Hallo allemaal, mijn naam is Sasha, ik leid backend-testen bij FunCorp. Wij hebben, net als vele anderen, een servicegerichte architectuur geïmplementeerd. Enerzijds vereenvoudigt dit het werk, omdat... Het is gemakkelijker om elke dienst afzonderlijk te testen, maar aan de andere kant is er behoefte aan het testen van de interactie van diensten met elkaar, wat vaak via het netwerk gebeurt.
In dit artikel zal ik het hebben over twee hulpprogramma's die kunnen worden gebruikt om basisscenario's te controleren die de werking van een applicatie beschrijven in de aanwezigheid van netwerkproblemen.
Netwerkproblemen simuleren
Meestal wordt software getest op testservers met een goede internetverbinding. In zware productieomgevingen verloopt alles misschien niet zo soepel, dus soms moet u programma's testen onder slechte verbindingsomstandigheden. Op Linux zal het hulpprogramma helpen bij het simuleren van dergelijke omstandigheden tc.
tc(afkorting van Verkeersleiding) kunt u de overdracht van netwerkpakketten in het systeem configureren. Dit hulpprogramma heeft geweldige mogelijkheden, u kunt er meer over lezen . Hier zal ik er slechts een paar bespreken: we zijn geïnteresseerd in verkeersplanning, waarvoor we gebruiken qschijf, en aangezien we een onstabiel netwerk moeten emuleren, zullen we klasseloze qdisc gebruiken .
Laten we een echoserver op de server starten (ik gebruikte ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Om alle tijdstempels bij elke stap van de interactie tussen de client en de server gedetailleerd weer te geven, heb ik een eenvoudig Python-script geschreven dat een verzoek verzendt test naar onze echoserver.
Broncode van de klant
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Laten we het starten en naar het verkeer op de interface kijken lo en poort 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Verkeersdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Alles is standaard: een drieweg-handshake, twee keer PSH/ACK en ACK als reactie - dit is de uitwisseling van verzoek en antwoord tussen de client en de server, en twee keer FIN/ACK en ACK - waarmee de verbinding wordt voltooid.
Pakketvertraging
Laten we nu de vertraging instellen op 500 milliseconden:
tc qdisc add dev lo root netem delay 500ms
We starten de client en zien dat het script nu 2 seconden draait:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Wat zit er in het verkeer? Laten we kijken:
Verkeersdump
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Je ziet dat de verwachte vertraging van een halve seconde is ontstaan in de interactie tussen de client en de server. Het systeem gedraagt zich veel interessanter als de vertraging groter is: de kernel begint sommige TCP-pakketten opnieuw te verzenden. Laten we de vertraging wijzigen in 1 seconde en naar het verkeer kijken (ik zal de uitvoer van de client niet laten zien, er is een verwachte totale duur van 4 seconden):
tc qdisc change dev lo root netem delay 1s
Verkeersdump
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Het is te zien dat de client twee keer een SYN-pakket heeft verzonden en de server twee keer een SYN/ACK.
Naast een constante waarde kunt u voor de vertraging een afwijking, een verdelingsfunctie en een correlatie (met de waarde van het vorige pakket) opgeven. Dit gebeurt als volgt:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Hier hebben we de vertraging ingesteld tussen 100 en 900 milliseconden, de waarden worden geselecteerd volgens een normale verdeling en er zal een correlatie van 50% zijn met de vertragingswaarde voor het vorige pakket.
Je hebt dat misschien gemerkt in het eerste commando dat ik gebruikte toevoegenen dan verandering. De betekenis van deze commando's ligt voor de hand, dus ik zal eraan toevoegen dat er meer is del, waarmee u de configuratie kunt verwijderen.
Pakketverlies
Laten we nu proberen pakketverlies uit te voeren. Zoals uit de documentatie blijkt, kan dit op drie manieren worden gedaan: willekeurig pakketten verliezen met enige waarschijnlijkheid, een Markov-keten van 2, 3 of 4 toestanden gebruiken om pakketverlies te berekenen, of het Elliott-Gilbert-model gebruiken. In het artikel zal ik de eerste (eenvoudigste en meest voor de hand liggende) methode bespreken, en je kunt over anderen lezen .
Laten we het verlies van 50% van de pakketten nemen met een correlatie van 25%:
tc qdisc add dev lo root netem loss 50% 25%
Helaas tcpdump zal ons het verlies van pakketten niet duidelijk kunnen laten zien, we gaan er alleen van uit dat het echt werkt. En de toegenomen en onstabiele looptijd van het script zal ons helpen dit te verifiëren. klant.py (kan onmiddellijk worden voltooid, of misschien binnen 20 seconden), evenals een groter aantal opnieuw verzonden pakketten:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Ruis toevoegen aan pakketten
Naast pakketverlies kunt u pakketschade simuleren: er zal ruis optreden op een willekeurige pakketpositie. Laten we pakketschade maken met een waarschijnlijkheid van 50% en zonder correlatie:
tc qdisc change dev lo root netem corrupt 50%
We voeren het clientscript uit (niets interessants, maar het duurde 2 seconden om te voltooien), kijken naar het verkeer:
Verkeersdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Het is duidelijk dat sommige pakketten herhaaldelijk zijn verzonden en dat er één pakket is met beschadigde metadata: opties [nop,onbekend-65 0x0a3dcf62eb3d,[slechte optie]>. Maar het belangrijkste is dat uiteindelijk alles correct werkte: TCP kon zijn taak volbrengen.
Duplicatie van pakketten
Wat kun je er nog meer mee netem? Simuleer bijvoorbeeld de omgekeerde situatie van pakketverlies: pakketduplicatie. Voor dit commando zijn ook twee argumenten nodig: waarschijnlijkheid en correlatie.
tc qdisc change dev lo root netem duplicate 50% 25%
De volgorde van pakketten wijzigen
Je kunt de zakjes op twee manieren mixen.
In het eerste geval worden sommige pakketten onmiddellijk verzonden, de rest met een bepaalde vertraging. Voorbeeld uit de documentatie:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Met een waarschijnlijkheid van 25% (en een correlatie van 50%) wordt het pakketje direct verzonden, de rest met een vertraging van 10 milliseconden.
De tweede methode is wanneer elk N-de pakket onmiddellijk wordt verzonden met een bepaalde waarschijnlijkheid (en correlatie), en de rest met een bepaalde vertraging. Voorbeeld uit de documentatie:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Elk vijfde pakket heeft 25% kans om onverwijld te worden verzonden.
Bandbreedte wijzigen
Meestal overal waar ze naar verwijzen , maar met hulp netem U kunt ook de interfacebandbreedte wijzigen:
tc qdisc change dev lo root netem rate 56kbit
Dit team zal tochten in de omgeving maken localhost net zo pijnlijk als surfen op internet via een inbelmodem. Naast het instellen van de bitsnelheid kunt u ook het linklaagprotocolmodel emuleren: stel de overhead voor het pakket, de celgrootte en de overhead voor de cel in. Dit kan bijvoorbeeld worden gesimuleerd en bitsnelheid 56 kbit/sec:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simulatie van verbindingstime-out
Een ander belangrijk punt in het testplan bij het accepteren van software zijn time-outs. Dit is belangrijk omdat in gedistribueerde systemen, wanneer een van de services is uitgeschakeld, de anderen op tijd moeten terugvallen op de anderen of een fout moeten terugsturen naar de client, en in geen geval mogen ze gewoon blijven hangen, wachtend op een antwoord of een verbinding. om te worden gerealiseerd.
Er zijn verschillende manieren om dit te doen: gebruik bijvoorbeeld een mock die niet reageert, of maak verbinding met het proces met behulp van een debugger, plaats een breekpunt op de juiste plaats en stop het proces (dit is waarschijnlijk de meest perverse manier). Maar een van de meest voor de hand liggende is het firewallen van poorten of hosts. Het zal ons hierbij helpen .
Ter demonstratie zullen we poort 12345 firewallen en ons clientscript uitvoeren. U kunt uitgaande pakketten naar deze poort bij de afzender of binnenkomende pakketten bij de ontvanger firewallen. In mijn voorbeelden worden binnenkomende pakketten beschermd door een firewall (we gebruiken chain INPUT en de optie --dport). Dergelijke pakketten kunnen DROP, REJECT of REJECT zijn met de TCP-vlag RST, of met een ICMP-host die onbereikbaar is (in feite is het standaardgedrag icmp-poort-onbereikbaar, en er is ook de mogelijkheid om een antwoord te sturen icmp-net-onbereikbaar, icmp-proto-onbereikbaar, icmp-net-verboden и icmp-host-verboden).
DROP
Als er een regel is met DROP, zullen pakketten eenvoudigweg “verdwijnen”.
iptables -A INPUT -p tcp --dport 12345 -j DROP
We starten de client en zien dat deze vastloopt tijdens het verbinden met de server. Laten we eens kijken naar het verkeer:
Verkeersdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Het is te zien dat de client SYN-pakketten verzendt met een exponentieel toenemende time-out. We hebben dus een kleine bug in de client gevonden: je moet de methode gebruiken settime-out()om de tijd te beperken waarin de client probeert verbinding te maken met de server.
We verwijderen onmiddellijk de regel:
iptables -D INPUT -p tcp --dport 12345 -j DROPU kunt alle regels in één keer verwijderen:
iptables -F
Als u Docker gebruikt en al het verkeer dat naar de container gaat, moet u dit als volgt doen:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
WEIGEREN
Laten we nu een soortgelijke regel toevoegen, maar dan met REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
De client sluit na een seconde af met een fout [Errno 111] Verbinding geweigerd. Laten we eens kijken naar het ICMP-verkeer:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Het is te zien dat de klant twee keer heeft ontvangen haven onbereikbaar en eindigde vervolgens met een fout.
WEIGEREN met tcp-reset
Laten we proberen de optie toe te voegen --reject-met tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
In dit geval wordt de client onmiddellijk afgesloten met een foutmelding, omdat het eerste verzoek een RST-pakket heeft ontvangen:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
WEIGEREN met icmp-host-unreachable
Laten we een andere optie proberen om REJECT te gebruiken:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
De client sluit na een seconde af met een fout [Errno 113] Geen route naar host, zien we in ICMP-verkeer ICMP-host 127.0.0.1 onbereikbaar.
Je kunt ook de andere REJECT-parameters proberen, en ik zal me hierop concentreren :)
Time-out van aanvraag simuleren
Een andere situatie is wanneer de client verbinding kon maken met de server, maar er geen verzoek naartoe kan sturen. Hoe pakketten filteren zodat het filteren niet onmiddellijk begint? Als u naar het verkeer van elke communicatie tussen de client en de server kijkt, zult u merken dat bij het tot stand brengen van een verbinding alleen de SYN- en ACK-vlaggen worden gebruikt, maar bij het uitwisselen van gegevens zal het laatste verzoekpakket de PSH-vlag bevatten. Het wordt automatisch geïnstalleerd om buffering te voorkomen. U kunt deze informatie gebruiken om een filter te maken: het laat alle pakketten toe, behalve de pakketten die de PSH-vlag bevatten. De verbinding wordt dus tot stand gebracht, maar de client kan geen gegevens naar de server verzenden.
DROP
Voor DROP zou het commando er als volgt uitzien:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Start de client en bekijk het verkeer:
Verkeersdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
We zien dat de verbinding tot stand is gebracht en dat de client geen gegevens naar de server kan sturen.
WEIGEREN
In dit geval zal het gedrag hetzelfde zijn: de klant kan het verzoek niet verzenden, maar ontvangen ICMP 127.0.0.1 TCP-poort 12345 onbereikbaar en de tijd tussen het opnieuw indienen van verzoeken exponentieel vergroten. De opdracht ziet er als volgt uit:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
WEIGEREN met tcp-reset
De opdracht ziet er als volgt uit:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Dat weten we al bij het gebruik --reject-met tcp-reset de client ontvangt als reactie een RST-pakket, dus het gedrag kan worden voorspeld: het ontvangen van een RST-pakket terwijl de verbinding tot stand is gebracht, betekent dat de socket aan de andere kant onverwacht gesloten is, wat betekent dat de client zou moeten ontvangen Verbinding opnieuw ingesteld door peer. Laten we ons script uitvoeren en hier zeker van zijn. En dit is hoe het verkeer eruit zal zien:
Verkeersdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
WEIGEREN met icmp-host-unreachable
Ik denk dat het voor iedereen al duidelijk is hoe het commando eruit zal zien :) Het gedrag van de client zal in dit geval iets anders zijn dan dat met een simpele REJECT: de client zal de time-out tussen pogingen om het pakket opnieuw te verzenden niet verlengen.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Uitgang
Het is niet nodig om een proefversie te schrijven om de interactie van een service met een vastgelopen client of server te testen; soms is het voldoende om standaardhulpprogramma's te gebruiken die in Linux te vinden zijn.
De hulpprogramma's die in het artikel worden besproken, hebben zelfs meer mogelijkheden dan beschreven, dus u kunt enkele van uw eigen opties bedenken om ze te gebruiken. Persoonlijk heb ik altijd genoeg van waar ik over schreef (eigenlijk zelfs minder). Als u deze of soortgelijke hulpprogramma's gebruikt bij het testen in uw bedrijf, schrijf dan op hoe dat precies moet. Als dat niet het geval is, dan hoop ik dat uw software beter zal worden als u besluit deze te testen bij netwerkproblemen met behulp van de voorgestelde methoden.
Bron: www.habr.com