ಎಲ್ಲರಿಗೂ ನಮಸ್ಕಾರ, ನನ್ನ ಹೆಸರು ಸಶಾ, ನಾನು FunCorp ನಲ್ಲಿ ಬ್ಯಾಕೆಂಡ್ ಪರೀಕ್ಷೆಯನ್ನು ನಡೆಸುತ್ತಿದ್ದೇನೆ. ನಾವು, ಇತರ ಅನೇಕರಂತೆ, ಸೇವಾ-ಆಧಾರಿತ ವಾಸ್ತುಶಿಲ್ಪವನ್ನು ಅಳವಡಿಸಿದ್ದೇವೆ. ಒಂದೆಡೆ, ಇದು ಕೆಲಸವನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ... ಪ್ರತಿ ಸೇವೆಯನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಪರೀಕ್ಷಿಸಲು ಸುಲಭವಾಗಿದೆ, ಆದರೆ ಮತ್ತೊಂದೆಡೆ, ಪರಸ್ಪರ ಸೇವೆಗಳ ಪರಸ್ಪರ ಕ್ರಿಯೆಯನ್ನು ಪರೀಕ್ಷಿಸುವ ಅವಶ್ಯಕತೆಯಿದೆ, ಇದು ಸಾಮಾನ್ಯವಾಗಿ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಸಂಭವಿಸುತ್ತದೆ.
ಈ ಲೇಖನದಲ್ಲಿ, ನೆಟ್ವರ್ಕ್ ಸಮಸ್ಯೆಗಳ ಉಪಸ್ಥಿತಿಯಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ವಿವರಿಸುವ ಮೂಲಭೂತ ಸನ್ನಿವೇಶಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಬಳಸಬಹುದಾದ ಎರಡು ಉಪಯುಕ್ತತೆಗಳ ಬಗ್ಗೆ ನಾನು ಮಾತನಾಡುತ್ತೇನೆ.
ನೆಟ್ವರ್ಕ್ ಸಮಸ್ಯೆಗಳನ್ನು ಅನುಕರಿಸುವುದು
ವಿಶಿಷ್ಟವಾಗಿ, ಉತ್ತಮ ಇಂಟರ್ನೆಟ್ ಸಂಪರ್ಕದೊಂದಿಗೆ ಪರೀಕ್ಷಾ ಸರ್ವರ್ಗಳಲ್ಲಿ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಪರೀಕ್ಷಿಸಲಾಗುತ್ತದೆ. ಕಠಿಣ ಉತ್ಪಾದನಾ ಪರಿಸರದಲ್ಲಿ, ವಿಷಯಗಳು ಅಷ್ಟು ಸುಗಮವಾಗಿರುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಕೆಲವೊಮ್ಮೆ ನೀವು ಕಳಪೆ ಸಂಪರ್ಕದ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಪರೀಕ್ಷಿಸಬೇಕಾಗುತ್ತದೆ. Linux ನಲ್ಲಿ, ಅಂತಹ ಪರಿಸ್ಥಿತಿಗಳನ್ನು ಅನುಕರಿಸುವ ಕಾರ್ಯದಲ್ಲಿ ಉಪಯುಕ್ತತೆಯು ಸಹಾಯ ಮಾಡುತ್ತದೆ tc.
ಟಿಸಿ(abbr. ಸಂಚಾರ ನಿಯಂತ್ರಣದಿಂದ) ಸಿಸ್ಟಮ್ನಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಪ್ಯಾಕೆಟ್ಗಳ ಪ್ರಸರಣವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಈ ಉಪಯುಕ್ತತೆಯು ಉತ್ತಮ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿದೆ, ನೀವು ಅವುಗಳ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ಓದಬಹುದು . ಇಲ್ಲಿ ನಾನು ಅವುಗಳಲ್ಲಿ ಕೆಲವನ್ನು ಮಾತ್ರ ಪರಿಗಣಿಸುತ್ತೇನೆ: ನಾವು ಸಂಚಾರ ವೇಳಾಪಟ್ಟಿಯಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೇವೆ, ಇದಕ್ಕಾಗಿ ನಾವು ಬಳಸುತ್ತೇವೆ qdisc, ಮತ್ತು ನಾವು ಅಸ್ಥಿರ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಅನುಕರಿಸುವ ಅಗತ್ಯವಿರುವುದರಿಂದ, ನಾವು ವರ್ಗರಹಿತ qdisc ಅನ್ನು ಬಳಸುತ್ತೇವೆ .
ಸರ್ವರ್ನಲ್ಲಿ ಪ್ರತಿಧ್ವನಿ ಸರ್ವರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸೋಣ (ನಾನು ಬಳಸಿದ್ದೇನೆ ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಪ್ರತಿಯೊಂದು ಹಂತದಲ್ಲೂ ಎಲ್ಲಾ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ಗಳನ್ನು ವಿವರವಾಗಿ ಪ್ರದರ್ಶಿಸಲು, ನಾನು ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಸರಳ ಪೈಥಾನ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬರೆದಿದ್ದೇನೆ ಟೆಸ್ಟ್ ನಮ್ಮ ಪ್ರತಿಧ್ವನಿ ಸರ್ವರ್ಗೆ.
ಕ್ಲೈಂಟ್ ಮೂಲ ಕೋಡ್
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
ಅದನ್ನು ಪ್ರಾರಂಭಿಸೋಣ ಮತ್ತು ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿನ ದಟ್ಟಣೆಯನ್ನು ನೋಡೋಣ lo ಮತ್ತು ಪೋರ್ಟ್ 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
ಟ್ರಾಫಿಕ್ ಡಂಪ್
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
ಎಲ್ಲವೂ ಪ್ರಮಾಣಿತವಾಗಿದೆ: ಮೂರು-ರೀತಿಯಲ್ಲಿ ಹ್ಯಾಂಡ್ಶೇಕ್, PSH/ACK ಮತ್ತು ಎಸಿಕೆ ಎರಡು ಬಾರಿ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ - ಇದು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವೆ ವಿನಂತಿ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಯ ವಿನಿಮಯವಾಗಿದೆ, ಮತ್ತು FIN/ACK ಮತ್ತು ACK ಎರಡು ಬಾರಿ - ಸಂಪರ್ಕವನ್ನು ಪೂರ್ಣಗೊಳಿಸುತ್ತದೆ.
ಪ್ಯಾಕೆಟ್ ವಿಳಂಬ
ಈಗ ವಿಳಂಬವನ್ನು 500 ಮಿಲಿಸೆಕೆಂಡ್ಗಳಿಗೆ ಹೊಂದಿಸೋಣ:
tc qdisc add dev lo root netem delay 500ms
ನಾವು ಕ್ಲೈಂಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್ ಈಗ 2 ಸೆಕೆಂಡುಗಳವರೆಗೆ ಚಲಿಸುತ್ತದೆ ಎಂದು ನೋಡಿ:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ಏನಿದೆ? ಬನ್ನಿ ನೋಡೋಣ:
ಟ್ರಾಫಿಕ್ ಡಂಪ್
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಯಲ್ಲಿ ಅರ್ಧ ಸೆಕೆಂಡಿನ ನಿರೀಕ್ಷಿತ ವಿಳಂಬವು ಕಾಣಿಸಿಕೊಂಡಿದೆ ಎಂದು ನೀವು ನೋಡಬಹುದು. ವಿಳಂಬವು ಹೆಚ್ಚಿದ್ದರೆ ಸಿಸ್ಟಮ್ ಹೆಚ್ಚು ಆಸಕ್ತಿಕರವಾಗಿ ವರ್ತಿಸುತ್ತದೆ: ಕರ್ನಲ್ ಕೆಲವು TCP ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಮರುಕಳುಹಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ವಿಳಂಬವನ್ನು 1 ಸೆಕೆಂಡ್ಗೆ ಬದಲಾಯಿಸೋಣ ಮತ್ತು ಟ್ರಾಫಿಕ್ ಅನ್ನು ನೋಡೋಣ (ನಾನು ಕ್ಲೈಂಟ್ನ ಔಟ್ಪುಟ್ ಅನ್ನು ತೋರಿಸುವುದಿಲ್ಲ, ಒಟ್ಟು ಅವಧಿಯಲ್ಲಿ ನಿರೀಕ್ಷಿತ 4 ಸೆಕೆಂಡುಗಳು ಇವೆ):
tc qdisc change dev lo root netem delay 1s
ಟ್ರಾಫಿಕ್ ಡಂಪ್
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
ಕ್ಲೈಂಟ್ ಎರಡು ಬಾರಿ SYN ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಕಳುಹಿಸಿರುವುದನ್ನು ಕಾಣಬಹುದು ಮತ್ತು ಸರ್ವರ್ SYN/ACK ಅನ್ನು ಎರಡು ಬಾರಿ ಕಳುಹಿಸಿದೆ.
ಸ್ಥಿರ ಮೌಲ್ಯದ ಜೊತೆಗೆ, ವಿಳಂಬವನ್ನು ವಿಚಲನ, ವಿತರಣಾ ಕಾರ್ಯ ಮತ್ತು ಪರಸ್ಪರ ಸಂಬಂಧಕ್ಕೆ ಹೊಂದಿಸಬಹುದು (ಹಿಂದಿನ ಪ್ಯಾಕೆಟ್ನ ಮೌಲ್ಯದೊಂದಿಗೆ). ಇದನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಮಾಡಲಾಗುತ್ತದೆ:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
ಇಲ್ಲಿ ನಾವು 100 ಮತ್ತು 900 ಮಿಲಿಸೆಕೆಂಡ್ಗಳ ನಡುವಿನ ವಿಳಂಬವನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ, ಮೌಲ್ಯಗಳನ್ನು ಸಾಮಾನ್ಯ ವಿತರಣೆಯ ಪ್ರಕಾರ ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಹಿಂದಿನ ಪ್ಯಾಕೆಟ್ಗೆ ವಿಳಂಬ ಮೌಲ್ಯದೊಂದಿಗೆ 50% ಪರಸ್ಪರ ಸಂಬಂಧವಿರುತ್ತದೆ.
ನಾನು ಬಳಸಿದ ಮೊದಲ ಆಜ್ಞೆಯಲ್ಲಿ ನೀವು ಗಮನಿಸಿರಬಹುದು ಸೇರಿಸು, ತದನಂತರ ಬದಲಾವಣೆ. ಈ ಆಜ್ಞೆಗಳ ಅರ್ಥವು ಸ್ಪಷ್ಟವಾಗಿದೆ, ಆದ್ದರಿಂದ ನಾನು ಇನ್ನೂ ಹೆಚ್ಚಿನದನ್ನು ಸೇರಿಸುತ್ತೇನೆ ಆಫ್, ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ತೆಗೆದುಹಾಕಲು ಇದನ್ನು ಬಳಸಬಹುದು.
ಪ್ಯಾಕೆಟ್ ನಷ್ಟ
ಈಗ ಪ್ಯಾಕೆಟ್ ನಷ್ಟವನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸೋಣ. ದಾಖಲಾತಿಯಿಂದ ನೋಡಬಹುದಾದಂತೆ, ಇದನ್ನು ಮೂರು ವಿಧಗಳಲ್ಲಿ ಮಾಡಬಹುದು: ಕೆಲವು ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ ಯಾದೃಚ್ಛಿಕವಾಗಿ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಕಳೆದುಕೊಳ್ಳುವುದು, ಪ್ಯಾಕೆಟ್ ನಷ್ಟವನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು 2, 3 ಅಥವಾ 4 ರಾಜ್ಯಗಳ ಮಾರ್ಕೊವ್ ಸರಣಿಯನ್ನು ಬಳಸುವುದು ಅಥವಾ ಎಲಿಯಟ್-ಗಿಲ್ಬರ್ಟ್ ಮಾದರಿಯನ್ನು ಬಳಸುವುದು. ಲೇಖನದಲ್ಲಿ ನಾನು ಮೊದಲ (ಸರಳ ಮತ್ತು ಅತ್ಯಂತ ಸ್ಪಷ್ಟವಾದ) ವಿಧಾನವನ್ನು ಪರಿಗಣಿಸುತ್ತೇನೆ, ಮತ್ತು ನೀವು ಇತರರ ಬಗ್ಗೆ ಓದಬಹುದು .
50%ನ ಪರಸ್ಪರ ಸಂಬಂಧದೊಂದಿಗೆ 25% ಪ್ಯಾಕೆಟ್ಗಳ ನಷ್ಟವನ್ನು ಮಾಡೋಣ:
tc qdisc add dev lo root netem loss 50% 25%
ಶೋಚನೀಯವಾಗಿ, tcpdump ಪ್ಯಾಕೆಟ್ಗಳ ನಷ್ಟವನ್ನು ನಮಗೆ ಸ್ಪಷ್ಟವಾಗಿ ತೋರಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಅದು ನಿಜವಾಗಿಯೂ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಎಂದು ನಾವು ಭಾವಿಸುತ್ತೇವೆ. ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್ನ ಹೆಚ್ಚಿದ ಮತ್ತು ಅಸ್ಥಿರ ಚಾಲನೆಯಲ್ಲಿರುವ ಸಮಯವು ಇದನ್ನು ಪರಿಶೀಲಿಸಲು ನಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ. client.py (ತಕ್ಷಣ ಪೂರ್ಣಗೊಳಿಸಬಹುದು, ಅಥವಾ ಬಹುಶಃ 20 ಸೆಕೆಂಡುಗಳಲ್ಲಿ), ಹಾಗೆಯೇ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಮರುಪ್ರಸಾರ ಪ್ಯಾಕೆಟ್ಗಳು:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
ಪ್ಯಾಕೆಟ್ಗಳಿಗೆ ಶಬ್ದವನ್ನು ಸೇರಿಸುವುದು
ಪ್ಯಾಕೆಟ್ ನಷ್ಟದ ಜೊತೆಗೆ, ನೀವು ಪ್ಯಾಕೆಟ್ ಹಾನಿಯನ್ನು ಅನುಕರಿಸಬಹುದು: ಯಾದೃಚ್ಛಿಕ ಪ್ಯಾಕೆಟ್ ಸ್ಥಾನದಲ್ಲಿ ಶಬ್ದವು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. 50% ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ ಮತ್ತು ಪರಸ್ಪರ ಸಂಬಂಧವಿಲ್ಲದೆ ಪ್ಯಾಕೆಟ್ ಹಾನಿ ಮಾಡೋಣ:
tc qdisc change dev lo root netem corrupt 50%
ನಾವು ಕ್ಲೈಂಟ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತೇವೆ (ಅಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕ ಏನೂ ಇಲ್ಲ, ಆದರೆ ಇದು ಪೂರ್ಣಗೊಳ್ಳಲು 2 ಸೆಕೆಂಡುಗಳನ್ನು ತೆಗೆದುಕೊಂಡಿತು), ಟ್ರಾಫಿಕ್ ಅನ್ನು ನೋಡಿ:
ಟ್ರಾಫಿಕ್ ಡಂಪ್
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
ಕೆಲವು ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಪದೇ ಪದೇ ಕಳುಹಿಸಲಾಗಿದೆ ಮತ್ತು ಮುರಿದ ಮೆಟಾಡೇಟಾದೊಂದಿಗೆ ಒಂದು ಪ್ಯಾಕೆಟ್ ಇದೆ ಎಂದು ನೋಡಬಹುದು: ಆಯ್ಕೆಗಳು [nop,unknown-65 0x0a3dcf62eb3d,[ಕೆಟ್ಟ ಆಯ್ಕೆ]>. ಆದರೆ ಮುಖ್ಯ ವಿಷಯವೆಂದರೆ ಕೊನೆಯಲ್ಲಿ ಎಲ್ಲವೂ ಸರಿಯಾಗಿ ಕೆಲಸ ಮಾಡಿದೆ - ಟಿಸಿಪಿ ತನ್ನ ಕಾರ್ಯವನ್ನು ನಿಭಾಯಿಸಿದೆ.
ಪ್ಯಾಕೆಟ್ ನಕಲು
ನೀವು ಇನ್ನೇನು ಮಾಡಬಹುದು ನೆಟೆಮ್? ಉದಾಹರಣೆಗೆ, ಪ್ಯಾಕೆಟ್ ನಷ್ಟದ ಹಿಮ್ಮುಖ ಪರಿಸ್ಥಿತಿಯನ್ನು ಅನುಕರಿಸಿ-ಪ್ಯಾಕೆಟ್ ನಕಲು. ಈ ಆಜ್ಞೆಯು 2 ವಾದಗಳನ್ನು ಸಹ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ: ಸಂಭವನೀಯತೆ ಮತ್ತು ಪರಸ್ಪರ ಸಂಬಂಧ.
tc qdisc change dev lo root netem duplicate 50% 25%
ಪ್ಯಾಕೇಜುಗಳ ಕ್ರಮವನ್ನು ಬದಲಾಯಿಸುವುದು
ನೀವು ಚೀಲಗಳನ್ನು ಎರಡು ರೀತಿಯಲ್ಲಿ ಮಿಶ್ರಣ ಮಾಡಬಹುದು.
ಮೊದಲನೆಯದರಲ್ಲಿ, ಕೆಲವು ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ತಕ್ಷಣವೇ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಉಳಿದವುಗಳನ್ನು ನಿಗದಿತ ವಿಳಂಬದೊಂದಿಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ. ದಸ್ತಾವೇಜನ್ನು ಉದಾಹರಣೆ:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
25% (ಮತ್ತು 50% ನ ಪರಸ್ಪರ ಸಂಬಂಧ) ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ತಕ್ಷಣವೇ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಉಳಿದವುಗಳನ್ನು 10 ಮಿಲಿಸೆಕೆಂಡುಗಳ ವಿಳಂಬದೊಂದಿಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.
ಎರಡನೆಯ ವಿಧಾನವೆಂದರೆ ಪ್ರತಿ Nth ಪ್ಯಾಕೆಟ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟ ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ (ಮತ್ತು ಪರಸ್ಪರ ಸಂಬಂಧ) ತಕ್ಷಣವೇ ಕಳುಹಿಸಿದಾಗ ಮತ್ತು ಉಳಿದವು ನಿರ್ದಿಷ್ಟ ವಿಳಂಬದೊಂದಿಗೆ. ದಸ್ತಾವೇಜನ್ನು ಉದಾಹರಣೆ:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
ಪ್ರತಿ ಐದನೇ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ವಿಳಂಬವಿಲ್ಲದೆ ಕಳುಹಿಸಲು 25% ಅವಕಾಶವಿದೆ.
ಬ್ಯಾಂಡ್ವಿಡ್ತ್ ಬದಲಾಯಿಸಲಾಗುತ್ತಿದೆ
ಸಾಮಾನ್ಯವಾಗಿ ಎಲ್ಲೆಡೆ ಅವರು ಉಲ್ಲೇಖಿಸುತ್ತಾರೆ , ಆದರೆ ಸಹಾಯದಿಂದ ನೆಟೆಮ್ ನೀವು ಇಂಟರ್ಫೇಸ್ ಬ್ಯಾಂಡ್ವಿಡ್ತ್ ಅನ್ನು ಸಹ ಬದಲಾಯಿಸಬಹುದು:
tc qdisc change dev lo root netem rate 56kbit
ಈ ತಂಡವು ಸುತ್ತಲೂ ಚಾರಣಗಳನ್ನು ಮಾಡುತ್ತದೆ ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಡಯಲ್-ಅಪ್ ಮೋಡೆಮ್ ಮೂಲಕ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಸರ್ಫಿಂಗ್ ಮಾಡುವಷ್ಟು ನೋವಿನಿಂದ ಕೂಡಿದೆ. ಬಿಟ್ರೇಟ್ ಅನ್ನು ಹೊಂದಿಸುವುದರ ಜೊತೆಗೆ, ನೀವು ಲಿಂಕ್ ಲೇಯರ್ ಪ್ರೋಟೋಕಾಲ್ ಮಾದರಿಯನ್ನು ಸಹ ಅನುಕರಿಸಬಹುದು: ಪ್ಯಾಕೆಟ್ಗಾಗಿ ಓವರ್ಹೆಡ್, ಸೆಲ್ ಗಾತ್ರ ಮತ್ತು ಸೆಲ್ಗಾಗಿ ಓವರ್ಹೆಡ್ ಅನ್ನು ಹೊಂದಿಸಿ. ಉದಾಹರಣೆಗೆ, ಇದನ್ನು ಅನುಕರಿಸಬಹುದು ಮತ್ತು ಬಿಟ್ರೇಟ್ 56 kbit/sec:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
ಅನುಕರಿಸುವ ಸಂಪರ್ಕದ ಅವಧಿ ಮೀರಿದೆ
ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಸ್ವೀಕರಿಸುವಾಗ ಪರೀಕ್ಷಾ ಯೋಜನೆಯಲ್ಲಿ ಮತ್ತೊಂದು ಪ್ರಮುಖ ಅಂಶವೆಂದರೆ ಸಮಯ ಮೀರುವುದು. ಇದು ಮುಖ್ಯವಾಗಿದೆ ಏಕೆಂದರೆ ವಿತರಣಾ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ, ಸೇವೆಗಳಲ್ಲಿ ಒಂದನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದಾಗ, ಇತರರು ಸಮಯಕ್ಕೆ ಹಿಂತಿರುಗಬೇಕು ಅಥವಾ ಕ್ಲೈಂಟ್ಗೆ ದೋಷವನ್ನು ಹಿಂತಿರುಗಿಸಬೇಕು ಮತ್ತು ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ ಅವರು ಕೇವಲ ಸ್ಥಗಿತಗೊಳ್ಳಬಾರದು, ಪ್ರತಿಕ್ರಿಯೆ ಅಥವಾ ಸಂಪರ್ಕಕ್ಕಾಗಿ ಕಾಯುತ್ತಿದ್ದಾರೆ ಸ್ಥಾಪಿಸಲಾಗುವುದು.
ಇದನ್ನು ಮಾಡಲು ಹಲವಾರು ಮಾರ್ಗಗಳಿವೆ: ಉದಾಹರಣೆಗೆ, ಪ್ರತಿಕ್ರಿಯಿಸದ ಅಣಕು ಬಳಸಿ, ಅಥವಾ ಡೀಬಗರ್ ಬಳಸಿ ಪ್ರಕ್ರಿಯೆಗೆ ಸಂಪರ್ಕಪಡಿಸಿ, ಸರಿಯಾದ ಸ್ಥಳದಲ್ಲಿ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಅನ್ನು ಇರಿಸಿ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯನ್ನು ನಿಲ್ಲಿಸಿ (ಇದು ಬಹುಶಃ ಅತ್ಯಂತ ವಿಕೃತ ಮಾರ್ಗವಾಗಿದೆ). ಆದರೆ ಅತ್ಯಂತ ಸ್ಪಷ್ಟವಾದ ಒಂದು ಫೈರ್ವಾಲ್ ಪೋರ್ಟ್ಗಳು ಅಥವಾ ಹೋಸ್ಟ್ಗಳು. ಇದು ನಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ .
ಪ್ರದರ್ಶನಕ್ಕಾಗಿ, ನಾವು ಫೈರ್ವಾಲ್ ಪೋರ್ಟ್ 12345 ಮತ್ತು ನಮ್ಮ ಕ್ಲೈಂಟ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತೇವೆ. ನೀವು ಕಳುಹಿಸುವವರಲ್ಲಿ ಈ ಪೋರ್ಟ್ಗೆ ಹೊರಹೋಗುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಅಥವಾ ರಿಸೀವರ್ನಲ್ಲಿ ಒಳಬರುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಫೈರ್ವಾಲ್ ಮಾಡಬಹುದು. ನನ್ನ ಉದಾಹರಣೆಗಳಲ್ಲಿ, ಒಳಬರುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಫೈರ್ವಾಲ್ ಮಾಡಲಾಗುತ್ತದೆ (ನಾವು ಚೈನ್ ಇನ್ಪುಟ್ ಮತ್ತು ಆಯ್ಕೆಯನ್ನು ಬಳಸುತ್ತೇವೆ --ಡಿಪೋರ್ಟ್) ಅಂತಹ ಪ್ಯಾಕೆಟ್ಗಳು TCP ಫ್ಲ್ಯಾಗ್ RST ನೊಂದಿಗೆ ಡ್ರಾಪ್, ರಿಜೆಕ್ಟ್ ಅಥವಾ ರಿಜೆಕ್ಟ್ ಆಗಿರಬಹುದು ಅಥವಾ ICMP ಹೋಸ್ಟ್ ಅನ್ನು ತಲುಪಲಾಗುವುದಿಲ್ಲ (ವಾಸ್ತವವಾಗಿ, ಡೀಫಾಲ್ಟ್ ನಡವಳಿಕೆಯು icmp-ಪೋರ್ಟ್-ಅನ್ರೀಚಬಲ್, ಮತ್ತು ಉತ್ತರವನ್ನು ಕಳುಹಿಸಲು ಸಹ ಅವಕಾಶವಿದೆ icmp-net-ಅನ್ರೀಚಬಲ್, icmp-ಪ್ರೊಟೊ-ಅನ್ರೀಚಬಲ್, icmp-net-ನಿಷೇಧಿತ и icmp-ಹೋಸ್ಟ್-ನಿಷೇಧಿತ).
ಡ್ರಾಪ್
DROP ನೊಂದಿಗೆ ನಿಯಮವಿದ್ದರೆ, ಪ್ಯಾಕೆಟ್ಗಳು ಸರಳವಾಗಿ "ಕಣ್ಮರೆಯಾಗುತ್ತವೆ".
iptables -A INPUT -p tcp --dport 12345 -j DROP
ನಾವು ಕ್ಲೈಂಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ ಮತ್ತು ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಿಸುವ ಹಂತದಲ್ಲಿ ಅದು ಹೆಪ್ಪುಗಟ್ಟುತ್ತದೆ ಎಂದು ನೋಡುತ್ತೇವೆ. ಸಂಚಾರ ದಟ್ಟಣೆಯನ್ನು ನೋಡೋಣ:
ಟ್ರಾಫಿಕ್ ಡಂಪ್
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
ಕ್ಲೈಂಟ್ ಘಾತೀಯವಾಗಿ ಹೆಚ್ಚುತ್ತಿರುವ ಕಾಲಾವಧಿಯೊಂದಿಗೆ SYN ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಕಳುಹಿಸುವುದನ್ನು ಕಾಣಬಹುದು. ಆದ್ದರಿಂದ ನಾವು ಕ್ಲೈಂಟ್ನಲ್ಲಿ ಸಣ್ಣ ದೋಷವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ: ನೀವು ವಿಧಾನವನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ ಸೆಟ್ಟೈಮ್ಔಟ್ ()ಕ್ಲೈಂಟ್ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸುವ ಸಮಯವನ್ನು ಮಿತಿಗೊಳಿಸಲು.
ನಾವು ತಕ್ಷಣ ನಿಯಮವನ್ನು ತೆಗೆದುಹಾಕುತ್ತೇವೆ:
iptables -D INPUT -p tcp --dport 12345 -j DROPನೀವು ಎಲ್ಲಾ ನಿಯಮಗಳನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಅಳಿಸಬಹುದು:
iptables -F
ನೀವು ಡಾಕರ್ ಅನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ ಮತ್ತು ಕಂಟೇನರ್ಗೆ ಹೋಗುವ ಎಲ್ಲಾ ದಟ್ಟಣೆಯನ್ನು ನೀವು ಫೈರ್ವಾಲ್ ಮಾಡಬೇಕಾದರೆ, ನೀವು ಇದನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಮಾಡಬಹುದು:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
ತಿರಸ್ಕರಿಸಿ
ಈಗ ಇದೇ ನಿಯಮವನ್ನು ಸೇರಿಸೋಣ, ಆದರೆ REJECT ಜೊತೆಗೆ:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
ಕ್ಲೈಂಟ್ ಒಂದು ಸೆಕೆಂಡ್ ನಂತರ ದೋಷದೊಂದಿಗೆ ನಿರ್ಗಮಿಸುತ್ತದೆ [ದೋಷ 111] ಸಂಪರ್ಕವನ್ನು ನಿರಾಕರಿಸಲಾಗಿದೆ. ICMP ಟ್ರಾಫಿಕ್ ಅನ್ನು ನೋಡೋಣ:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
ಕ್ಲೈಂಟ್ ಎರಡು ಬಾರಿ ಸ್ವೀಕರಿಸಿರುವುದನ್ನು ಕಾಣಬಹುದು ಬಂದರು ತಲುಪಲಾಗುವುದಿಲ್ಲ ತದನಂತರ ದೋಷದೊಂದಿಗೆ ಕೊನೆಗೊಂಡಿತು.
tcp-ರೀಸೆಟ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ
ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲು ಪ್ರಯತ್ನಿಸೋಣ --ಟಿಸಿಪಿ-ರೀಸೆಟ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಕ್ಲೈಂಟ್ ತಕ್ಷಣವೇ ದೋಷದೊಂದಿಗೆ ನಿರ್ಗಮಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ಮೊದಲ ವಿನಂತಿಯು RST ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಸ್ವೀಕರಿಸಿದೆ:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
icmp-ಹೋಸ್ಟ್-ಅನ್ರೀಚಬಲ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ
REJECT ಅನ್ನು ಬಳಸಲು ಇನ್ನೊಂದು ಆಯ್ಕೆಯನ್ನು ಪ್ರಯತ್ನಿಸೋಣ:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
ಕ್ಲೈಂಟ್ ಒಂದು ಸೆಕೆಂಡ್ ನಂತರ ದೋಷದೊಂದಿಗೆ ನಿರ್ಗಮಿಸುತ್ತದೆ [ದೋಷ 113] ಹೋಸ್ಟ್ ಮಾಡಲು ಯಾವುದೇ ಮಾರ್ಗವಿಲ್ಲ, ನಾವು ICMP ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ನೋಡುತ್ತೇವೆ ICMP ಹೋಸ್ಟ್ 127.0.0.1 ಅನ್ನು ತಲುಪಲಾಗುವುದಿಲ್ಲ.
ನೀವು ಇತರ REJECT ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಸಹ ಪ್ರಯತ್ನಿಸಬಹುದು ಮತ್ತು ನಾನು ಇವುಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತೇನೆ :)
ವಿನಂತಿಯ ಅವಧಿ ಮೀರಿದೆ
ಕ್ಲೈಂಟ್ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಸಾಧ್ಯವಾದಾಗ ಮತ್ತೊಂದು ಪರಿಸ್ಥಿತಿ, ಆದರೆ ಅದಕ್ಕೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಫಿಲ್ಟರಿಂಗ್ ತಕ್ಷಣವೇ ಪ್ರಾರಂಭವಾಗದಂತೆ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವುದು ಹೇಗೆ? ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ಯಾವುದೇ ಸಂವಹನದ ದಟ್ಟಣೆಯನ್ನು ನೀವು ನೋಡಿದರೆ, ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸುವಾಗ, SYN ಮತ್ತು ACK ಫ್ಲ್ಯಾಗ್ಗಳನ್ನು ಮಾತ್ರ ಬಳಸಲಾಗುತ್ತದೆ ಎಂದು ನೀವು ಗಮನಿಸಬಹುದು, ಆದರೆ ಡೇಟಾವನ್ನು ವಿನಿಮಯ ಮಾಡುವಾಗ, ಕೊನೆಯ ವಿನಂತಿ ಪ್ಯಾಕೆಟ್ PSH ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಬಫರಿಂಗ್ ತಪ್ಪಿಸಲು ಇದು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಾಪಿಸುತ್ತದೆ. ಫಿಲ್ಟರ್ ರಚಿಸಲು ನೀವು ಈ ಮಾಹಿತಿಯನ್ನು ಬಳಸಬಹುದು: ಇದು PSH ಫ್ಲ್ಯಾಗ್ ಹೊಂದಿರುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಹೊರತುಪಡಿಸಿ ಎಲ್ಲಾ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಹೀಗಾಗಿ, ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲಾಗುವುದು, ಆದರೆ ಕ್ಲೈಂಟ್ ಸರ್ವರ್ಗೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ.
ಡ್ರಾಪ್
DROP ಗಾಗಿ ಆಜ್ಞೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
ಕ್ಲೈಂಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿ ಮತ್ತು ದಟ್ಟಣೆಯನ್ನು ವೀಕ್ಷಿಸಿ:
ಟ್ರಾಫಿಕ್ ಡಂಪ್
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಸರ್ವರ್ಗೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂದು ನಾವು ನೋಡುತ್ತೇವೆ.
ತಿರಸ್ಕರಿಸಿ
ಈ ಸಂದರ್ಭದಲ್ಲಿ ನಡವಳಿಕೆಯು ಒಂದೇ ಆಗಿರುತ್ತದೆ: ಕ್ಲೈಂಟ್ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಆದರೆ ಸ್ವೀಕರಿಸುತ್ತದೆ ICMP 127.0.0.1 tcp ಪೋರ್ಟ್ 12345 ತಲುಪಲು ಸಾಧ್ಯವಿಲ್ಲ ಮತ್ತು ವಿನಂತಿಯ ಮರುಸಲ್ಲಿಕೆಗಳ ನಡುವಿನ ಸಮಯವನ್ನು ಘಾತೀಯವಾಗಿ ಹೆಚ್ಚಿಸಿ. ಆಜ್ಞೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
tcp-ರೀಸೆಟ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ
ಆಜ್ಞೆಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
ಬಳಸುವಾಗ ನಮಗೆ ಈಗಾಗಲೇ ತಿಳಿದಿದೆ --ಟಿಸಿಪಿ-ರೀಸೆಟ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ ಕ್ಲೈಂಟ್ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ RST ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ನಡವಳಿಕೆಯನ್ನು ಊಹಿಸಬಹುದು: ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಿದಾಗ RST ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಪಡೆಯುವುದು ಎಂದರೆ ಸಾಕೆಟ್ ಅನಿರೀಕ್ಷಿತವಾಗಿ ಇನ್ನೊಂದು ಬದಿಯಲ್ಲಿ ಮುಚ್ಚಲ್ಪಟ್ಟಿದೆ, ಅಂದರೆ ಕ್ಲೈಂಟ್ ಸ್ವೀಕರಿಸಬೇಕು ಪೀರ್ ಮೂಲಕ ಸಂಪರ್ಕವನ್ನು ಮರುಹೊಂದಿಸಲಾಗಿದೆ. ನಮ್ಮ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡೋಣ ಮತ್ತು ಇದನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳೋಣ. ಮತ್ತು ಸಂಚಾರವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಟ್ರಾಫಿಕ್ ಡಂಪ್
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
icmp-ಹೋಸ್ಟ್-ಅನ್ರೀಚಬಲ್ನೊಂದಿಗೆ ತಿರಸ್ಕರಿಸಿ
ಆಜ್ಞೆಯು ಹೇಗಿರುತ್ತದೆ ಎಂಬುದು ಎಲ್ಲರಿಗೂ ಈಗಾಗಲೇ ಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ :) ಈ ಸಂದರ್ಭದಲ್ಲಿ ಕ್ಲೈಂಟ್ನ ನಡವಳಿಕೆಯು ಸರಳವಾದ ನಿರಾಕರಣೆಯೊಂದಿಗೆ ಸ್ವಲ್ಪ ಭಿನ್ನವಾಗಿರುತ್ತದೆ: ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಮರುಕಳಿಸುವ ಪ್ರಯತ್ನಗಳ ನಡುವೆ ಕ್ಲೈಂಟ್ ಸಮಯ ಮೀರುವುದಿಲ್ಲ.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
ತೀರ್ಮಾನಕ್ಕೆ
ಹಂಗ್ ಕ್ಲೈಂಟ್ ಅಥವಾ ಸರ್ವರ್ನೊಂದಿಗೆ ಸೇವೆಯ ಪರಸ್ಪರ ಕ್ರಿಯೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ಅಣಕು ಬರೆಯುವ ಅಗತ್ಯವಿಲ್ಲ; ಕೆಲವೊಮ್ಮೆ ಲಿನಕ್ಸ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಪ್ರಮಾಣಿತ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸುವುದು ಸಾಕು.
ಲೇಖನದಲ್ಲಿ ಚರ್ಚಿಸಲಾದ ಉಪಯುಕ್ತತೆಗಳು ವಿವರಿಸಿದ್ದಕ್ಕಿಂತ ಹೆಚ್ಚಿನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿವೆ, ಆದ್ದರಿಂದ ನೀವು ಅವುಗಳನ್ನು ಬಳಸಲು ನಿಮ್ಮ ಸ್ವಂತ ಆಯ್ಕೆಗಳೊಂದಿಗೆ ಬರಬಹುದು. ವೈಯಕ್ತಿಕವಾಗಿ, ನಾನು ಬರೆದದ್ದನ್ನು ನಾನು ಯಾವಾಗಲೂ ಸಾಕಷ್ಟು ಹೊಂದಿದ್ದೇನೆ (ವಾಸ್ತವವಾಗಿ, ಇನ್ನೂ ಕಡಿಮೆ). ನಿಮ್ಮ ಕಂಪನಿಯಲ್ಲಿ ಪರೀಕ್ಷೆಯಲ್ಲಿ ನೀವು ಈ ಅಥವಾ ಅಂತಹುದೇ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಬಳಸಿದರೆ, ದಯವಿಟ್ಟು ಹೇಗೆ ನಿಖರವಾಗಿ ಬರೆಯಿರಿ. ಇಲ್ಲದಿದ್ದರೆ, ಸೂಚಿಸಿದ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೆಟ್ವರ್ಕ್ ಸಮಸ್ಯೆಗಳ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಅದನ್ನು ಪರೀಕ್ಷಿಸಲು ನೀವು ನಿರ್ಧರಿಸಿದರೆ ನಿಮ್ಮ ಸಾಫ್ಟ್ವೇರ್ ಉತ್ತಮವಾಗುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.
ಮೂಲ: www.habr.com