Tere kõigile, minu nimi on Sasha, juhin FunCorpis taustaprogrammi testimist. Meie, nagu paljud teised, oleme juurutanud teenustele orienteeritud arhitektuuri. Ühest küljest lihtsustab see tööd, sest... Lihtsam on testida iga teenust eraldi, kuid teisest küljest on vaja testida teenuste omavahelist koostoimet, mis sageli toimub üle võrgu.
Selles artiklis räägin kahest utiliidist, mille abil saab kontrollida põhistsenaariume, mis kirjeldavad rakenduse tööd võrguprobleemide korral.
Võrguprobleemide simuleerimine
Tavaliselt testitakse tarkvara hea Interneti-ühendusega testserverites. Karmides tootmiskeskkondades ei pruugi asjad nii sujuda, nii et mõnikord tuleb programme testida kehvades ühenduse tingimustes. Linuxis aitab utiliit selliseid tingimusi simuleerida tc.
tc(lühend liikluskontrollist) võimaldab konfigureerida võrgupakettide edastamist süsteemis. Sellel utiliidil on suurepärased võimalused, saate nende kohta rohkem lugeda . Siin käsitlen vaid mõnda neist: meid huvitab liikluse ajakava, mille jaoks me kasutame qdisc, ja kuna meil on vaja emuleerida ebastabiilset võrku, kasutame klassideta qdiscit .
Käivitame serveris kajaserveri (kasutasin ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Kõigi ajatemplite üksikasjalikuks kuvamiseks kliendi ja serveri vahelise suhtluse igal etapil kirjutasin lihtsa Pythoni skripti, mis saadab päringu test meie kajaserverisse.
Kliendi lähtekood
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Käivitame selle ja vaatame liidese liiklust lo ja port 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Liiklusprügila
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Kõik on standardne: kolmepoolne käepigistus, kaks korda vastuseks PSH/ACK ja ACK – see on päringu ja vastuse vahetus kliendi ja serveri vahel ning FIN/ACK ja ACK kaks korda – ühenduse lõpetamine.
Paketi viivitus
Nüüd määrame viivituseks 500 millisekundit:
tc qdisc add dev lo root netem delay 500ms
Käivitame kliendi ja näeme, et skript töötab nüüd 2 sekundit:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Mis on liikluses? Vaatame:
Liiklusprügila
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Näete, et kliendi ja serveri vahelises suhtluses on ilmnenud oodatud poolesekundiline viivitus. Süsteem käitub palju huvitavamalt, kui viivitus on suurem: kernel hakkab mõnda TCP-paketti uuesti saatma. Muudame viivituse 1 sekundi peale ja vaatame liiklust (kliendi väljundit ei näita, kogukestus on eeldatavalt 4 sekundit):
tc qdisc change dev lo root netem delay 1s
Liiklusprügila
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
On näha, et klient saatis kaks korda SYN-paketi ja server kaks korda saatis SYN/ACK-i.
Lisaks konstantsele väärtusele saate määrata viivituse kõrvalekalde, jaotusfunktsiooni ja korrelatsiooni (eelmise paketi väärtusega). Seda tehakse järgmiselt.
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Siin oleme määranud viivituse vahemikus 100 kuni 900 millisekundit, väärtused valitakse normaaljaotuse järgi ja eelmise paketi viivitusväärtusega on 50% korrelatsioon.
Võib-olla olete märganud seda esimeses käsus, mida ma kasutasin lisamaja siis muutma. Nende käskude tähendus on ilmne, seega lisan lihtsalt, et neid on rohkemgi kohta, mida saab kasutada konfiguratsiooni eemaldamiseks.
Paketi kadu
Proovime nüüd teha pakettakad. Nagu dokumentatsioonist näha, saab seda teha kolmel viisil: pakettide juhuslikul kadumisel teatud tõenäosusega, kasutades 2, 3 või 4 olekust koosnevat Markovi ahelat paketikao arvutamiseks või Elliott-Gilberti mudelit. Artiklis käsitlen esimest (lihtsamat ja ilmsemat) meetodit ning saate lugeda ka teiste kohta .
Teeme 50% pakettide kadumise korrelatsiooniga 25%.
tc qdisc add dev lo root netem loss 50% 25%
Kahjuks tcpdump ei suuda meile selgelt näidata pakettide kadumist, vaid eeldame, et see tõesti töötab. Ja skripti pikenenud ja ebastabiilne tööaeg aitab meil seda kontrollida. klient.py (saab lõpule viia kohe või võib-olla 20 sekundiga), aga ka suurem arv uuesti edastatud pakette:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Müra lisamine pakettidele
Lisaks pakettide kadumisele saate simuleerida paketikahjustusi: müra ilmub juhuslikus paketi asukohas. Teeme paketi kahjustuse 50% tõenäosusega ja ilma korrelatsioonita:
tc qdisc change dev lo root netem corrupt 50%
Käitame kliendi skripti (seal pole midagi huvitavat, kuid selle täitmiseks kulus 2 sekundit), vaatame liiklust:
Liiklusprügila
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
On näha, et mõnda paketti saadeti korduvalt ja üks pakett on katkiste metaandmetega: valikud [noop,unknown-65 0x0a3dcf62eb3d,[halb valik]>. Kuid peamine on see, et lõpuks töötas kõik õigesti - TCP sai oma ülesandega hakkama.
Pakettide dubleerimine
Millega veel peale hakata netem? Näiteks simuleerige pakettide kadumise vastupidist olukorda – pakettide dubleerimist. Sellel käsul on ka 2 argumenti: tõenäosus ja korrelatsioon.
tc qdisc change dev lo root netem duplicate 50% 25%
Pakkide järjekorra muutmine
Saate kotte segada kahel viisil.
Esimeses saadetakse osa pakette kohe, ülejäänud määratud hilinemisega. Näide dokumentatsioonist:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Tõenäosusega 25% (ja korrelatsiooniga 50%) saadetakse pakett kohe, ülejäänu saadetakse 10 millisekundilise viivitusega.
Teine meetod on see, et iga N-s pakett saadetakse koheselt etteantud tõenäosusega (ja korrelatsiooniga) ning ülejäänud osa etteantud viivitusega. Näide dokumentatsioonist:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Igal viiendal pakil on 25% tõenäosus, et see saadetakse viivitamata.
Ribalaiuse muutmine
Tavaliselt kõikjal, kuhu nad viitavad , aga abiga netem Samuti saate muuta liidese ribalaiust:
tc qdisc change dev lo root netem rate 56kbit
See meeskond teeb ringreise localhost sama valus kui sissehelistamismodemi kaudu Internetis surfamine. Lisaks bitikiiruse määramisele saate emuleerida ka lingikihi protokolli mudelit: määrata paketi üldkulud, lahtri suurus ja lahtri üldkulud. Näiteks saab seda simuleerida ja bitikiirus 56 kbit/sek:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Ühenduse ajalõpu simuleerimine
Teine oluline punkt testiplaanis tarkvara vastuvõtmisel on ajalõpud. See on oluline, sest hajutatud süsteemides peavad ühe teenuse väljalülitamisel teised õigel ajal teistele tagasi langema või kliendile vea tagastama ning mitte mingil juhul ei tohi nad lihtsalt rippuda, oodates vastust või ühendust. asutada.
Seda saab teha mitmel viisil: näiteks kasutada pilku, mis ei reageeri, või ühenduda protsessiga siluri abil, panna õigesse kohta murdepunkt ja peatada protsess (see on ilmselt kõige perverssem viis). Kuid üks ilmsemaid on tulemüüri pordid või hostid. See aitab meid selles .
Demonstreerimiseks kasutame tulemüüri porti 12345 ja käivitame oma kliendiskripti. Saate tulemüüri saata sellesse porti väljuvaid pakette saatja juures või sissetulevaid pakette vastuvõtja juures. Minu näidetes kaetakse sissetulevad paketid tulemüüriga (kasutame ahela INPUT ja valikut --dport). Sellised paketid võivad olla TCP-lipuga RST või ICMP-hostiga kättesaamatu (tegelikult on vaikekäitumine icmp-port-unreachable, ja on ka võimalus saata vastus icmp-net-unreachable, icmp-proto-unreachable, icmp-net- keelatud и icmp-host-prohibited).
DROP
Kui DROP-iga on reegel, siis paketid lihtsalt "kaovad".
iptables -A INPUT -p tcp --dport 12345 -j DROP
Käivitame kliendi ja näeme, et see hangub serveriga ühenduse loomise etapis. Vaatame liiklust:
Liiklusprügila
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
On näha, et klient saadab SYN-pakette eksponentsiaalselt kasvava ajalõpuga. Nii leidsime kliendis väikese vea: peate kasutama meetodit settimeout()et piirata aega, mille jooksul klient proovib serveriga ühendust luua.
Eemaldame kohe reegli:
iptables -D INPUT -p tcp --dport 12345 -j DROPSaate kõik reeglid korraga kustutada:
iptables -F
Kui kasutate Dockerit ja peate kogu konteinerisse suunduva liikluse tulemüüri tegema, saate seda teha järgmiselt.
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
KEELDUN
Nüüd lisame sarnase reegli, kuid koos REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Klient väljub sekundi pärast veaga [Errno 111] Ühendusest keelduti. Vaatame ICMP liiklust:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
On näha, et klient sai kaks korda sadam kättesaamatu ja lõppes siis veaga.
TAGASI tcp-resetiga
Proovime lisada valiku --reject-with tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
Sel juhul väljub klient kohe veaga, kuna esimene päring sai RST-paketi:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
LÜLKAKE ICMP-host-unreachable abil
Proovime teist võimalust REJECT kasutamiseks:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Klient väljub sekundi pärast veaga [Errno 113] Marsruuti hosti pole, näeme ICMP liikluses ICMP host 127.0.0.1 ei ole kättesaadav.
Võite proovida ka teisi REJECTi parameetreid ja ma keskendun neile :)
Taotluse simuleerimise ajalõpp
Teine olukord on olukord, kus klient sai serveriga ühenduse luua, kuid ei saa sellele päringut saata. Kuidas filtreerida pakette nii, et filtreerimine kohe ei algaks? Kui vaadata mistahes kliendi ja serveri vahelise suhtluse liiklust, siis on märgata, et ühenduse loomisel kasutatakse ainult lippe SYN ja ACK, kuid andmete vahetamisel sisaldab viimane päringupakett PSH lippu. See installitakse automaatselt, et vältida puhverdamist. Saate seda teavet kasutada filtri loomiseks: see lubab kõiki pakette, välja arvatud need, mis sisaldavad PSH lippu. Seega ühendus luuakse, kuid klient ei saa andmeid serverisse saata.
DROP
DROPi jaoks näeks käsk välja selline:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Käivitame kliendi ja jälgime liiklust:
Liiklusprügila
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Näeme, et ühendus on loodud ja klient ei saa andmeid serverisse saata.
KEELDUN
Sel juhul käitutakse samamoodi: klient ei saa päringut saata, kuid saab kätte ICMP 127.0.0.1 tcp port 12345 ei ole kättesaadav ja pikendada plahvatuslikult taotluste uuesti esitamise vahelist aega. Käsk näeb välja selline:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
TAGASI tcp-resetiga
Käsk näeb välja selline:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Me teame seda juba kasutamisel --reject-with tcp-reset klient saab vastuseks RST-paketi, nii et käitumist saab ennustada: RST-paketi saamine ühenduse loomise ajal tähendab, et pistikupesa suletakse ootamatult teiselt poolt, mis tähendab, et klient peaks saama Ühenduse lähtestamine partneri poolt. Käivitame oma skripti ja veendume selles. Ja liiklus näeb välja selline:
Liiklusprügila
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
LÜLKAKE ICMP-host-unreachable abil
Ma arvan, et see on juba kõigile arusaadav, kuidas käsk välja näeb :) Kliendi käitumine on sel juhul veidi erinev lihtsast REJECT-ist: klient ei suurenda paketi uuesti saatmise katsete vahelist ajalõppu.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Väljund
Teenuse interaktsiooni testimiseks rippunud kliendi või serveriga pole vaja kirjutada pilku, mõnikord piisab Linuxis leiduvate standardsete utiliitide kasutamisest.
Artiklis käsitletud utiliitidel on isegi rohkem võimalusi, kui kirjeldati, nii et saate nende kasutamiseks välja pakkuda mõned võimalused. Mulle isiklikult on sellest, millest kirjutasin, alati piisavalt (tegelikult isegi vähem). Kui kasutate oma ettevõttes testimisel neid või sarnaseid utiliite, siis palun kirjutage, kuidas täpselt. Kui ei, siis loodan, et teie tarkvara muutub paremaks, kui otsustate seda võrguprobleemide korral soovitatud meetoditega testida.
Allikas: www.habr.com