ProHoster > Blogs > Administrācija > TÄ«kla problēmu simulÄ“Å”ana operētājsistēmā Linux

TÄ«kla problēmu simulÄ“Å”ana operētājsistēmā Linux

Sveiki visiem, mani sauc SaÅ”a. Es vadu aizmugursistēmas testÄ“Å”anu uzņēmumā FunCorp. Mēs, tāpat kā daudzi citi, esam ieviesuÅ”i uz pakalpojumiem orientētu arhitektÅ«ru. No vienas puses, tas vienkārÅ”o darbu, jo... VienkārŔāk ir pārbaudÄ«t katru pakalpojumu atseviŔķi, bet, no otras puses, ir jāpārbauda pakalpojumu savstarpējā mijiedarbÄ«ba, kas bieži notiek tÄ«klā.

Å ajā rakstā es runāŔu par divām utilÄ«tprogrammām, kuras var izmantot, lai pārbaudÄ«tu pamata scenārijus, kas apraksta lietojumprogrammas darbÄ«bu tÄ«kla problēmu klātbÅ«tnē.

TÄ«kla problēmu simulÄ“Å”ana operētājsistēmā Linux

TÄ«kla problēmu simulÄ“Å”ana

Parasti programmatÅ«ra tiek pārbaudÄ«ta testa serveros ar labu interneta savienojumu. Skarbās ražoÅ”anas vidēs viss var nebÅ«t tik gluds, tāpēc dažreiz jums ir jāpārbauda programmas sliktos savienojuma apstākļos. Operētājsistēmā Linux utilÄ«ta palÄ«dzēs simulēt Ŕādus apstākļus tc.

tc(saÄ«sinājums no Satiksmes kontroles) ļauj konfigurēt tÄ«kla pakeÅ”u pārraidi sistēmā. Å ai utilÄ«tai ir lieliskas iespējas, par tām varat lasÄ«t vairāk Å”eit. Å eit es apskatÄ«Å”u tikai dažus no tiem: mÅ«s interesē satiksmes plānoÅ”ana, kurai mēs izmantojam qdisc, un, tā kā mums ir nepiecieÅ”ams emulēt nestabilu tÄ«klu, mēs izmantosim bezklases qdisc netem.

Palaidīsim serverī atbalss serveri (es izmantoju nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

Lai detalizēti parādÄ«tu visus laika zÄ«mogus katrā mijiedarbÄ«bas posmā starp klientu un serveri, es uzrakstÄ«ju vienkārÅ”u Python skriptu, kas nosÅ«ta pieprasÄ«jumu Pārbaude uz mÅ«su atbalss serveri.

Klienta pirmkods

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

Palaidīsim to un apskatīsim interfeisa trafiku lo un ports 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

Satiksmes izgāztuve

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

Viss ir standarta: trÄ«svirzienu rokasspiediens, PSH/ACK un ACK atbildē divreiz - tā ir pieprasÄ«juma un atbildes apmaiņa starp klientu un serveri, un FIN/ACK un ACK divreiz - savienojuma pabeigÅ”ana.

PakeÅ”u kavÄ“Å”anās

Tagad iestatīsim aizkavi uz 500 milisekundēm:

tc qdisc add dev lo root netem delay 500ms

Mēs palaižam klientu un redzam, ka skripts tagad darbojas 2 sekundes:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

Kas notiek satiksmē? Paskatīsimies:

Satiksmes izgāztuve

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

Var redzēt, ka klienta un servera mijiedarbÄ«bā ir parādÄ«jusies paredzamā pussekundes nobÄ«de. Sistēma darbojas daudz interesantāk, ja kavÄ“Å”anās ir lielāka: kodols sāk atkārtoti sÅ«tÄ«t dažas TCP paketes. NomainÄ«sim aizkavi uz 1 sekundi un paskatÄ«simies uz trafiku (klienta izvadi nerādÄ«Å”u, kopējais ilgums ir paredzamās 4 sekundes):

tc qdisc change dev lo root netem delay 1s

Satiksmes izgāztuve

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

Redzams, ka klients divreiz nosūtīja SYN paketi, bet serveris divreiz nosūtīja SYN/ACK.

Papildus nemainÄ«gai vērtÄ«bai aizkavi var iestatÄ«t uz novirzi, sadalÄ«juma funkciju un korelāciju (ar iepriekŔējās paketes vērtÄ«bu). Tas tiek darÄ«ts Ŕādi:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

Å eit mēs esam iestatÄ«juÅ”i aizkavi no 100 lÄ«dz 900 milisekundēm, vērtÄ«bas tiks atlasÄ«tas atbilstoÅ”i normālam sadalÄ«jumam, un bÅ«s 50% korelācija ar iepriekŔējās paketes aizkaves vērtÄ«bu.

JÅ«s, iespējams, pamanÄ«jāt to pirmajā komandā, ko izmantoju pievienotun tad mainÄ«t. Å o komandu nozÄ«me ir acÄ«mredzama, tāpēc es tikai piebildÄ«Å”u, ka ir vairāk del, ko var izmantot, lai noņemtu konfigurāciju.

PakeŔu zudums

Tagad mēģināsim veikt pakeÅ”u zudumu. Kā redzams no dokumentācijas, to var izdarÄ«t trÄ«s veidos: nejauÅ”i pazaudējot paketes ar zināmu varbÅ«tÄ«bu, izmantojot 2, 3 vai 4 stāvokļu Markova ķēdi, lai aprēķinātu pakeÅ”u zudumu, vai izmantojot Eliota-Gilberta modeli. Rakstā es apsvērÅ”u pirmo (vienkārŔāko un acÄ«mredzamāko) metodi, un jÅ«s varat lasÄ«t par citām Å”eit.

Zaudēsim 50% pakeÅ”u ar 25% korelāciju:

tc qdisc add dev lo root netem loss 50% 25%

Diemžēl, tcpdump nevarēs mums skaidri parādÄ«t pakeÅ”u zudumu, mēs tikai pieņemsim, ka tas patieŔām darbojas. Un palielinātais un nestabilais skripta darbÄ«bas laiks palÄ«dzēs mums to pārbaudÄ«t. client.py (var pabeigt uzreiz vai varbÅ«t 20 sekundēs), kā arÄ« palielināts atkārtoti pārsÅ«tÄ«to pakeÅ”u skaits:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

TrokŔņa pievienoÅ”ana paketēm

Papildus pakeÅ”u zudumam varat simulēt pakeÅ”u bojājumus: nejauŔā pakeÅ”u vietā parādÄ«sies troksnis. PakeÅ”u bojājumu izdarÄ«sim ar 50% varbÅ«tÄ«bu un bez korelācijas:

tc qdisc change dev lo root netem corrupt 50%

Palaižam klienta skriptu (nekas interesants tur nav, bet tā pabeigÅ”ana aizņēma 2 sekundes), apskatām trafiku:

Satiksmes izgāztuve

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

Redzams, ka dažas paketes tika nosūtītas atkārtoti un ir viena pakete ar bojātiem metadatiem: opcijas [nop,unknown-65 0x0a3dcf62eb3d,[slikta izvēle]>. Bet galvenais ir tas, ka galu galā viss strādāja pareizi - TCP tika galā ar savu uzdevumu.

PakeŔu dublēŔana

Ko vēl jÅ«s varat darÄ«t ar netem? Piemēram, simulējiet apgriezto pakeÅ”u zuduma situāciju ā€” pakeÅ”u dublÄ“Å”anos. Å ai komandai ir arÄ« 2 argumenti: varbÅ«tÄ«ba un korelācija.

tc qdisc change dev lo root netem duplicate 50% 25%

PakeÅ”u secÄ«bas maiņa

Jūs varat sajaukt maisiņus divos veidos.

Pirmajā dažas paketes tiek nosÅ«tÄ«tas nekavējoties, pārējās ar noteiktu kavÄ“Å”anos. Piemērs no dokumentācijas:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

Ar 25% varbÅ«tÄ«bu (un korelāciju 50%) pakete tiks nosÅ«tÄ«ta nekavējoties, pārējā tiks nosÅ«tÄ«ta ar 10 milisekundes kavÄ“Å”anos.

Otrā metode ir, ja katra N pakete tiek nosūtīta uzreiz ar noteiktu varbūtību (un korelāciju), bet pārējā ar noteiktu aizkavi. Piemērs no dokumentācijas:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

Katrai piektajai pakai ir 25% iespēja tikt nosÅ«tÄ«ta bez kavÄ“Å”anās.

Joslas platuma maiņa

Parasti visur, kur viņi atsaucas TBF, bet ar palīdzību netem Varat arī mainīt interfeisa joslas platumu:

tc qdisc change dev lo root netem rate 56kbit

Å Ä« komanda veiks pārgājienus apkārt localhost tikpat sāpÄ«gi kā sērfoÅ”ana internetā, izmantojot iezvanes modemu. Papildus bitu pārraides ātruma iestatÄ«Å”anai varat arÄ« emulēt saites slāņa protokola modeli: iestatiet paketes pieskaitāmās izmaksas, Ŕūnas izmēru un Ŕūnas pieskaitāmās izmaksas. Piemēram, to var simulēt Bankomāts un bitu pārraides ātrums 56 kbit/s:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

Savienojuma taimauta simulācija

Vēl viens svarÄ«gs punkts testa plānā, pieņemot programmatÅ«ru, ir taimauta. Tas ir svarÄ«gi, jo sadalÄ«tajās sistēmās, kad viens no pakalpojumiem ir atspējots, pārējiem ir savlaicÄ«gi jāatgriežas pie citiem vai jāatdod klientam kļūda, un nekādā gadÄ«jumā tie nedrÄ«kst vienkārÅ”i uzkarināt, gaidot atbildi vai savienojumu. jāizveido.

Ir vairāki veidi, kā to izdarīt: piemēram, izmantojiet viltojumu, kas nereaģē, vai izveidojiet savienojumu ar procesu, izmantojot atkļūdotāju, ievietojiet pārtraukuma punktu pareizajā vietā un pārtrauciet procesu (tas, iespējams, ir visperversākais veids). Bet viens no acīmredzamākajiem ir ugunsmūra porti vai saimniekdatori. Tas mums palīdzēs iptables.

DemonstrÄ“Å”anai mēs izmantosim ugunsmÅ«ra portu 12345 un palaidÄ«sim klienta skriptu. JÅ«s varat ugunsmÅ«ri izejoŔās paketes uz Å”o portu pie sÅ«tÄ«tāja vai ienākoŔās paketes pie saņēmēja. Manos piemēros ienākoŔās paketes tiks aizsargātas ar ugunsmÅ«ri (mēs izmantojam ķēdes INPUT un opciju --dport). Šādas paketes var bÅ«t DROP, RJECT vai RJECT ar TCP karogu RST vai ar nesasniedzamu ICMP resursdatoru (patiesÄ«bā noklusējuma darbÄ«ba ir icmp-port-unreachable, un ir arÄ« iespēja nosÅ«tÄ«t atbildi icmp-net-unreachable, icmp-proto-nepieejams, icmp-net-prohibited Šø icmp-host-prohibited).

DROP

Ja ir noteikums ar DROP, paketes vienkārÅ”i ā€œpazudÄ«sā€.

iptables -A INPUT -p tcp --dport 12345 -j DROP

Mēs palaižam klientu un redzam, ka tas sasalst savienojuma ar serveri posmā. Apskatīsim satiksmi:
Satiksmes izgāztuve

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

Var redzēt, ka klients sÅ«ta SYN paketes ar eksponenciāli pieaugoÅ”u taimautu. Tāpēc klientā atradām nelielu kļūdu: jums ir jāizmanto metode settimeout ()lai ierobežotu laiku, kurā klients mēģinās izveidot savienojumu ar serveri.

Mēs nekavējoties noņemam noteikumu:

iptables -D INPUT -p tcp --dport 12345 -j DROP

Jūs varat dzēst visus noteikumus vienlaikus:

iptables -F

Ja izmantojat Docker un jums ir nepiecieŔams ugunsmūris visu trafiku, kas nonāk konteinerā, varat to izdarīt Ŕādi:

iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

Noraidīt

Tagad pievienosim līdzīgu noteikumu, bet ar RJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

Klients pēc sekundes iziet ar kļūdu [Errno 111] Savienojums atteikts. Apskatīsim ICMP trafiku:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

Redzams, ka klients saņēma divas reizes osta nav sasniedzama un tad beidzās ar kļūdu.

NORAIDÄŖT, izmantojot tcp-reset

Mēģināsim pievienot opciju --noraidīt-ar tcp-reset:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

Šajā gadījumā klients nekavējoties iziet ar kļūdu, jo pirmais pieprasījums saņēma RST paketi:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

NORAIDÄŖT ar icmp-host-unreachable

Izmēģināsim citu opciju REJECT izmantoÅ”anai:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

Klients pēc sekundes iziet ar kļūdu [Errno 113] Nav marÅ”ruta uz saimniekdatoru, mēs redzam ICMP trafikā ICMP resursdators 127.0.0.1 nav sasniedzams.

Varat arÄ« izmēģināt citus REJECT parametrus, un es koncentrÄ“Å”os uz tiem :)

Pieprasījuma taimauta simulācija

Cita situācija ir, kad klients varēja izveidot savienojumu ar serveri, bet nevar nosÅ«tÄ«t pieprasÄ«jumu. Kā filtrēt paketes, lai filtrÄ“Å”ana nesāktos uzreiz? AplÅ«kojot jebkuras komunikācijas trafiku starp klientu un serveri, pamanÄ«sit, ka, veidojot savienojumu, tiek izmantoti tikai karodziņi SYN un ACK, bet, apmainoties ar datiem, pēdējā pieprasÄ«juma paketē bÅ«s PSH karogs. Tas tiek instalēts automātiski, lai izvairÄ«tos no buferizācijas. Varat izmantot Å”o informāciju, lai izveidotu filtru: tas atļaus visas paketes, izņemot tās, kas satur PSH karogu. Tādējādi savienojums tiks izveidots, bet klients nevarēs nosÅ«tÄ«t datus uz serveri.

DROP

DROP komanda izskatīsies Ŕādi:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

Palaidiet klientu un skatieties satiksmi:

Satiksmes izgāztuve

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

Mēs redzam, ka savienojums ir izveidots un klients nevar nosūtīt datus uz serveri.

Noraidīt

Å ajā gadÄ«jumā rÄ«cÄ«ba bÅ«s tāda pati: klients nevarēs nosÅ«tÄ«t pieprasÄ«jumu, bet saņems ICMP 127.0.0.1 tcp ports 12345 nav sasniedzams un eksponenciāli palielināt laiku starp pieprasÄ«jumu atkārtotu iesniegÅ”anu. Komanda izskatās Ŕādi:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

NORAIDÄŖT, izmantojot tcp-reset

Komanda izskatās Ŕādi:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

Mēs to jau zinām, lietojot --noraidÄ«t-ar tcp-reset klients atbildē saņems RST paketi, tāpēc uzvedÄ«bu var paredzēt: RST paketes saņemÅ”ana, kamēr savienojums ir izveidots, nozÄ«mē, ka ligzda ir negaidÄ«ti aizvērta otrā pusē, kas nozÄ«mē, ka klientam jāsaņem Connection reset ar peer. PalaidÄ«sim savu skriptu un pārliecināsimies par to. Un satiksme izskatÄ«sies Ŕādi:

Satiksmes izgāztuve

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

NORAIDÄŖT ar icmp-host-unreachable

Domāju, ka visiem jau ir skaidrs, kā izskatÄ«sies komanda :) Klienta uzvedÄ«ba Å”ajā gadÄ«jumā nedaudz atŔķirsies no tās, kas notiek ar vienkārÅ”u REJECT: klients nepalielinās taimautu starp mēģinājumiem atkārtoti nosÅ«tÄ«t paketi.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

secinājums

Nav nepiecieÅ”ams rakstÄ«t izspēles, lai pārbaudÄ«tu pakalpojuma mijiedarbÄ«bu ar piekārtu klientu vai serveri, dažreiz pietiek ar standarta utilÄ«tprogrammām, kas atrodamas Linux.

Rakstā aplÅ«kotajām utilÄ«tprogrammām ir vēl vairāk iespēju, nekā aprakstÄ«ts, tāpēc varat izdomāt dažas no savām iespējām to izmantoÅ”anai. Man personÄ«gi vienmēr pietiek ar to, par ko rakstÄ«ju (patiesÄ«bā pat mazāk). Ja savā uzņēmumā testÄ“Å”anā izmantojat Ŕīs vai lÄ«dzÄ«gas utilÄ«tas, lÅ«dzu, uzrakstiet, kā tieÅ”i. Ja nē, tad es ceru, ka jÅ«su programmatÅ«ra kļūs labāka, ja nolemsiet to pārbaudÄ«t tÄ«kla problēmu apstākļos, izmantojot ieteiktās metodes.

Avots: www.habr.com

Pievieno komentāru