteu tallafocs tot el trànsit que va al contenidor, podeu fer-ho de la següent manera:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
REBUTJAR
Ara afegim una regla semblant, però amb REJECTAR:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
El client surt al cap d'un segon amb un error [Errno 111] Connexió rebutjada. Vegem el trànsit ICMP:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Es pot veure que el client va rebre dues vegades port inabastable i després va acabar amb un error.
REJECTA amb tcp-reset
Intentem afegir l'opció --reject-with tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
En aquest cas, el client surt immediatament amb un error, perquè la primera sol·licitud va rebre un paquet RST:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
REJECTA amb icmp-host-unreachable
Provem una altra opció per utilitzar REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
El client surt al cap d'un segon amb un error [Errno 113] No hi ha ruta per a l'amfitrió, veiem al trànsit ICMP L'amfitrió ICMP 127.0.0.1 no és accessible.
També podeu provar els altres paràmetres REJECT i em centraré en aquests :)
Simulant el temps d'espera de la sol·licitud
Una altra situació és quan el client es va poder connectar al servidor, però no li pot enviar una sol·licitud. Com filtrar paquets perquè el filtratge no comenci immediatament? Si observeu el trànsit de qualsevol comunicació entre el client i el servidor, notareu que en establir una connexió només s'utilitzen els senyaladors SYN i ACK, però quan s'intercanvien dades, l'últim paquet de sol·licitud contindrà el senyalador PSH. S'instal·la automàticament per evitar la memòria intermèdia. Podeu utilitzar aquesta informació per crear un filtre: permetrà tots els paquets excepte els que contenen el senyalador PSH. Així, s'establirà la connexió, però el client no podrà enviar dades al servidor.
DROP
Per a DROP, l'ordre seria així:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Inicieu el client i observeu el trànsit:
Abocador de trànsit
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Veiem que la connexió està establerta i el client no pot enviar dades al servidor.
REBUTJAR
En aquest cas el comportament serà el mateix: el client no podrà enviar la sol·licitud, però rebrà ICMP 127.0.0.1 tcp port 12345 inaccessible i augmentar el temps entre les noves sol·licituds de presentació de manera exponencial. L'ordre té aquest aspecte:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
REJECTA amb tcp-reset
L'ordre té aquest aspecte:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Ja ho sabem quan utilitzem --reject-with tcp-reset el client rebrà un paquet RST com a resposta, de manera que es pot predir el comportament: rebre un paquet RST mentre s'estableix la connexió significa que el sòcol es tanca inesperadament a l'altre costat, el que significa que el client hauria de rebre Connexió restablerta per l'interlocutor. Executem el nostre script i ens assegurem d'això. I així serà el trànsit:
Abocador de trànsit
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
REJECTA amb icmp-host-unreachable
Crec que ja és obvi per a tothom com serà l'ordre :) El comportament del client en aquest cas serà lleugerament diferent al d'un simple REBUT: el client no augmentarà el temps d'espera entre els intents de reenviar el paquet.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Sortida
No és necessari escriure una simulació per provar la interacció d'un servei amb un client o servidor penjat; de vegades n'hi ha prou amb utilitzar utilitats estàndard que es troben a Linux.
Les utilitats que es discuteixen a l'article tenen encara més capacitats de les que es descriuen, de manera que podeu trobar algunes de les vostres pròpies opcions per utilitzar-les. Personalment, sempre en tinc prou del que vaig escriure (de fet, encara menys). Si utilitzeu aquestes utilitats o similars en proves a la vostra empresa, escriviu com exactament. Si no és així, espero que el vostre programari millori si decidiu provar-lo en condicions de problemes de xarxa mitjançant els mètodes suggerits.
Font: www.habr.com