Ciao a tutti, mi chiamo Sasha, conduco i test di backend presso FunCorp. Noi, come molti altri, abbiamo implementato un'architettura orientata ai servizi. Da un lato, questo semplifica il lavoro, perché È più semplice testare ciascun servizio separatamente, ma d'altra parte è necessario testare l'interazione dei servizi tra loro, che spesso avviene sulla rete.
In questo articolo parlerò di due utilità che possono essere utilizzate per verificare scenari base che descrivono il funzionamento di un'applicazione in presenza di problemi di rete.
Simulazione di problemi di rete
In genere, il software viene testato su server di prova con una buona connessione Internet. Negli ambienti di produzione difficili, le cose potrebbero non essere così fluide, quindi a volte è necessario testare i programmi in condizioni di connessione scadenti. Su Linux, l'utilità aiuterà nel compito di simulare tali condizioni tc.
tc(abbr. dal controllo del traffico) consente di configurare la trasmissione dei pacchetti di rete nel sistema. Questa utility ha grandi capacità, puoi leggere di più al riguardo . Qui ne prenderò in considerazione solo alcuni: a noi interessa la pianificazione del traffico, per la quale utilizziamo qdisc, e poiché dobbiamo emulare una rete instabile, utilizzeremo qdisc senza classi .
Lanciamo un echo server sul server (ho usato ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Per visualizzare in dettaglio tutti i timestamp in ogni fase di interazione tra client e server, ho scritto un semplice script Python che invia una richiesta Test al nostro server eco.
Codice sorgente del cliente
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Lanciamolo e osserviamo il traffico sull'interfaccia lo e porta 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Discarica di traffico
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Tutto è standard: un handshake a tre vie, PSH/ACK e ACK in risposta due volte - questo è lo scambio di richiesta e risposta tra il client e il server, e FIN/ACK e ACK due volte - completando la connessione.
Ritardo del pacchetto
Ora impostiamo il ritardo su 500 millisecondi:
tc qdisc add dev lo root netem delay 500ms
Lanciamo il client e vediamo che lo script ora viene eseguito per 2 secondi:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Cosa c'è nel traffico? Guardiamo:
Discarica di traffico
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Puoi vedere che il ritardo previsto di mezzo secondo è apparso nell'interazione tra il client e il server. Il sistema si comporta in modo molto più interessante se il ritardo è maggiore: il kernel inizia a inviare nuovamente alcuni pacchetti TCP. Modifichiamo il ritardo a 1 secondo e osserviamo il traffico (non mostrerò l'output del client, ci sono 4 secondi previsti nella durata totale):
tc qdisc change dev lo root netem delay 1s
Discarica di traffico
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Si può vedere che il client ha inviato due volte un pacchetto SYN e il server ha inviato due volte un SYN/ACK.
Oltre a un valore costante, il ritardo può essere impostato su una deviazione, una funzione di distribuzione e una correlazione (con il valore del pacchetto precedente). Questo viene fatto come segue:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Qui abbiamo impostato il ritardo tra 100 e 900 millisecondi, i valori verranno selezionati secondo una distribuzione normale e ci sarà una correlazione del 50% con il valore di ritardo del pacchetto precedente.
Potresti averlo notato nel primo comando che ho usato aggiungeree poi il cambiamento. Il significato di questi comandi è ovvio, quindi aggiungo semplicemente che c'è altro del, che può essere utilizzato per rimuovere la configurazione.
Perdita di pacchetti
Proviamo ora a eseguire la perdita di pacchetti. Come si può vedere dalla documentazione, ciò può essere fatto in tre modi: perdendo i pacchetti in modo casuale con una certa probabilità, utilizzando una catena di Markov di 2, 3 o 4 stati per calcolare la perdita di pacchetti o utilizzando il modello Elliott-Gilbert. Nell'articolo prenderò in considerazione il primo metodo (il più semplice e ovvio), e potrai leggere degli altri .
Consideriamo la perdita del 50% dei pacchetti con una correlazione del 25%:
tc qdisc add dev lo root netem loss 50% 25%
Sfortunatamente, tcpdump non sarà in grado di mostrarci chiaramente la perdita di pacchetti, daremo solo per scontato che funzioni davvero. E il tempo di esecuzione aumentato e instabile dello script ci aiuterà a verificarlo. cliente.py (può essere completato istantaneamente, o forse in 20 secondi), così come un numero maggiore di pacchetti ritrasmessi:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Aggiunta di rumore ai pacchetti
Oltre alla perdita del pacchetto, è possibile simulare il danneggiamento del pacchetto: il rumore apparirà in una posizione casuale del pacchetto. Facciamo un danno al pacchetto con una probabilità del 50% e senza correlazione:
tc qdisc change dev lo root netem corrupt 50%
Eseguiamo lo script client (niente di interessante lì, ma ci sono voluti 2 secondi per completarlo), osserviamo il traffico:
Discarica di traffico
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Si può vedere che alcuni pacchetti sono stati inviati ripetutamente e che è presente un pacchetto con metadati interrotti: opzioni [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Ma la cosa principale è che alla fine tutto ha funzionato correttamente: TCP ha affrontato il suo compito.
Duplicazione dei pacchetti
Cos'altro puoi fare con netem? Ad esempio, simula la situazione inversa della perdita di pacchetti: la duplicazione dei pacchetti. Anche questo comando accetta 2 argomenti: probabilità e correlazione.
tc qdisc change dev lo root netem duplicate 50% 25%
Modifica dell'ordine dei pacchetti
Puoi mescolare i sacchetti in due modi.
Nella prima alcuni pacchetti vengono inviati immediatamente, gli altri con un ritardo specificato. Esempio dalla documentazione:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Con una probabilità del 25% (e una correlazione del 50%) il pacchetto verrà inviato immediatamente, il resto verrà inviato con un ritardo di 10 millisecondi.
Il secondo metodo prevede che ogni ennesimo pacchetto venga inviato istantaneamente con una determinata probabilità (e correlazione) e il resto con un determinato ritardo. Esempio dalla documentazione:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Ogni quinto pacco ha una probabilità del 25% di essere spedito senza ritardi.
Modifica della larghezza di banda
Di solito ovunque si riferiscano , ma con l'aiuto netem Puoi anche modificare la larghezza di banda dell'interfaccia:
tc qdisc change dev lo root netem rate 56kbit
Questa squadra farà delle passeggiate in giro localhost doloroso quanto navigare in Internet tramite un modem dial-up. Oltre a impostare il bitrate, puoi anche emulare il modello del protocollo del livello di collegamento: imposta l'overhead per il pacchetto, la dimensione della cella e l'overhead per la cella. Ad esempio, questo può essere simulato e bitrate 56 kbit/sec:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simulazione del timeout della connessione
Un altro punto importante nel piano di test quando si accetta il software sono i timeout. Questo è importante perché nei sistemi distribuiti, quando uno dei servizi è disabilitato, gli altri devono ricorrere agli altri in tempo o restituire un errore al client, e in nessun caso devono semplicemente bloccarsi, in attesa di una risposta o di una connessione da stabilire.
Esistono diversi modi per farlo: ad esempio, utilizzare un mock che non risponde o connettersi al processo utilizzando un debugger, inserire un punto di interruzione nel posto giusto e interrompere il processo (questo è probabilmente il modo più perverso). Ma uno dei più ovvi è il firewall delle porte o degli host. Ci aiuterà in questo .
A scopo dimostrativo, firewalleremo la porta 12345 ed eseguiremo il nostro script client. È possibile firewallare i pacchetti in uscita su questa porta presso il mittente o i pacchetti in entrata presso il destinatario. Nei miei esempi, i pacchetti in entrata verranno protetti da firewall (usiamo la catena INPUT e l'opzione --dporta). Tali pacchetti possono essere DROP, REJECT o REJECT con il flag TCP RST, oppure con host ICMP irraggiungibile (infatti il comportamento predefinito è porta-icmp-irraggiungibile, e c'è anche la possibilità di inviare una risposta icmp-net-irraggiungibile, icmp-proto-irraggiungibile, icmp-net-proibito и icmp-host-proibito).
GOCCIA
Se esiste una regola con DROP, i pacchetti semplicemente “scompariranno”.
iptables -A INPUT -p tcp --dport 12345 -j DROP
Lanciamo il client e vediamo che si blocca nella fase di connessione al server. Diamo un'occhiata al traffico:
Discarica di traffico
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Si può vedere che il client invia pacchetti SYN con un timeout crescente in modo esponenziale. Quindi abbiamo trovato un piccolo bug nel client: è necessario utilizzare il metodo settimeout()per limitare il tempo durante il quale il client tenterà di connettersi al server.
Togliamo subito la regola:
iptables -D INPUT -p tcp --dport 12345 -j DROPPuoi eliminare tutte le regole contemporaneamente:
iptables -F
Se stai utilizzando Docker e hai bisogno di proteggere tutto il traffico diretto al contenitore, puoi farlo come segue:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
RIFIUTARE
Ora aggiungiamo una regola simile, ma con REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Il client esce dopo un secondo con un errore [Errno 111] Connessione rifiutata. Diamo un'occhiata al traffico ICMP:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Si può vedere che il cliente ha ricevuto due volte porto irraggiungibile e poi si è concluso con un errore.
RIFIUTARE con tcp-reset
Proviamo ad aggiungere l'opzione --reject-con tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
In questo caso il client esce immediatamente con un errore, perché la prima richiesta ha ricevuto un pacchetto RST:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
RIFIUTARE con icmp-host-irraggiungibile
Proviamo un'altra opzione per utilizzare REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Il client esce dopo un secondo con un errore [Errno 113] Nessun percorso verso l'host, vediamo nel traffico ICMP Host ICMP 127.0.0.1 irraggiungibile.
Puoi anche provare gli altri parametri REJECT e mi concentrerò su questi :)
Simulazione del timeout della richiesta
Un'altra situazione è quando il client è riuscito a connettersi al server, ma non può inviargli una richiesta. Come filtrare i pacchetti in modo che il filtraggio non venga avviato immediatamente? Se osservi il traffico di qualsiasi comunicazione tra il client e il server, noterai che quando si stabilisce una connessione vengono utilizzati solo i flag SYN e ACK, ma quando si scambiano dati, l'ultimo pacchetto di richiesta conterrà il flag PSH. Si installa automaticamente per evitare buffering. Puoi utilizzare queste informazioni per creare un filtro: consentirà tutti i pacchetti tranne quelli contenenti il flag PSH. Pertanto, la connessione verrà stabilita, ma il client non sarà in grado di inviare dati al server.
GOCCIA
Per DROP il comando sarebbe simile al seguente:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Avvia il client e osserva il traffico:
Discarica di traffico
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Vediamo che la connessione è stabilita e il client non può inviare dati al server.
RIFIUTARE
In questo caso il comportamento sarà lo stesso: il client non potrà inviare la richiesta, ma la riceverà Porta TCP 127.0.0.1 ICMP 12345 non raggiungibile e aumentare esponenzialmente il tempo tra i nuovi invii delle richieste. Il comando è simile al seguente:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
RIFIUTARE con tcp-reset
Il comando è simile al seguente:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Lo sappiamo già durante l'utilizzo --reject-con tcp-reset il client riceverà un pacchetto RST in risposta, quindi il comportamento può essere previsto: ricevere un pacchetto RST mentre la connessione è stabilita significa che il socket è inaspettatamente chiuso dall'altra parte, il che significa che il client dovrebbe ricevere Connessione ripristinata dal peer. Eseguiamo il nostro script e assicuriamoci di questo. Ed ecco come apparirà il traffico:
Discarica di traffico
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
RIFIUTARE con icmp-host-irraggiungibile
Penso che sia già ovvio a tutti come sarà il comando :) Il comportamento del client in questo caso sarà leggermente diverso da quello con un semplice REJECT: il client non aumenterà il timeout tra i tentativi di inviare nuovamente il pacchetto.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
conclusione
Non è necessario scrivere un mock per testare l'interazione di un servizio con un client o un server bloccato, a volte è sufficiente utilizzare le utilità standard presenti in Linux.
Le utilità discusse nell'articolo hanno ancora più funzionalità di quelle descritte, quindi puoi trovare alcune delle tue opzioni per utilizzarle. Personalmente ne ho sempre abbastanza di quello che ho scritto (anzi, anche meno). Se utilizzi queste o utilità simili durante i test nella tua azienda, scrivi come esattamente. In caso contrario, spero che il tuo software migliorerà se decidi di testarlo in condizioni di problemi di rete utilizzando i metodi suggeriti.
Fonte: habr.com