ProHoster > Blog > Administración > Simulación de problemas de rede en Linux

Simulación de problemas de rede en Linux

Ola a todos, chámome Sasha, dirixo as probas de backend en FunCorp. Nós, como moitos outros, implementamos unha arquitectura orientada a servizos. Por unha banda, isto simplifica o traballo, porque... É máis doado probar cada servizo por separado, pero, por outra banda, é necesario probar a interacción dos servizos entre si, que moitas veces ocorre a través da rede.

Neste artigo, falarei de dúas utilidades que se poden usar para comprobar escenarios básicos que describen o funcionamento dunha aplicación en presenza de problemas de rede.

Simulación de problemas de rede en Linux

Simulación de problemas de rede

Normalmente, o software é probado en servidores de proba cunha boa conexión a Internet. En ambientes de produción difíciles, as cousas poden non ser tan suaves, polo que ás veces cómpre probar programas en malas condicións de conexión. En Linux, a utilidade axudará coa tarefa de simular tales condicións tc.

tc(abr. de Control de Tráfico) permite configurar a transmisión de paquetes de rede no sistema. Esta utilidade ten grandes capacidades, podes ler máis sobre elas aquí. Aquí vou considerar só algúns deles: estamos interesados ​​na programación do tráfico, para o que utilizamos qdisc, e dado que necesitamos emular unha rede inestable, usaremos qdisc sen clase netem.

Imos lanzar un servidor de eco no servidor (eu usei nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

Para mostrar en detalle todas as marcas de tempo en cada paso da interacción entre o cliente e o servidor, escribín un sinxelo script de Python que envía unha solicitude Proba ao noso servidor de eco.

Código fonte do cliente

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

Imos lanzalo e ver o tráfico na interface lo e porto 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

Vertedoiro de tráfico

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

Todo é estándar: un apretón de mans de tres vías, PSH/ACK e ACK en resposta dúas veces - este é o intercambio de solicitude e resposta entre o cliente e o servidor, e FIN/ACK e ACK dúas veces - completando a conexión.

Atraso do paquete

Agora imos establecer o atraso en 500 milisegundos:

tc qdisc add dev lo root netem delay 500ms

Lanzamos o cliente e vemos que o script agora se executa durante 2 segundos:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

Que hai no tráfico? Vexamos:

Vertedoiro de tráfico

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

Podes ver que o atraso esperado de medio segundo apareceu na interacción entre o cliente e o servidor. O sistema compórtase de forma moito máis interesante se o atraso é maior: o núcleo comeza a reenviar algúns paquetes TCP. Cambiamos o atraso a 1 segundo e miramos o tráfico (non vou mostrar a saída do cliente, hai os 4 segundos esperados de duración total):

tc qdisc change dev lo root netem delay 1s

Vertedoiro de tráfico

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

Pódese ver que o cliente enviou un paquete SYN dúas veces e o servidor enviou dúas veces un SYN/ACK.

Ademais dun valor constante, o atraso pódese establecer nunha desviación, unha función de distribución e unha correlación (co valor do paquete anterior). Isto faise do seguinte xeito:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

Aquí establecemos o atraso entre 100 e 900 milisegundos, os valores seleccionaranse segundo unha distribución normal e haberá unha correlación do 50% co valor de atraso do paquete anterior.

Quizais teñades contado que no primeiro comando que usei engadir, e logo cambio. O significado destes comandos é obvio, así que engadirei que hai máis do, que se pode usar para eliminar a configuración.

Perda de paquetes

Imos agora tentar facer a perda de paquetes. Como se pode ver na documentación, isto pódese facer de tres xeitos: perdendo paquetes aleatoriamente con certa probabilidade, utilizando unha cadea de Markov de 2, 3 ou 4 estados para calcular a perda de paquetes ou utilizando o modelo de Elliott-Gilbert. No artigo considerarei o primeiro método (o máis sinxelo e obvio) e podes ler sobre outros aquí.

Imos facer a perda do 50% dos paquetes cunha correlación do 25%:

tc qdisc add dev lo root netem loss 50% 25%

Desafortunadamente, tcpdump non poderá mostrarnos claramente a perda de paquetes, só asumiremos que realmente funciona. E o tempo de execución aumentado e inestable do script axudaranos a verificalo. cliente.py (pódese completar ao instante, ou quizais en 20 segundos), así como un maior número de paquetes retransmitidos:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

Engadindo ruído aos paquetes

Ademais da perda de paquetes, pode simular o dano do paquete: o ruído aparecerá nunha posición aleatoria do paquete. Fagamos danos ao paquete cunha probabilidade do 50% e sen correlación:

tc qdisc change dev lo root netem corrupt 50%

Executamos o script do cliente (non hai nada interesante alí, pero tardou 2 segundos en completarse), mira o tráfico:

Vertedoiro de tráfico

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

Pódese ver que algúns paquetes foron enviados repetidamente e hai un paquete con metadatos rotos: opcións [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Pero o principal é que ao final todo funcionou correctamente - TCP fixo fronte á súa tarefa.

Duplicación de paquetes

Con que máis podes facer netem? Por exemplo, simula a situación inversa de perda de paquetes: duplicación de paquetes. Este comando tamén leva 2 argumentos: probabilidade e correlación.

tc qdisc change dev lo root netem duplicate 50% 25%

Cambiando a orde dos paquetes

Podes mesturar as bolsas de dúas formas.

No primeiro, algúns paquetes envíanse inmediatamente, o resto cun atraso especificado. Exemplo da documentación:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

Cunha probabilidade do 25% (e unha correlación do 50%) o paquete enviarase inmediatamente, o resto enviarase cun atraso de 10 milisegundos.

O segundo método é cando cada paquete enésimo se envía ao instante cunha probabilidade (e correlación) determinada e o resto cun atraso determinado. Exemplo da documentación:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

Cada quinto paquete ten un 25 % de posibilidades de ser enviado sen demora.

Cambiando o ancho de banda

Normalmente en todos os lugares aos que se refiren TBF, pero coa axuda netem Tamén pode cambiar o ancho de banda da interface:

tc qdisc change dev lo root netem rate 56kbit

Este equipo fará camiñadas localhost tan doloroso como navegar por Internet a través dun módem de acceso telefónico. Ademais de establecer a taxa de bits, tamén pode emular o modelo de protocolo da capa de enlace: establece a sobrecarga para o paquete, o tamaño da cela e a sobrecarga da cela. Por exemplo, isto pódese simular ATM e taxa de bits 56 kbit/s:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

Simulando o tempo de espera da conexión

Outro punto importante no plan de proba ao aceptar software son os tempos de espera. Isto é importante porque nos sistemas distribuídos, cando un dos servizos está desactivado, os outros deben recorrer a tempo aos outros ou devolverlle un erro ao cliente, e en ningún caso deben simplemente colgarse, agardando unha resposta ou unha conexión. a establecer.

Hai varias formas de facelo: por exemplo, usar un simulacro que non responde, ou conectarse ao proceso mediante un depurador, poñer un punto de interrupción no lugar correcto e deter o proceso (probablemente este sexa o xeito máis pervertido). Pero un dos máis obvios é os portos ou hosts de firewall. Axudaranos con isto iptables.

Para demostración, faremos o porto de firewall 12345 e executaremos o noso script cliente. Pode cortar o firewall para os paquetes saíntes a este porto no remitente ou os paquetes entrantes no receptor. Nos meus exemplos, os paquetes entrantes estarán protexidos por firewall (usamos a cadea INPUT e a opción --dport). Tales paquetes poden ser DROP, REJECT ou REJECT coa marca TCP RST, ou con host ICMP inalcanzable (de feito, o comportamento predeterminado é icmp-port-inaccessible, e tamén hai a oportunidade de enviar unha resposta icmp-net-inaccesible, icmp-proto-inalcanzable, icmp-net-prohibido и icmp-host-prohibido).

GOTAR

Se hai unha regra con DROP, os paquetes simplemente "desaparecerán".

iptables -A INPUT -p tcp --dport 12345 -j DROP

Lanzamos o cliente e vemos que se conxela na fase de conexión ao servidor. Vexamos o tráfico:
Vertedoiro de tráfico

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

Pódese ver que o cliente envía paquetes SYN cun tempo de espera que aumenta exponencialmente. Así que atopamos un pequeno erro no cliente: cómpre usar o método settimeout()para limitar o tempo durante o cal o cliente tentará conectarse ao servidor.

Eliminamos inmediatamente a regra:

iptables -D INPUT -p tcp --dport 12345 -j DROP

Podes eliminar todas as regras á vez:

iptables -F

Se estás a usar Docker e necesitas cortar todo o tráfico que vai ao contedor, podes facelo do seguinte xeito:

iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

REXECTAR

Agora imos engadir unha regra semellante, pero con RECHAZAR:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

O cliente sae despois dun segundo cun erro [Errno 111] Conexión rexeitada. Vexamos o tráfico ICMP:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

Pódese ver que o cliente recibiu dúas veces porto inalcanzable e despois rematou cun erro.

REXECTAR con tcp-reset

Imos tentar engadir a opción --reject-con tcp-reset:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

Neste caso, o cliente sae inmediatamente cun erro, porque a primeira solicitude recibiu un paquete RST:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

REXECTAR con icmp-host-unaccechable

Probemos outra opción para usar REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

O cliente sae despois dun segundo cun erro [Errno 113] Non hai ruta para o host, vemos no tráfico ICMP Anfitrión ICMP 127.0.0.1 inalcanzable.

Tamén podes probar os outros parámetros REJECT, e centrareime nestes :)

Simulando o tempo de espera da solicitude

Outra situación é cando o cliente puido conectarse ao servidor, pero non pode enviarlle unha solicitude. Como filtrar paquetes para que o filtrado non se inicie inmediatamente? Se observas o tráfico de calquera comunicación entre o cliente e o servidor, notarás que ao establecer unha conexión só se usan os indicadores SYN e ACK, pero ao intercambiar datos, o último paquete de solicitude conterá a marca PSH. Instálase automaticamente para evitar o almacenamento no búfer. Podes usar esta información para crear un filtro: permitirá todos os paquetes excepto os que conteñan a marca PSH. Así, establecerase a conexión, pero o cliente non poderá enviar datos ao servidor.

GOTAR

Para DROP, o comando sería así:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

Inicia o cliente e observa o tráfico:

Vertedoiro de tráfico

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

Vemos que a conexión está establecida e o cliente non pode enviar datos ao servidor.

REXECTAR

Neste caso o comportamento será o mesmo: o cliente non poderá enviar a solicitude, pero recibirá ICMP 127.0.0.1 tcp porto 12345 inalcanzable e aumentar exponencialmente o tempo entre as solicitudes de novo envío. O comando ten o seguinte aspecto:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

REXECTAR con tcp-reset

O comando ten o seguinte aspecto:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

Xa o sabemos ao usar --reject-con tcp-reset o cliente recibirá un paquete RST en resposta, polo que se pode predecir o comportamento: recibir un paquete RST mentres se establece a conexión significa que o socket está pechado inesperadamente do outro lado, o que significa que o cliente debería recibir Restablece a conexión polo compañeiro. Imos executar o noso script e asegúrese diso. E así será o tráfico:

Vertedoiro de tráfico

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

REXECTAR con icmp-host-unaccechable

Creo que xa é obvio para todos como será o comando :) O comportamento do cliente neste caso será lixeiramente diferente ao dun simple REXEITO: o cliente non aumentará o tempo de espera entre os intentos de reenviar o paquete.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

Saída

Non é necesario escribir unha simulación para probar a interacción dun servizo cun cliente ou servidor colgado; ás veces basta con usar utilidades estándar que se atopan en Linux.

As utilidades que se comentan no artigo teñen aínda máis capacidades das descritas, polo que podes crear algunhas das túas propias opcións para usalas. Persoalmente, sempre teño abondo do que escribín (de feito, aínda menos). Se usas estas utilidades ou similares nas probas na túa empresa, escribe como exactamente. Se non, espero que o teu software mellore se decides probalo en condicións de problemas de rede usando os métodos suxeridos.

Fonte: www.habr.com

Engadir un comentario