Hei alle sammen, jeg heter Sasha, jeg leder backend-testing hos FunCorp. Vi har, som mange andre, implementert en tjenesteorientert arkitektur. På den ene siden forenkler dette arbeidet, fordi... Det er lettere å teste hver tjeneste separat, men på den annen side er det behov for å teste samspillet mellom tjenester og hverandre, som ofte skjer over nettverket.
I denne artikkelen vil jeg snakke om to verktøy som kan brukes til å sjekke grunnleggende scenarier som beskriver driften av en applikasjon i nærvær av nettverksproblemer.
Simulering av nettverksproblemer
Vanligvis testes programvare på testservere med god internettforbindelse. I tøffe produksjonsmiljøer er det kanskje ikke så jevnt, så noen ganger må du teste programmer under dårlige tilkoblingsforhold. På Linux vil verktøyet hjelpe med oppgaven med å simulere slike forhold tc.
tc(abbr. fra Trafikkkontrollen) lar deg konfigurere overføringen av nettverkspakker i systemet. Dette verktøyet har store muligheter, du kan lese mer om dem . Her vil jeg bare vurdere noen få av dem: vi er interessert i trafikkplanlegging, som vi bruker qdisc, og siden vi trenger å emulere et ustabilt nettverk, vil vi bruke klasseløs qdisc .
La oss starte en ekkoserver på serveren (jeg brukte ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
For å vise i detalj alle tidsstemplene ved hvert trinn i interaksjonen mellom klienten og serveren, skrev jeg et enkelt Python-skript som sender en forespørsel Test til vår ekkoserver.
Klientkildekode
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
La oss starte den og se på trafikken på grensesnittet lo og port 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Trafikkdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Alt er standard: et treveis håndtrykk, PSH/ACK og ACK som svar to ganger - dette er utvekslingen av forespørsel og svar mellom klienten og serveren, og FIN/ACK og ACK to ganger - fullfører tilkoblingen.
Pakkeforsinkelse
La oss nå sette forsinkelsen til 500 millisekunder:
tc qdisc add dev lo root netem delay 500ms
Vi starter klienten og ser at skriptet nå kjører i 2 sekunder:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Hva er i trafikken? La oss se:
Trafikkdump
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Du kan se at forventet forsinkelse på et halvt sekund har dukket opp i interaksjonen mellom klienten og serveren. Systemet oppfører seg mye mer interessant hvis etterslepet er større: Kjernen begynner å sende noen TCP-pakker på nytt. La oss endre forsinkelsen til 1 sekund og se på trafikken (jeg vil ikke vise kundens utdata, det er forventet 4 sekunder i total varighet):
tc qdisc change dev lo root netem delay 1s
Trafikkdump
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Det kan sees at klienten sendte en SYN-pakke to ganger, og serveren sendte en SYN/ACK to ganger.
I tillegg til en konstant verdi, kan forsinkelsen settes til et avvik, en fordelingsfunksjon og en korrelasjon (med verdien for forrige pakke). Dette gjøres som følger:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Her har vi satt forsinkelsen mellom 100 og 900 millisekunder, verdiene vil bli valgt i henhold til en normalfordeling og det vil være en 50% korrelasjon med forsinkelsesverdien for forrige pakke.
Du har kanskje lagt merke til det i den første kommandoen jeg brukte legge til, og så endring. Betydningen av disse kommandoene er åpenbar, så jeg vil bare legge til at det er mer den, som kan brukes til å fjerne konfigurasjonen.
Pakketap
La oss nå prøve å gjøre pakketap. Som det fremgår av dokumentasjonen, kan dette gjøres på tre måter: å miste pakker tilfeldig med en viss sannsynlighet, bruke en Markov-kjede med 2, 3 eller 4 tilstander for å beregne pakketap, eller bruke Elliott-Gilbert-modellen. I artikkelen vil jeg vurdere den første (enkleste og mest åpenbare) metoden, og du kan lese om andre .
La oss tape 50 % av pakkene med en korrelasjon på 25 %:
tc qdisc add dev lo root netem loss 50% 25%
Dessverre, tcpdump vil ikke tydelig kunne vise oss tapet av pakker, vi vil bare anta at det virkelig fungerer. Og den økte og ustabile kjøretiden til skriptet vil hjelpe oss å bekrefte dette. client.py (kan fullføres umiddelbart, eller kanskje på 20 sekunder), samt et økt antall retransmitterte pakker:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Legger til støy til pakker
I tillegg til pakketap, kan du simulere pakkeskade: støy vil vises på en tilfeldig pakkeposisjon. La oss lage pakkeskade med 50 % sannsynlighet og uten korrelasjon:
tc qdisc change dev lo root netem corrupt 50%
Vi kjører klientskriptet (ingenting interessant der, men det tok 2 sekunder å fullføre), se på trafikken:
Trafikkdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Det kan sees at noen pakker ble sendt gjentatte ganger, og det er en pakke med ødelagte metadata: alternativer [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Men det viktigste er at alt fungerte riktig til slutt - TCP taklet oppgaven sin.
Duplisering av pakker
Hva annet kan du gjøre med netem? Simuler for eksempel den omvendte situasjonen med pakketap – pakkeduplikering. Denne kommandoen tar også 2 argumenter: sannsynlighet og korrelasjon.
tc qdisc change dev lo root netem duplicate 50% 25%
Endre rekkefølgen på pakkene
Du kan blande posene på to måter.
I den første sendes noen pakker umiddelbart, resten med en spesifisert forsinkelse. Eksempel fra dokumentasjonen:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
Med en sannsynlighet på 25 % (og en korrelasjon på 50 %) vil pakken sendes umiddelbart, resten sendes med en forsinkelse på 10 millisekunder.
Den andre metoden er når hver Nte pakke sendes umiddelbart med en gitt sannsynlighet (og korrelasjon), og resten med en gitt forsinkelse. Eksempel fra dokumentasjonen:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Hver femte pakke har 25 % sjanse for å bli sendt uten forsinkelse.
Endre båndbredde
Vanligvis overalt de refererer til , men med hjelp netem Du kan også endre grensesnittets båndbredde:
tc qdisc change dev lo root netem rate 56kbit
Dette laget vil gjøre turer rundt localhost like smertefullt som å surfe på Internett via et oppringt modem. I tillegg til å angi bithastigheten, kan du også emulere koblingslagsprotokollmodellen: angi overhead for pakken, cellestørrelse og overhead for cellen. Dette kan for eksempel simuleres og bithastighet 56 kbit/sek:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simulering av tidsavbrudd for tilkobling
Et annet viktig punkt i testplanen når du godtar programvare er timeouts. Dette er viktig fordi i distribuerte systemer, når en av tjenestene er deaktivert, må de andre falle tilbake til de andre i tide eller returnere en feil til klienten, og ikke i noe tilfelle skal de bare henge, vente på svar eller en tilkobling skal etableres.
Det er flere måter å gjøre dette på: for eksempel bruk en mock som ikke reagerer, eller koble til prosessen ved hjelp av en debugger, plasser et bruddpunkt på rett sted og stopp prosessen (dette er sannsynligvis den mest perverterte måten). Men en av de mest åpenbare er brannmurporter eller verter. Det vil hjelpe oss med dette .
For demonstrasjon vil vi brannmurport 12345 og kjøre klientskriptet vårt. Du kan brannmure utgående pakker til denne porten hos avsenderen eller innkommende pakker hos mottakeren. I eksemplene mine vil innkommende pakker være brannmur (vi bruker kjede INPUT og alternativet --dport). Slike pakker kan være DROP, REJECT eller REJECT med TCP-flagget RST, eller med ICMP-vert uoppnåelig (faktisk er standardatferden icmp-port-unreachable, og det er også mulighet for å sende svar icmp-net-utilgjengelig, icmp-proto-unreachable, icmp-net-forbudt и icmp-host-forbudt).
DROP
Hvis det er en regel med DROP, vil pakker ganske enkelt "forsvinne".
iptables -A INPUT -p tcp --dport 12345 -j DROP
Vi starter klienten og ser at den fryser ved tilkobling til serveren. La oss se på trafikken:
Trafikkdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Det kan sees at klienten sender SYN-pakker med eksponentielt økende tidsavbrudd. Så vi fant en liten feil i klienten: du må bruke metoden settimeout()for å begrense tiden klienten vil prøve å koble til serveren.
Vi fjerner regelen umiddelbart:
iptables -D INPUT -p tcp --dport 12345 -j DROPDu kan slette alle regler samtidig:
iptables -F
Hvis du bruker Docker og du trenger å brannmure all trafikk som går til containeren, kan du gjøre det som følger:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
AVVIST
La oss nå legge til en lignende regel, men med REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Klienten avsluttes etter et sekund med en feil [Errno 111] Tilkobling nektet. La oss se på ICMP-trafikken:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Det kan ses at klienten fikk to ganger port utilgjengelig og endte så med en feil.
AVVIS med tcp-reset
La oss prøve å legge til alternativet --reject-with tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
I dette tilfellet avsluttes klienten umiddelbart med en feil, fordi den første forespørselen mottok en RST-pakke:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
AVVIS med icmp-host-unreachable
La oss prøve et annet alternativ for å bruke REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Klienten avsluttes etter et sekund med en feil [Errno 113] Ingen rute til vert, ser vi i ICMP-trafikken ICMP-vert 127.0.0.1 utilgjengelig.
Du kan også prøve de andre REJECT-parametrene, og jeg vil fokusere på disse :)
Simulering av tidsavbrudd for forespørsel
En annen situasjon er når klienten var i stand til å koble til serveren, men ikke kan sende en forespørsel til den. Hvordan filtrere pakker slik at filtreringen ikke starter umiddelbart? Hvis du ser på trafikken til enhver kommunikasjon mellom klienten og serveren, vil du legge merke til at når du oppretter en forbindelse, brukes kun SYN- og ACK-flaggene, men når du utveksler data, vil den siste forespørselspakken inneholde PSH-flagget. Den installeres automatisk for å unngå buffering. Du kan bruke denne informasjonen til å lage et filter: det vil tillate alle pakker unntatt de som inneholder PSH-flagget. Dermed vil forbindelsen opprettes, men klienten vil ikke kunne sende data til serveren.
DROP
For DROP vil kommandoen se slik ut:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Start klienten og se trafikken:
Trafikkdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Vi ser at forbindelsen er etablert og klienten kan ikke sende data til serveren.
AVVIST
I dette tilfellet vil oppførselen være den samme: klienten vil ikke kunne sende forespørselen, men vil motta ICMP 127.0.0.1 tcp-port 12345 utilgjengelig og øke tiden mellom forespørsler på nytt eksponentielt. Kommandoen ser slik ut:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
AVVIS med tcp-reset
Kommandoen ser slik ut:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Det vet vi allerede når vi bruker --reject-with tcp-reset klienten vil motta en RST-pakke som svar, slik at oppførselen kan forutsies: mottak av en RST-pakke mens tilkoblingen er etablert betyr at kontakten uventet lukkes på den andre siden, noe som betyr at klienten skal motta Reset tilkobling av peer. La oss kjøre skriptet vårt og sørge for dette. Og slik vil trafikken se ut:
Trafikkdump
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
AVVIS med icmp-host-unreachable
Jeg tror det allerede er åpenbart for alle hvordan kommandoen vil se ut :) Klientens oppførsel i dette tilfellet vil være litt forskjellig fra den med en enkel AVVISNING: klienten vil ikke øke tidsavbruddet mellom forsøk på å sende pakken på nytt.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Utgang
Det er ikke nødvendig å skrive en mock for å teste samspillet mellom en tjeneste med en hengt klient eller server; noen ganger er det nok å bruke standardverktøy som finnes i Linux.
Verktøyene som er omtalt i artikkelen har enda flere muligheter enn det som ble beskrevet, så du kan komme opp med noen av dine egne alternativer for å bruke dem. Personlig har jeg alltid nok av det jeg skrev om (faktisk enda mindre). Hvis du bruker disse eller lignende verktøy i testing i din bedrift, vennligst skriv nøyaktig hvordan. Hvis ikke, håper jeg at programvaren din vil bli bedre hvis du bestemmer deg for å teste den under nettverksproblemer ved å bruke de foreslåtte metodene.
Kilde: www.habr.com