Здраво на сите, јас се викам Саша, јас водам тестирање на задниот дел во FunCorp. Ние, како и многу други, имплементиравме архитектура ориентирана кон услуги. Од една страна, ова ја поедноставува работата, бидејќи ... Полесно е да се тестира секоја услуга посебно, но од друга страна има потреба од тестирање на интеракцијата на сервисите меѓу себе, што често се јавува преку мрежата.
Во оваа статија, ќе зборувам за две комунални услуги што можат да се користат за проверка на основните сценарија кои ја опишуваат работата на апликацијата во присуство на мрежни проблеми.
Симулирање мрежни проблеми
Вообичаено, софтверот се тестира на тест сервери со добра интернет конекција. Во тешки производствени средини, работите можеби не се толку мазни, па понекогаш треба да ги тестирате програмите во лоши услови за поврзување. На Linux, алатката ќе помогне во задачата да симулира такви услови tc.
tc(абр. од Контрола на сообраќајот) ви овозможува да го конфигурирате преносот на мрежните пакети во системот. Оваа алатка има одлични можности, можете да прочитате повеќе за нив . Овде ќе разгледам само неколку од нив: ние сме заинтересирани за распоред на сообраќај, за што користиме qdisc, и бидејќи треба да имитираме нестабилна мрежа, ќе користиме безкласен qdisc .
Ајде да стартуваме сервер за ехо на серверот (јас користев ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Со цел детално да се прикажат сите временски печати на секој чекор од интеракцијата помеѓу клиентот и серверот, напишав едноставна скрипта за Python што испраќа барање Тест на нашиот ехо сервер.
Изворниот код на клиентот
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Ајде да го стартуваме и да го погледнеме сообраќајот на интерфејсот lo и порта 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Сообраќајна депонија
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Сè е стандардно: тринасочно ракување, PSH/ACK и ACK како одговор двапати - ова е размена на барање и одговор помеѓу клиентот и серверот и FIN/ACK и ACK двапати - завршување на врската.
Доцнење на пакетот
Сега да го поставиме доцнењето на 500 милисекунди:
tc qdisc add dev lo root netem delay 500ms
Го стартуваме клиентот и гледаме дека скриптата сега работи 2 секунди:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Што има во сообраќајот? Ајде да видиме:
Сообраќајна депонија
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Можете да видите дека очекуваното задоцнување од половина секунда се појави во интеракцијата помеѓу клиентот и серверот. Системот се однесува многу поинтересно ако доцнењето е поголемо: кернелот почнува повторно да испраќа некои TCP пакети. Ајде да го смениме доцнењето на 1 секунда и да го погледнеме сообраќајот (нема да го прикажувам излезот на клиентот, има очекувани 4 секунди во вкупното времетраење):
tc qdisc change dev lo root netem delay 1s
Сообраќајна депонија
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Може да се види дека клиентот двапати испрати SYN пакет, а серверот двапати испрати SYN/ACK.
Освен константна вредност, доцнењето може да се постави на отстапување, функција на дистрибуција и корелација (со вредноста за претходниот пакет). Ова се прави на следниов начин:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Овде го поставивме доцнењето помеѓу 100 и 900 милисекунди, вредностите ќе бидат избрани според нормална дистрибуција и ќе има 50% корелација со вредноста на доцнењето за претходниот пакет.
Можеби сте го забележале тоа во првата команда што ја користев додадете, и потоа промени. Значењето на овие команди е очигледно, па само ќе додадам дека има повеќе del, што може да се користи за отстранување на конфигурацијата.
Загуба на пакети
Ајде сега да се обидеме да направиме загуба на пакети. Како што може да се види од документацијата, тоа може да се направи на три начини: губење на пакети по случаен избор со одредена веројатност, користење на Марков синџир од 2, 3 или 4 состојби за пресметување на загубата на пакети или користење на моделот Елиот-Гилберт. Во написот ќе го разгледам првиот (наједноставен и најочигледен) метод, а можете да прочитате за другите .
Да ја направиме загубата на 50% од пакетите со корелација од 25%:
tc qdisc add dev lo root netem loss 50% 25%
За жал, tcpdump нема да може јасно да ни го покаже губењето на пакетите, само ќе претпоставиме дека навистина функционира. И зголеменото и нестабилно време на извршување на скриптата ќе ни помогне да го потврдиме ова. client.py (може да се заврши веднаш, или можеби за 20 секунди), како и зголемен број на реемитувани пакети:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Додавање шум на пакетите
Покрај загубата на пакети, можете да симулирате оштетување на пакетите: шумот ќе се појави на случајна позиција на пакетот. Ајде да направиме оштетување на пакетите со 50% веројатност и без корелација:
tc qdisc change dev lo root netem corrupt 50%
Ја извршуваме скриптата на клиентот (таму нема ништо интересно, но потребни беа 2 секунди за да се заврши), погледнете го сообраќајот:
Сообраќајна депонија
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Може да се види дека некои пакети биле испраќани постојано и има еден пакет со скршени метаподатоци: опции [не, непознато-65 0x0a3dcf62eb3d,[лош опт]>. Но, главната работа е дека на крајот сè функционираше правилно - TCP се справи со својата задача.
Умножување на пакети
Со што друго можете да направите нетем? На пример, симулирајте ја обратната ситуација на загуба на пакети - дуплирање на пакети. Оваа команда зема и 2 аргументи: веројатност и корелација.
tc qdisc change dev lo root netem duplicate 50% 25%
Промена на редоследот на пакетите
Ќесичките можете да ги измешате на два начина.
Во првиот, некои пакети се испраќаат веднаш, а останатите со одредено задоцнување. Пример од документацијата:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Со веројатност од 25% (и корелација од 50%) пакетот ќе биде испратен веднаш, а остатокот ќе биде испратен со задоцнување од 10 милисекунди.
Вториот метод е кога секој N-ти пакет се испраќа веднаш со дадена веројатност (и корелација), а остатокот со дадено задоцнување. Пример од документацијата:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Секој петти пакет има 25% шанса да биде испратен без одлагање.
Промена на пропусниот опсег
Обично секаде каде што се однесуваат , но со помош нетем Можете исто така да го промените пропусниот опсег на интерфејсот:
tc qdisc change dev lo root netem rate 56kbit
Овој тим ќе патува наоколу localhost болно како сурфање на Интернет преку dial-up модем. Покрај поставувањето на бит-стапката, можете да го имитирате и моделот на протоколот на слојот за врска: поставете ги надземните трошоци за пакетот, големината на ќелијата и надземните трошоци за ќелијата. На пример, ова може да се симулира и брзина на битови 56 kbit/sec:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Симулирање на истекот на врската
Друга важна точка во планот за тестирање при прифаќање софтвер е тајмаутот. Ова е важно бидејќи во дистрибуираните системи, кога една од услугите е оневозможена, другите мора да им се вратат на другите навреме или да му вратат грешка на клиентот и во никој случај не треба едноставно да висат, чекајќи одговор или врска да се воспостави.
Постојат неколку начини да го направите ова: на пример, користете потсмев што не реагира или поврзете се со процесот користејќи дебагер, ставете точка на прекин на вистинското место и прекинете го процесот (ова е веројатно најизопачениот начин). Но, еден од најочигледните е да се заштитуваат пристаништата или хостовите. Тоа ќе ни помогне во ова .
За демонстрација, ќе ја заштитуваме портата 12345 и ќе ја извршиме нашата клиентска скрипта. Можете да ги заштитувате појдовните пакети на оваа порта кај испраќачот или дојдовните пакети кај примачот. Во моите примери, дојдовните пакети ќе бидат заштитени (ние користиме синџир INPUT и опцијата --dport). Таквите пакети може да бидат DROP, REJECT или REJECT со знаменцето TCP RST или со ICMP домаќин недостапен (всушност, стандардното однесување е icmp-port-недостапно, а има и можност да се испрати одговор icmp-net-недостапно, icmp-proto-недостижен, icmp-net-забрането и icmp-домаќин-забрането).
Зависници
Ако постои правило со DROP, пакетите едноставно ќе „исчезнат“.
iptables -A INPUT -p tcp --dport 12345 -j DROP
Го лансираме клиентот и гледаме дека се замрзнува во фазата на поврзување со серверот. Да го погледнеме сообраќајот:
Сообраќајна депонија
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Може да се види дека клиентот испраќа SYN пакети со експоненцијално зголемено времетраење. Така, најдовме мала грешка кај клиентот: треба да го користите методот поставување на време ()да го ограничи времето во кое клиентот ќе се обиде да се поврзе со серверот.
Веднаш го отстрануваме правилото:
iptables -D INPUT -p tcp --dport 12345 -j DROPМожете да ги избришете сите правила одеднаш:
iptables -F
Ако користите Docker и треба да го заштитувате целиот сообраќај што оди до контејнерот, тогаш можете да го направите на следниов начин:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
ОДБИВИ
Сега да додадеме слично правило, но со REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Клиентот излегува по секунда со грешка [Errno 111] Врската е одбиена. Да го погледнеме сообраќајот на ICMP:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Се гледа дека клиентот добил двапати пристаништето недостапно а потоа заврши со грешка.
ОТФРЛИ со tcp-ресетирање
Ајде да се обидеме да ја додадеме опцијата -- одбие-со tcp-ресетирање:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
Во овој случај, клиентот веднаш излегува со грешка, бидејќи првото барање доби RST пакет:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
ОДБИЈ со icmp-host-unreachable
Ајде да пробаме друга опција за користење REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Клиентот излегува по секунда со грешка [Errno 113] Нема маршрута до домаќинот, гледаме во сообраќајот на ICMP ICMP домаќин 127.0.0.1 недостапен.
Можете да ги испробате и другите параметри REJECT, и јас ќе се фокусирам на овие :)
Симулирање на истекот на барањето
Друга ситуација е кога клиентот можеше да се поврзе со серверот, но не може да испрати барање до него. Како да ги филтрирате пакетите за да не започне веднаш филтрирањето? Ако го погледнете сообраќајот на која било комуникација помеѓу клиентот и серверот, ќе забележите дека при воспоставување врска се користат само знаменцата SYN и ACK, но при размена на податоци, последниот пакет со барања ќе го содржи знамето PSH. Се инсталира автоматски за да се избегне баферирање. Можете да ги користите овие информации за да креирате филтер: тој ќе ги дозволи сите пакети освен оние што го содржат знамето PSH. Така, врската ќе се воспостави, но клиентот нема да може да испраќа податоци до серверот.
Зависници
За DROP командата би изгледала вака:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Стартувајте го клиентот и гледајте го сообраќајот:
Сообраќајна депонија
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Гледаме дека врската е воспоставена и клиентот не може да испраќа податоци до серверот.
ОДБИВИ
Во овој случај однесувањето ќе биде исто: клиентот нема да може да го испрати барањето, туку ќе добие ICMP 127.0.0.1 tcp портата 12345 недостапна и експоненцијално зголемете го времето помеѓу повторно поднесување барања. Командата изгледа вака:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
ОТФРЛИ со tcp-ресетирање
Командата изгледа вака:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Тоа веќе го знаеме при користење -- одбие-со tcp-ресетирање клиентот ќе добие RST пакет како одговор, така што однесувањето може да се предвиди: примањето RST пакет додека е воспоставена врската значи дека штекерот е неочекувано затворен од другата страна, што значи дека клиентот треба да добие Врската е ресетирана од колеги. Ајде да ја извршиме нашата скрипта и да се увериме во ова. А вака ќе изгледа сообраќајот:
Сообраќајна депонија
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
ОДБИЈ со icmp-host-unreachable
Мислам дека на сите им е веќе очигледно како ќе изгледа командата :) Однесувањето на клиентот во овој случај ќе биде малку поинакво од она со едноставно ОТФРЛИ: клиентот нема да го зголеми времето помеѓу обидите за повторно испраќање на пакетот.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Излез
Не е неопходно да се напише потсмев за да се тестира интеракцијата на услугата со обесен клиент или сервер; понекогаш е доволно да се користат стандардни комунални услуги што се наоѓаат во Linux.
Комуналните услуги дискутирани во статијата имаат уште повеќе можности отколку што беа опишани, па можете да излезете со некои од вашите сопствени опции за нивно користење. Мене лично секогаш ми е доста од она за што сум пишувал (всушност, уште помалку). Ако ги користите овие или слични алатки за тестирање во вашата компанија, ве молиме напишете како точно. Ако не, тогаш се надевам дека вашиот софтвер ќе стане подобар ако одлучите да го тестирате во услови на мрежни проблеми користејќи ги предложените методи.
Извор: www.habr.com