ProHoster > blog > administrasi > Mensimulasikan masalah jaringan di Linux

Mensimulasikan masalah jaringan di Linux

Halo semuanya, nama saya Sasha, saya memimpin pengujian backend di FunCorp. Kami, seperti banyak orang lainnya, telah menerapkan arsitektur berorientasi layanan. Di satu sisi, ini menyederhanakan pekerjaan, karena... Lebih mudah untuk menguji setiap layanan secara terpisah, namun di sisi lain, ada kebutuhan untuk menguji interaksi layanan satu sama lain, yang sering terjadi melalui jaringan.

Pada artikel ini, saya akan membahas dua utilitas yang dapat digunakan untuk memeriksa skenario dasar yang menjelaskan pengoperasian aplikasi jika ada masalah jaringan.

Mensimulasikan masalah jaringan di Linux

Mensimulasikan masalah jaringan

Biasanya, perangkat lunak diuji pada server pengujian dengan koneksi Internet yang baik. Dalam lingkungan produksi yang keras, segalanya mungkin tidak berjalan mulus, jadi terkadang Anda perlu menguji program dalam kondisi koneksi yang buruk. Di Linux, utilitas akan membantu tugas mensimulasikan kondisi seperti itu tc.

tc(singkat. dari Kontrol Lalu Lintas) memungkinkan Anda untuk mengkonfigurasi transmisi paket jaringan dalam sistem. Utilitas ini memiliki kemampuan luar biasa, Anda dapat membaca lebih lanjut tentangnya di sini. Di sini saya hanya akan mempertimbangkan beberapa di antaranya: kami tertarik pada penjadwalan lalu lintas, yang kami gunakan qdisc, dan karena kita perlu meniru jaringan yang tidak stabil, kita akan menggunakan qdisc tanpa kelas netem.

Mari kita luncurkan server gema di server (saya menggunakan nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

Untuk menampilkan secara detail semua cap waktu pada setiap langkah interaksi antara klien dan server, saya menulis skrip Python sederhana yang mengirimkan permintaan uji ke server gema kami.

Kode sumber klien

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

Mari kita luncurkan dan lihat lalu lintas di antarmuka lo dan port 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

Tempat pembuangan lalu lintas

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

Semuanya standar: jabat tangan tiga arah, PSH/ACK dan ACK sebagai respons dua kali - ini adalah pertukaran permintaan dan respons antara klien dan server, dan FIN/ACK dan ACK dua kali - menyelesaikan koneksi.

Penundaan paket

Sekarang mari kita atur penundaannya menjadi 500 milidetik:

tc qdisc add dev lo root netem delay 500ms

Kami meluncurkan klien dan melihat bahwa skrip sekarang berjalan selama 2 detik:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

Apa yang ada di lalu lintas? Mari lihat:

Tempat pembuangan lalu lintas

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

Anda dapat melihat bahwa jeda setengah detik yang diharapkan telah muncul dalam interaksi antara klien dan server. Sistem berperilaku jauh lebih menarik jika lagnya lebih besar: kernel mulai mengirim ulang beberapa paket TCP. Mari kita ubah penundaan menjadi 1 detik dan lihat lalu lintasnya (Saya tidak akan menampilkan keluaran klien, perkiraan durasi totalnya adalah 4 detik):

tc qdisc change dev lo root netem delay 1s

Tempat pembuangan lalu lintas

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

Terlihat klien mengirimkan paket SYN dua kali, dan server mengirimkan SYN/ACK dua kali.

Selain nilai konstan, penundaan dapat diatur ke deviasi, fungsi distribusi, dan korelasi (dengan nilai paket sebelumnya). Ini dilakukan sebagai berikut:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

Di sini kita telah mengatur penundaan antara 100 dan 900 milidetik, nilai akan dipilih sesuai dengan distribusi normal dan akan ada korelasi 50% dengan nilai penundaan paket sebelumnya.

Anda mungkin telah memperhatikan hal itu pada perintah pertama yang saya gunakan menambahkan, seorang pria perubahan. Arti dari perintah ini jelas, jadi saya akan menambahkan bahwa masih ada lagi itu, yang dapat digunakan untuk menghapus konfigurasi.

Kehilangan Paket

Sekarang mari kita coba melakukan packet loss. Seperti dapat dilihat dari dokumentasi, hal ini dapat dilakukan dengan tiga cara: kehilangan paket secara acak dengan beberapa kemungkinan, menggunakan rantai Markov dengan 2, 3 atau 4 status untuk menghitung kehilangan paket, atau menggunakan model Elliott-Gilbert. Dalam artikel ini saya akan membahas metode pertama (paling sederhana dan paling jelas), dan Anda dapat membaca tentang metode lainnya di sini.

Mari kita buat hilangnya 50% paket dengan korelasi 25%:

tc qdisc add dev lo root netem loss 50% 25%

Sayangnya, tcpdump tidak akan dapat dengan jelas menunjukkan kepada kita hilangnya paket, kita hanya akan berasumsi bahwa itu benar-benar berfungsi. Dan waktu berjalan skrip yang meningkat dan tidak stabil akan membantu kami memverifikasi hal ini. klien.py (dapat diselesaikan secara instan, atau mungkin dalam 20 detik), serta peningkatan jumlah paket yang dikirimkan ulang:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

Menambahkan kebisingan ke paket

Selain kehilangan paket, Anda dapat mensimulasikan kerusakan paket: noise akan muncul pada posisi paket acak. Mari kita buat kerusakan paket dengan probabilitas 50% dan tanpa korelasi:

tc qdisc change dev lo root netem corrupt 50%

Kami menjalankan skrip klien (tidak ada yang menarik di sana, tetapi butuh 2 detik untuk menyelesaikannya), lihat lalu lintasnya:

Tempat pembuangan lalu lintas

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

Terlihat beberapa paket dikirim berulang kali dan terdapat satu paket dengan metadata yang rusak: opsi [nop,unknown-65 0x0a3dcf62eb3d,[pilihan buruk]>. Tetapi yang utama adalah pada akhirnya semuanya berfungsi dengan benar - TCP mengatasi tugasnya.

Duplikasi paket

Apa lagi yang bisa Anda lakukan netem? Misalnya, simulasikan situasi kebalikan dari kehilangan paketβ€”duplikasi paket. Perintah ini juga membutuhkan 2 argumen: probabilitas dan korelasi.

tc qdisc change dev lo root netem duplicate 50% 25%

Mengubah urutan paket

Anda dapat mencampur tas dengan dua cara.

Yang pertama, beberapa paket dikirim segera, sisanya dengan penundaan tertentu. Contoh dari dokumentasi:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

Dengan probabilitas 25% (dan korelasi 50%) paket akan segera terkirim, selebihnya akan terkirim dengan penundaan 10 milidetik.

Metode kedua adalah ketika setiap paket ke-N dikirim secara instan dengan probabilitas (dan korelasi) tertentu, dan sisanya dengan penundaan tertentu. Contoh dari dokumentasi:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

Setiap paket kelima memiliki peluang 25% untuk dikirim tanpa penundaan.

Mengubah Bandwidth

Biasanya kemanapun mereka merujuk TBF, tetapi dengan bantuan netem Anda juga dapat mengubah bandwidth antarmuka:

tc qdisc change dev lo root netem rate 56kbit

Tim ini akan melakukan perjalanan keliling localhost sama menyakitkannya dengan berselancar di Internet melalui modem dial-up. Selain mengatur bitrate, Anda juga dapat meniru model protokol lapisan tautan: mengatur overhead untuk paket, ukuran sel, dan overhead untuk sel. Misalnya, ini bisa disimulasikan ATM dan kecepatan bit 56 kbit/detik:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

Mensimulasikan batas waktu koneksi

Poin penting lainnya dalam rencana pengujian saat menerima perangkat lunak adalah batas waktu. Hal ini penting karena dalam sistem terdistribusi, ketika salah satu layanan dinonaktifkan, layanan lain harus kembali ke layanan lain tepat waktu atau mengembalikan kesalahan ke klien, dan layanan tersebut tidak boleh hang begitu saja, menunggu respons atau koneksi. untuk didirikan.

Ada beberapa cara untuk melakukan ini: misalnya, gunakan tiruan yang tidak merespons, atau sambungkan ke proses menggunakan debugger, letakkan breakpoint di tempat yang tepat dan hentikan proses (ini mungkin cara yang paling sesat). Namun salah satu yang paling kentara adalah firewall port atau host. Ini akan membantu kita dalam hal ini iptables.

Untuk demonstrasi, kami akan mem-firewall port 12345 dan menjalankan skrip klien kami. Anda dapat mem-firewall paket keluar ke port ini di pengirim atau paket masuk di penerima. Dalam contoh saya, paket masuk akan di-firewall (kami menggunakan rantai INPUT dan opsi --dport). Paket tersebut dapat berupa DROP, REJECT, atau REJECT dengan flag TCP RST, atau dengan host ICMP yang tidak dapat dijangkau (sebenarnya, perilaku defaultnya adalah icmp-port-tidak dapat dijangkau, dan ada juga kesempatan untuk mengirim balasan icmp-net-tidak dapat dijangkau, icmp-proto-tidak dapat dijangkau, icmp-net-dilarang ΠΈ icmp-host-dilarang).

DROP

Jika ada aturan dengan DROP, paket akan β€œmenghilang” begitu saja.

iptables -A INPUT -p tcp --dport 12345 -j DROP

Kami meluncurkan klien dan melihatnya macet pada tahap koneksi ke server. Mari kita lihat lalu lintasnya:
Tempat pembuangan lalu lintas

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

Dapat dilihat bahwa klien mengirimkan paket SYN dengan batas waktu yang meningkat secara eksponensial. Jadi kami menemukan bug kecil di klien: Anda perlu menggunakan metode ini waktu setel habis()untuk membatasi waktu di mana klien akan mencoba terhubung ke server.

Kami segera menghapus aturan:

iptables -D INPUT -p tcp --dport 12345 -j DROP

Anda dapat menghapus semua aturan sekaligus:

iptables -F

Jika Anda menggunakan Docker dan perlu mem-firewall semua lalu lintas yang menuju ke container, Anda dapat melakukannya dengan cara berikut:

iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

MENOLAK

Sekarang mari tambahkan aturan serupa, tetapi dengan REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

Klien keluar setelah beberapa detik dengan kesalahan [Errno 111] Koneksi ditolak. Mari kita lihat lalu lintas ICMP:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

Terlihat klien menerima dua kali pelabuhan tidak dapat dijangkau dan kemudian berakhir dengan kesalahan.

TOLAK dengan reset tcp

Mari kita coba menambahkan opsinya --tolak-dengan reset tcp:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

Dalam kasus ini, klien segera keluar dengan kesalahan, karena permintaan pertama menerima paket RST:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

TOLAK dengan icmp-host-unreachable

Mari kita coba opsi lain untuk menggunakan REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

Klien keluar setelah beberapa detik dengan kesalahan [Errno 113] Tidak ada rute untuk menjadi tuan rumah, kita lihat di lalu lintas ICMP Host ICMP 127.0.0.1 tidak dapat dijangkau.

Anda juga dapat mencoba parameter REJECT lainnya, dan saya akan fokus pada ini :)

Mensimulasikan batas waktu permintaan

Situasi lainnya adalah ketika klien dapat terhubung ke server, tetapi tidak dapat mengirim permintaan ke server tersebut. Bagaimana cara memfilter paket agar pemfilteran tidak langsung dimulai? Jika Anda melihat lalu lintas komunikasi apa pun antara klien dan server, Anda akan melihat bahwa saat membuat koneksi, hanya flag SYN dan ACK yang digunakan, tetapi saat bertukar data, paket permintaan terakhir akan berisi flag PSH. Ini menginstal secara otomatis untuk menghindari buffering. Anda dapat menggunakan informasi ini untuk membuat filter: ini akan mengizinkan semua paket kecuali yang berisi flag PSH. Dengan demikian, koneksi akan dibuat, tetapi klien tidak akan dapat mengirim data ke server.

DROP

Untuk DROP perintahnya akan terlihat seperti ini:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

Luncurkan klien dan perhatikan lalu lintas:

Tempat pembuangan lalu lintas

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

Kami melihat bahwa koneksi telah dibuat dan klien tidak dapat mengirim data ke server.

MENOLAK

Dalam hal ini perilakunya akan sama: klien tidak akan dapat mengirim permintaan, namun akan menerima ICMP 127.0.0.1 port tcp 12345 tidak dapat dijangkau dan menambah waktu antara pengiriman ulang permintaan secara eksponensial. Perintahnya terlihat seperti ini:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

TOLAK dengan reset tcp

Perintahnya terlihat seperti ini:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

Kita sudah mengetahuinya saat menggunakan --tolak-dengan reset tcp klien akan menerima paket RST sebagai respons, sehingga perilakunya dapat diprediksi: menerima paket RST saat koneksi dibuat berarti soket di sisi lain tiba-tiba tertutup, yang berarti klien harus menerima Koneksi sudah diputus. Mari kita jalankan skrip kita dan pastikan ini. Dan seperti inilah tampilan lalu lintasnya:

Tempat pembuangan lalu lintas

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

TOLAK dengan icmp-host-unreachable

Saya rasa sudah jelas bagi semua orang seperti apa tampilan perintahnya :) Perilaku klien dalam kasus ini akan sedikit berbeda dari perilaku TOLAK sederhana: klien tidak akan menambah batas waktu antara upaya mengirim ulang paket.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

Keluaran

Tidak perlu menulis tiruan untuk menguji interaksi layanan dengan klien atau server yang digantung; terkadang cukup menggunakan utilitas standar yang ditemukan di Linux.

Utilitas yang dibahas dalam artikel ini memiliki lebih banyak kemampuan daripada yang dijelaskan, sehingga Anda dapat menemukan beberapa opsi Anda sendiri untuk menggunakannya. Secara pribadi, apa yang saya tulis selalu merasa muak (bahkan lebih sedikit lagi). Jika Anda menggunakan utilitas ini atau utilitas serupa dalam pengujian di perusahaan Anda, harap tulis bagaimana tepatnya. Jika tidak, maka saya berharap perangkat lunak Anda menjadi lebih baik jika Anda memutuskan untuk mengujinya dalam kondisi masalah jaringan menggunakan metode yang disarankan.

Sumber: www.habr.com

Tambah komentar