Hei kaikki, nimeni on Sasha, johdan taustatestausta FunCorpissa. Olemme monien muiden tavoin ottaneet käyttöön palvelukeskeisen arkkitehtuurin. Toisaalta tämä yksinkertaistaa työtä, koska... Jokaista palvelua on helpompi testata erikseen, mutta toisaalta on tarpeen testata palveluiden vuorovaikutusta keskenään, mikä usein tapahtuu verkon yli.
Tässä artikkelissa puhun kahdesta apuohjelmasta, joiden avulla voidaan tarkistaa perusskenaariot, jotka kuvaavat sovelluksen toimintaa verkko-ongelmien esiintyessä.
Verkko-ongelmien simulointi
Yleensä ohjelmistot testataan testipalvelimilla, joissa on hyvä Internet-yhteys. Vaikeissa tuotantoympäristöissä asiat eivät välttämättä ole niin sujuvaa, joten joskus joudut testaamaan ohjelmia huonoissa yhteysolosuhteissa. Linuxissa apuohjelma auttaa tällaisten olosuhteiden simuloinnissa tc.
tc(lyhenne liikenteenohjauksesta) antaa sinun määrittää verkkopakettien siirron järjestelmässä. Tällä apuohjelmalla on erinomaiset ominaisuudet, voit lukea niistä lisää . Tässä käsittelen vain muutamia niistä: olemme kiinnostuneita liikenteen aikataulutuksesta, jota käytämme qdisc, ja koska meidän on emuloitava epävakaa verkkoa, käytämme luokkatonta qdisc-levyä .
Käynnistetään kaikupalvelin palvelimella (käytin ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Jotta voisin näyttää yksityiskohtaisesti kaikki aikaleimat jokaisessa asiakkaan ja palvelimen välisen vuorovaikutuksen vaiheessa, kirjoitin yksinkertaisen Python-skriptin, joka lähettää pyynnön Testi kaikupalvelimellemme.
Asiakkaan lähdekoodi
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Käynnistetään se ja katsotaan käyttöliittymän liikennettä lo ja portti 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Liikenteen kaatopaikka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Kaikki on vakiona: kolmisuuntainen kättely, PSH/ACK ja ACK vastauksena kahdesti - tämä on pyynnön ja vastauksen vaihto asiakkaan ja palvelimen välillä ja FIN/ACK ja ACK kahdesti - yhteyden muodostaminen.
Paketin viive
Asetetaan nyt viive 500 millisekuntiin:
tc qdisc add dev lo root netem delay 500ms
Käynnistämme asiakkaan ja näemme, että komentosarja toimii nyt 2 sekuntia:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Mitä liikenteessä on? Katsotaan:
Liikenteen kaatopaikka
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Näet, että asiakkaan ja palvelimen välisessä vuorovaikutuksessa on ilmennyt odotettu puolen sekunnin viive. Järjestelmä käyttäytyy paljon mielenkiintoisemmin, jos viive on suurempi: ydin alkaa lähettää uudelleen joitain TCP-paketteja. Muutetaan viive 1 sekuntiin ja katsotaan liikennettä (en näytä asiakkaan lähtöä, kokonaiskestossa on odotetut 4 sekuntia):
tc qdisc change dev lo root netem delay 1s
Liikenteen kaatopaikka
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Voidaan nähdä, että asiakas lähetti SYN-paketin kahdesti ja palvelin lähetti SYN/ACK-ilmoituksen kahdesti.
Vakioarvon lisäksi viive voidaan asettaa poikkeamaksi, jakaumafunktioksi ja korrelaatioksi (edellisen paketin arvon kanssa). Tämä tehdään seuraavasti:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Tässä olemme asettaneet viiveen välille 100 - 900 millisekuntia, arvot valitaan normaalijakauman mukaan ja edellisen paketin viivearvon kanssa on 50 % korrelaatio.
Olet ehkä huomannut sen ensimmäisessä käyttämässäni komennossa lisätäja sitten muuttaa. Näiden komentojen merkitys on ilmeinen, joten lisään vain, että niitä on enemmän ja, jota voidaan käyttää kokoonpanon poistamiseen.
Pakettien menetys
Yritetään nyt tehdä pakettihäviö. Kuten dokumentaatiosta voidaan nähdä, tämä voidaan tehdä kolmella tavalla: menettää paketteja satunnaisesti jollain todennäköisyydellä, käyttämällä 2, 3 tai 4 tilan Markovin ketjua pakettihäviön laskemiseen tai käyttämällä Elliott-Gilbert-mallia. Käsittelen artikkelissa ensimmäistä (yksinkertaisinta ja ilmeisintä) menetelmää, ja voit lukea muista .
Tehdään 50 %:n pakettien menetys 25 %:n korrelaatiolla:
tc qdisc add dev lo root netem loss 50% 25%
Valitettavasti tcpdump ei pysty osoittamaan meille selkeästi pakettien katoamista, oletamme vain, että se todella toimii. Ja skriptin lisääntynyt ja epävakaa käyntiaika auttaa meitä varmistamaan tämän. client.py (voidaan suorittaa välittömästi tai ehkä 20 sekunnissa), sekä lisääntynyt uudelleenlähetettyjen pakettien määrä:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Melun lisääminen paketteihin
Pakettien katoamisen lisäksi voit simuloida pakettivaurioita: kohinaa ilmaantuu satunnaiseen paketin paikkaan. Tehdään pakettivaurio 50 %:n todennäköisyydellä ja ilman korrelaatiota:
tc qdisc change dev lo root netem corrupt 50%
Suoritamme asiakaskomentosarjan (ei siellä mitään mielenkiintoista, mutta sen valmistuminen kesti 2 sekuntia), katso liikennettä:
Liikenteen kaatopaikka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Voidaan nähdä, että joitain paketteja lähetettiin toistuvasti ja yksi paketti, jonka metatiedot ovat rikki: vaihtoehdot [ei,tuntematon-65 0x0a3dcf62eb3d,[bad opt]>. Mutta tärkeintä on, että lopulta kaikki toimi oikein - TCP selviytyi tehtävästään.
Pakettien kopiointi
Mitä muuta voit tehdä netem? Simuloi esimerkiksi käänteistä pakettien häviämistä – pakettien kopiointia. Tämä komento ottaa myös kaksi argumenttia: todennäköisyys ja korrelaatio.
tc qdisc change dev lo root netem duplicate 50% 25%
Pakettien järjestyksen muuttaminen
Voit sekoittaa pussit kahdella tavalla.
Ensimmäisessä osa paketeista lähetetään välittömästi, loput tietyllä viiveellä. Esimerkki dokumentaatiosta:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
25 %:n todennäköisyydellä (ja korrelaatiolla 50 %) paketti lähetetään välittömästi, loput 10 millisekunnin viiveellä.
Toinen tapa on, kun jokainen N:s paketti lähetetään välittömästi tietyllä todennäköisyydellä (ja korrelaatiolla) ja loput tietyllä viiveellä. Esimerkki dokumentaatiosta:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Joka viidennen paketin todennäköisyys on 25 %, että se lähetetään viipymättä.
Kaistanleveyden muuttaminen
Yleensä kaikkialla, mihin he viittaavat , mutta avustuksella netem Voit myös muuttaa käyttöliittymän kaistanleveyttä:
tc qdisc change dev lo root netem rate 56kbit
Tämä joukkue tekee vaelluksia ympäriinsä localhost yhtä tuskallista kuin Internetissä surffaaminen puhelinmodeemin kautta. Bittinopeuden asettamisen lisäksi voit myös emuloida linkkikerroksen protokollamallia: määrittää paketin yleiskustannukset, solun koon ja solun yleiskustannukset. Tämä voidaan esimerkiksi simuloida ja bittinopeus 56 kbit/s:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simuloidaan yhteyden aikakatkaisua
Toinen tärkeä kohta testaussuunnitelmassa ohjelmistoja hyväksyttäessä ovat aikakatkaisut. Tämä on tärkeää, koska hajautetuissa järjestelmissä, kun yksi palveluista poistetaan käytöstä, muiden täytyy palata ajoissa toisten luo tai palauttaa virhe asiakkaalle, eivätkä ne saa missään tapauksessa vain roikkua odottaen vastausta tai yhteyttä. perustettava.
On olemassa useita tapoja tehdä tämä: esimerkiksi käytä pilkkua, joka ei vastaa, tai muodosta yhteys prosessiin debuggerin avulla, aseta keskeytyskohta oikeaan paikkaan ja pysäytä prosessi (tämä on luultavasti perverssin tapa). Mutta yksi ilmeisimmistä on palomuurin portit tai isännät. Se auttaa meitä tässä .
Esittelyä varten otamme palomuuriportin 12345 ja suoritamme asiakasohjelman. Voit palomuurilla lähtevät paketit tähän porttiin lähettäjällä tai saapuvat paketit vastaanottajalla. Esimerkeissäni saapuvat paketit suojataan palomuurilla (käytämme ketjun INPUT ja vaihtoehtoa --dport). Tällaiset paketit voivat olla PUDOTA, hylkää tai hylkää TCP-lipulla RST tai ICMP-isäntä on tavoittamaton (itse asiassa oletustoiminto on icmp-port-unreachable, ja siellä on myös mahdollisuus lähettää vastaus icmp-net-unreachable, icmp-proto-unreachable, icmp-net-kielletty и icmp-host-prohibited).
DROP
Jos DROPilla on sääntö, paketit yksinkertaisesti "katoavat".
iptables -A INPUT -p tcp --dport 12345 -j DROP
Käynnistämme asiakkaan ja näemme, että se jäätyy palvelimeen yhdistämisen vaiheessa. Katsotaanpa liikennettä:
Liikenteen kaatopaikka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Voidaan nähdä, että asiakas lähettää SYN-paketteja eksponentiaalisesti kasvavalla aikakatkaisulla. Joten löysimme asiakkaasta pienen bugin: sinun on käytettävä menetelmää settimeout()rajoittaa aikaa, jonka asiakas yrittää muodostaa yhteyden palvelimeen.
Poistamme välittömästi säännön:
iptables -D INPUT -p tcp --dport 12345 -j DROPVoit poistaa kaikki säännöt kerralla:
iptables -F
Jos käytät Dockeria ja sinun on suojattava palomuuri kaikesta säilöön tulevasta liikenteestä, voit tehdä sen seuraavasti:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
HYLÄTÄ
Lisätään nyt samanlainen sääntö, mutta hylkäämällä:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Asiakas poistuu sekunnin kuluttua virheestä [Errno 111] Yhteys estetty. Katsotaanpa ICMP-liikennettä:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Voidaan nähdä, että asiakas sai kahdesti portti tavoittamaton ja sitten päättyi virheeseen.
hylkää tcp-resetillä
Yritetään lisätä vaihtoehto --reject-with tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
Tässä tapauksessa asiakas poistuu välittömästi virheestä, koska ensimmäinen pyyntö vastaanotti RST-paketin:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
hylkää komennolla icmp-host-unreachable
Kokeillaan toista vaihtoehtoa HYLÄKSI:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Asiakas poistuu sekunnin kuluttua virheestä [Errno 113] Ei reittiä isäntälle, näemme ICMP-liikenteessä ICMP-isäntä 127.0.0.1 ei ole tavoitettavissa.
Voit myös kokeilla muita REJECT-parametreja, ja minä keskityn näihin :)
Simuloidaan pyynnön aikakatkaisu
Toinen tilanne on, kun asiakas pystyi muodostamaan yhteyden palvelimeen, mutta ei voi lähettää pyyntöä sille. Kuinka suodattaa paketteja niin, että suodatus ei ala heti? Jos tarkastellaan asiakkaan ja palvelimen välisen viestinnän liikennettä, huomaa, että yhteyttä muodostettaessa käytetään vain SYN- ja ACK-lippuja, mutta dataa vaihdettaessa viimeinen pyyntöpaketti sisältää PSH-lipun. Se asentuu automaattisesti puskuroinnin välttämiseksi. Voit käyttää näitä tietoja suodattimen luomiseen: se sallii kaikki paketit paitsi ne, jotka sisältävät PSH-lipun. Näin yhteys muodostetaan, mutta asiakas ei voi lähettää tietoja palvelimelle.
DROP
DROP:lle komento näyttäisi tältä:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Käynnistä asiakas ja seuraa liikennettä:
Liikenteen kaatopaikka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Näemme, että yhteys on muodostettu eikä asiakas voi lähettää tietoja palvelimelle.
HYLÄTÄ
Tässä tapauksessa käyttäytyminen on sama: asiakas ei voi lähettää pyyntöä, mutta vastaanottaa ICMP 127.0.0.1 tcp-porttiin 12345 ei saada yhteyttä ja pidentää pyyntöjen uudelleenlähetysten välistä aikaa eksponentiaalisesti. Komento näyttää tältä:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
hylkää tcp-resetillä
Komento näyttää tältä:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Tiedämme sen jo käytössä --reject-with tcp-reset asiakas saa vastauksena RST-paketin, joten käyttäytyminen voidaan ennustaa: RST-paketin vastaanottaminen yhteyden muodostuessa tarkoittaa, että pistoke sulkeutuu odottamatta toisella puolella, mikä tarkoittaa, että asiakkaan pitäisi saada Yhteys nollattu vertaishenkilön toimesta. Suoritetaan skriptimme ja varmistetaan tämä. Ja liikenne näyttää tältä:
Liikenteen kaatopaikka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
hylkää komennolla icmp-host-unreachable
Luulen, että kaikille on jo selvää, miltä komento tulee näyttämään :) Asiakkaan käyttäytyminen tässä tapauksessa on hieman erilainen kuin yksinkertaisella hylkäämisellä: asiakas ei lisää aikakatkaisua paketin uudelleenlähetysyritysten välillä.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
johtopäätös
Palvelun vuorovaikutuksen testaamiseksi ripustetun asiakkaan tai palvelimen kanssa ei tarvitse kirjoittaa pilkkua, joskus riittää, että käytetään Linuxissa olevia tavallisia apuohjelmia.
Artikkelissa käsitellyillä apuohjelmilla on jopa enemmän ominaisuuksia kuin kuvattiin, joten voit keksiä joitain omia käyttövaihtoehtojasi. Henkilökohtaisesti minulla on aina tarpeeksi siitä, mistä kirjoitin (itse asiassa jopa vähemmän). Jos käytät näitä tai vastaavia apuohjelmia testaamisessa yrityksessäsi, kirjoita kuinka tarkalleen. Jos ei, niin toivon, että ohjelmistosi paranee, jos päätät testata sitä verkko-ongelmien olosuhteissa ehdotettujen menetelmien avulla.
Lähde: will.com