Ahojte všetci, volám sa Sasha, vediem backend testovanie vo FunCorp. Ako mnohí iní sme implementovali architektúru orientovanú na služby. Na jednej strane to zjednodušuje prácu, pretože... Jednoduchšie je testovať každú službu samostatne, no na druhej strane je potrebné otestovať vzájomnú interakciu služieb, ku ktorej často dochádza cez sieť.
V tomto článku budem hovoriť o dvoch nástrojoch, ktoré možno použiť na kontrolu základných scenárov, ktoré popisujú fungovanie aplikácie v prípade problémov so sieťou.
Simulácia problémov so sieťou
Softvér sa zvyčajne testuje na testovacích serveroch s dobrým internetovým pripojením. V drsných produkčných prostrediach to nemusí byť také plynulé, takže niekedy potrebujete otestovať programy v zlých podmienkach pripojenia. V systéme Linux tento nástroj pomôže s úlohou simulovať takéto podmienky tc.
tc(skratka z dopravnej kontroly) umožňuje konfigurovať prenos sieťových paketov v systéme. Tento nástroj má skvelé možnosti, môžete si o nich prečítať viac
Spustite echo server na serveri (použil som
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
Aby som mohol podrobne zobraziť všetky časové pečiatky v každom kroku interakcie medzi klientom a serverom, napísal som jednoduchý skript Python, ktorý odošle požiadavku test na náš echo server.
Zdrojový kód klienta
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Spustíme to a pozrieme sa na premávku na rozhraní lo a port 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Dopravná skládka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Všetko je štandardné: trojstranný handshake, PSH/ACK a ACK ako odpoveď dvakrát - to je výmena požiadavky a odpovede medzi klientom a serverom a FIN/ACK a ACK dvakrát - dokončenie spojenia.
Oneskorenie paketov
Teraz nastavme oneskorenie na 500 milisekúnd:
tc qdisc add dev lo root netem delay 500ms
Spustíme klienta a vidíme, že skript teraz beží na 2 sekundy:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Čo je v premávke? Pozri:
Dopravná skládka
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
Môžete vidieť, že v interakcii medzi klientom a serverom sa objavilo očakávané oneskorenie pol sekundy. Systém sa správa oveľa zaujímavejšie, ak je oneskorenie väčšie: jadro začne znova posielať niektoré TCP pakety. Zmeňme oneskorenie na 1 sekundu a pozrime sa na premávku (neukážem výstup klienta, očakávané sú 4 sekundy v celkovom trvaní):
tc qdisc change dev lo root netem delay 1s
Dopravná skládka
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
Je vidieť, že klient poslal SYN paket dvakrát a server poslal SYN/ACK dvakrát.
Okrem konštantnej hodnoty môže byť oneskorenie nastavené na odchýlku, distribučnú funkciu a koreláciu (s hodnotou pre predchádzajúci paket). Toto sa robí nasledovne:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Tu sme nastavili oneskorenie medzi 100 a 900 milisekúnd, hodnoty sa vyberú podľa normálneho rozdelenia a bude existovať 50% korelácia s hodnotou oneskorenia pre predchádzajúci paket.
Možno ste si všimli, že v prvom príkaze, ktorý som použil pridaťa potom zmena. Význam týchto príkazov je zrejmý, takže len dodám, že je toho viac del, ktorý možno použiť na odstránenie konfigurácie.
Strata paketov
Skúsme teraz urobiť stratu paketov. Ako je zrejmé z dokumentácie, možno to urobiť tromi spôsobmi: náhodnou stratou paketov s určitou pravdepodobnosťou, použitím Markovovho reťazca 2, 3 alebo 4 stavov na výpočet straty paketov alebo použitím Elliott-Gilbertovho modelu. V článku zvážim prvú (najjednoduchšiu a najzrejmejšiu) metódu a o ďalších si môžete prečítať
Urobme stratu 50 % paketov s koreláciou 25 %:
tc qdisc add dev lo root netem loss 50% 25%
Bohužiaľ, tcpdump nám nebude vedieť jasne ukázať stratu paketov, budeme len predpokladať, že to naozaj funguje. A zvýšená a nestabilná doba chodu skriptu nám to pomôže overiť. client.py (možno dokončiť okamžite alebo možno za 20 sekúnd), ako aj zvýšený počet opakovane odoslaných paketov:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Pridávanie šumu do paketov
Okrem straty paketov môžete simulovať poškodenie paketov: na náhodnej pozícii paketu sa objaví šum. Urobme poškodenie paketu s 50% pravdepodobnosťou a bez korelácie:
tc qdisc change dev lo root netem corrupt 50%
Spustíme klientsky skript (nie je tam nič zaujímavé, ale dokončenie trvalo 2 sekundy), pozrite sa na návštevnosť:
Dopravná skládka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Je možné vidieť, že niektoré pakety boli odoslané opakovane a existuje jeden paket s poškodenými metadátami: možnosti [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>. Ale hlavná vec je, že nakoniec všetko fungovalo správne - TCP sa vyrovnal so svojou úlohou.
Duplikácia paketov
S čím iným sa dá robiť netem? Napríklad simulujte opačnú situáciu straty paketov – duplikáciu paketov. Tento príkaz tiež používa 2 argumenty: pravdepodobnosť a koreláciu.
tc qdisc change dev lo root netem duplicate 50% 25%
Zmena poradia balíkov
Vrecúška môžete miešať dvoma spôsobmi.
V prvom sú niektoré pakety odoslané okamžite, ostatné s určeným oneskorením. Príklad z dokumentácie:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
S pravdepodobnosťou 25% (a koreláciou 50%) bude paket odoslaný okamžite, zvyšok bude odoslaný s oneskorením 10 milisekúnd.
Druhá metóda je, keď sa každý N-tý paket odošle okamžite s danou pravdepodobnosťou (a koreláciou) a zvyšok s daným oneskorením. Príklad z dokumentácie:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Každý piaty balík má 25% šancu na bezodkladné odoslanie.
Zmena šírky pásma
Zvyčajne všade, kde sa odvolávajú
tc qdisc change dev lo root netem rate 56kbit
Tento tím bude robiť túry okolo localhost bolestivé ako surfovanie na internete cez dial-up modem. Okrem nastavenia bitovej rýchlosti môžete tiež emulovať model protokolu spojovej vrstvy: nastavte réžiu pre paket, veľkosť bunky a réžiu bunky. Dá sa to napríklad simulovať
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Simulácia časového limitu pripojenia
Ďalším dôležitým bodom v pláne testovania pri akceptovaní softvéru sú časové limity. Je to dôležité, pretože v distribuovaných systémoch, keď je jedna zo služieb zakázaná, ostatné sa musia včas vrátiť k ostatným alebo vrátiť chybu klientovi a v žiadnom prípade by nemali jednoducho visieť a čakať na odpoveď alebo pripojenie. založiť.
Existuje niekoľko spôsobov, ako to urobiť: napríklad použiť mock, ktorý nereaguje, alebo sa pripojiť k procesu pomocou debuggera, umiestniť bod prerušenia na správne miesto a zastaviť proces (toto je pravdepodobne najzvrátenejší spôsob). Ale jedným z najzrejmejších sú porty alebo hostiteľa brány firewall. Pomôže nám s tým
Pre demonštráciu použijeme port brány firewall 12345 a spustíme náš klientsky skript. Odchádzajúce pakety na tento port môžete firewallovať u odosielateľa alebo prichádzajúce pakety u prijímača. V mojich príkladoch budú prichádzajúce pakety bránené firewallom (používame reťazový INPUT a možnosť --dport). Takéto pakety môžu byť DROP, REJECT alebo REJECT s príznakom TCP RST alebo s nedostupným hostiteľom ICMP (v skutočnosti je predvolené správanie icmp-port-nedosiahnuteľný, a je tu aj možnosť poslať odpoveď icmp-net-nedosiahnuteľný, icmp-proto-nedosiahnuteľné, icmp-net-zakázané и icmp-host-zakázaný).
DROP
Ak existuje pravidlo s DROP, pakety jednoducho „zmiznú“.
iptables -A INPUT -p tcp --dport 12345 -j DROP
Spustíme klienta a vidíme, že zamrzne vo fáze pripojenia k serveru. Pozrime sa na premávku:
Dopravná skládka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
Je vidieť, že klient posiela SYN pakety s exponenciálne sa zvyšujúcim časovým limitom. V klientovi sme teda našli malú chybu: musíte použiť metódu settimeout()obmedziť čas, počas ktorého sa bude klient pokúšať pripojiť k serveru.
Okamžite odstraňujeme pravidlo:
iptables -D INPUT -p tcp --dport 12345 -j DROP
Všetky pravidlá môžete odstrániť naraz:
iptables -F
Ak používate Docker a potrebujete firewall pre všetky prenosy smerujúce do kontajnera, môžete to urobiť takto:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
ODMIETNUŤ
Teraz pridáme podobné pravidlo, ale s REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
Klient po sekunde odíde s chybou [Errno 111] Spojenie odmietnuté. Pozrime sa na návštevnosť ICMP:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Je vidieť, že klient dostal dvakrát prístav nedostupný a potom skončil s chybou.
ODMIETNUTIE s tcp-resetom
Skúsme pridať možnosť --reject-with tcp-reset:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
V tomto prípade klient okamžite skončí s chybou, pretože prvá požiadavka prijala paket RST:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
ODMIETNUŤ s icmp-hostiteľ-nedosiahnuteľný
Skúsme inú možnosť použitia REJECT:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
Klient po sekunde odíde s chybou [Errno 113] Žiadna cesta k hostiteľovi, vidíme v prevádzke ICMP Hostiteľ ICMP 127.0.0.1 je nedostupný.
Môžete vyskúšať aj ostatné parametre REJECT a ja sa zameriam na tieto :)
Simulácia časového limitu požiadavky
Iná situácia je, keď sa klient mohol pripojiť k serveru, ale nemôže naň odoslať požiadavku. Ako filtrovať pakety, aby sa filtrovanie nespustilo hneď? Ak sa pozriete na prevádzku akejkoľvek komunikácie medzi klientom a serverom, všimnete si, že pri nadväzovaní spojenia sa používajú iba príznaky SYN a ACK, ale pri výmene dát bude posledný paket požiadavky obsahovať príznak PSH. Inštaluje sa automaticky, aby sa zabránilo ukladaniu do vyrovnávacej pamäte. Tieto informácie môžete použiť na vytvorenie filtra: povolí všetky pakety okrem tých, ktoré obsahujú príznak PSH. Spojenie sa teda vytvorí, ale klient nebude môcť odosielať dáta na server.
DROP
Pre DROP bude príkaz vyzerať takto:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
Spustite klienta a sledujte premávku:
Dopravná skládka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Vidíme, že spojenie je nadviazané a klient nemôže odosielať dáta na server.
ODMIETNUŤ
V tomto prípade bude správanie rovnaké: klient nebude môcť odoslať požiadavku, ale bude ju prijímať ICMP 127.0.0.1 tcp port 12345 nedostupný a exponenciálne predlžujte čas medzi opätovným odoslaním žiadostí. Príkaz vyzerá takto:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
ODMIETNUTIE s tcp-resetom
Príkaz vyzerá takto:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
To už vieme pri používaní --reject-with tcp-reset klient dostane ako odpoveď paket RST, takže správanie možno predvídať: prijatie paketu RST počas nadviazania spojenia znamená, že soket je neočakávane zatvorený na druhej strane, čo znamená, že klient by mal prijať Pripojenie resetované partnerom. Spustite náš skript a presvedčte sa o tom. A takto bude vyzerať premávka:
Dopravná skládka
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
ODMIETNUŤ s icmp-hostiteľ-nedosiahnuteľný
Myslím, že už je každému jasné, ako bude príkaz vyzerať :) Správanie klienta sa v tomto prípade bude mierne líšiť od toho s jednoduchým ODMIETNUTÍM: klient nezvýši časový limit medzi pokusmi o opätovné odoslanie paketu.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Výkon
Na testovanie interakcie služby s visiacim klientom alebo serverom nie je potrebné písať mock; niekedy stačí použiť štandardné nástroje, ktoré nájdete v Linuxe.
Pomôcky, o ktorých sa hovorí v článku, majú ešte viac možností, ako bolo popísané, takže môžete prísť s niektorými vlastnými možnosťami ich použitia. Osobne mám vždy dosť toho, o čom som písal (vlastne aj menej). Ak tieto alebo podobné utility používate pri testovaní vo vašej firme, napíšte prosím ako presne. Ak nie, dúfam, že sa váš softvér zlepší, ak sa ho rozhodnete otestovať v podmienkach sieťových problémov pomocou navrhovaných metód.
Zdroj: hab.com