Herkese merhaba, adım Sasha, FunCorp'ta arka uç testlerine liderlik ediyorum. Birçokları gibi biz de hizmet odaklı bir mimari uyguladık. Bu bir yandan işi kolaylaştırıyor çünkü... Her hizmeti ayrı ayrı test etmek daha kolaydır ancak diğer yandan hizmetlerin birbirleriyle olan etkileşiminin de sıklıkla ağ üzerinden meydana gelen test edilmesine ihtiyaç vardır.
Bu yazımda ağ sorunları varlığında bir uygulamanın çalışmasını açıklayan temel senaryoları kontrol etmek için kullanılabilecek iki yardımcı programdan bahsedeceğim.
Ağ sorunlarını simüle etme
Tipik olarak yazılım, iyi bir İnternet bağlantısına sahip test sunucularında test edilir. Zorlu üretim ortamlarında işler o kadar düzgün olmayabilir, bu nedenle bazen programları zayıf bağlantı koşullarında test etmeniz gerekir. Linux'ta yardımcı program bu tür koşulları simüle etme görevine yardımcı olacaktır tc.
tc(kısaltma Trafik Kontrolünden) sistemdeki ağ paketlerinin aktarımını yapılandırmanıza olanak tanır. Bu yardımcı programın harika yetenekleri var, onlar hakkında daha fazlasını okuyabilirsiniz . Burada bunlardan sadece birkaçını ele alacağım: biz trafik planlamasıyla ilgileniyoruz. qdiskve kararsız bir ağı taklit etmemiz gerektiğinden sınıfsız qdisc kullanacağız .
Sunucuda bir yankı sunucusu başlatalım (ben kullandım ):
ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'
İstemci ile sunucu arasındaki etkileşimin her adımındaki tüm zaman damgalarını ayrıntılı olarak görüntülemek için, istek gönderen basit bir Python betiği yazdım. test yankı sunucumuza.
İstemci kaynak kodu
#!/bin/python
import socket
import time
HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)
print data
Hadi başlatalım ve arayüzdeki trafiğe bakalım lo ve bağlantı noktası 12345:
[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test
Trafik dökümü
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0
Her şey standarttır: üç yönlü bir el sıkışma, PSH/ACK ve ACK'nın iki kez yanıt vermesi - bu, istemci ile sunucu arasındaki istek ve yanıt alışverişidir ve FIN/ACK ve ACK iki kez - bağlantıyı tamamlar.
Paket gecikmesi
Şimdi gecikmeyi 500 milisaniyeye ayarlayalım:
tc qdisc add dev lo root netem delay 500ms
İstemciyi başlatıyoruz ve betiğin artık 2 saniye boyunca çalıştığını görüyoruz:
[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test
Trafikte neler var? Haydi bakalım:
Trafik dökümü
13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0
İstemci ile sunucu arasındaki etkileşimde beklenen yarım saniyelik gecikmenin ortaya çıktığını görebilirsiniz. Gecikme daha büyükse sistem çok daha ilginç davranır: çekirdek bazı TCP paketlerini yeniden göndermeye başlar. Gecikmeyi 1 saniye olarak değiştirelim ve trafiğe bakalım (İstemcinin çıktısını göstermeyeceğim, toplam sürenin 4 saniye olması bekleniyor):
tc qdisc change dev lo root netem delay 1s
Trafik dökümü
13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0
İstemcinin iki kez SYN paketi gönderdiği, sunucunun ise iki kez SYN/ACK gönderdiği görülmektedir.
Sabit bir değere ek olarak gecikme, bir sapmaya, bir dağıtım fonksiyonuna ve bir korelasyona (önceki paketin değeriyle) ayarlanabilir. Bu şu şekilde yapılır:
tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal
Burada gecikmeyi 100 ila 900 milisaniye arasına ayarladık, değerler normal dağılıma göre seçilecek ve bir önceki pakete ait gecikme değeriyle %50 korelasyon olacak.
Kullandığım ilk komutta bunu fark etmiş olabilirsiniz. eklemekve Bırak değişiklik. Bu komutların anlamı açıktır, dolayısıyla daha fazlasının da olduğunu ekleyeceğim. delyapılandırmayı kaldırmak için kullanılabilir.
Paket kaybı
Şimdi paket kaybı yapmayı deneyelim. Belgelerden görülebileceği gibi, bu üç şekilde yapılabilir: paketleri belirli bir olasılıkla rastgele kaybetmek, paket kaybını hesaplamak için 2, 3 veya 4 durumlu Markov zincirini kullanmak veya Elliott-Gilbert modelini kullanmak. Makalede ilk (en basit ve en açık) yöntemi ele alacağım ve diğerleri hakkında bilgi edinebilirsiniz. .
%50 korelasyonla paketlerin %25'sinin kaybını yapalım:
tc qdisc add dev lo root netem loss 50% 25%
Ne yazık ki, tcp dökümü paket kaybını bize açıkça gösteremeyeceğiz, yalnızca gerçekten işe yaradığını varsayacağız. Komut dosyasının artan ve dengesiz çalışma süresi de bunu doğrulamamıza yardımcı olacaktır. müşteri.py (anında veya belki 20 saniyede tamamlanabilir) ve yeniden iletilen paketlerin sayısının artması:
[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
17147 segments retransmited
17185 segments retransmited
Paketlere gürültü ekleme
Paket kaybına ek olarak paket hasarını simüle edebilirsiniz: gürültü rastgele paket konumunda görünecektir. %50 olasılıkla ve korelasyonsuz paket hasarı yapalım:
tc qdisc change dev lo root netem corrupt 50%
İstemci komut dosyasını çalıştırıyoruz (burada ilginç bir şey yok, ancak tamamlanması 2 saniye sürdü), trafiğe bakın:
Trafik dökümü
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
Bazı paketlerin tekrar tekrar gönderildiği ve meta verileri bozuk olan bir paketin olduğu görülebilir: seçenekler [nop,unknown-65 0x0a3dcf62eb3d,[kötü seçenek]>. Ancak asıl önemli olan, sonunda her şeyin doğru şekilde çalışmasıydı - TCP göreviyle başa çıktı.
Paket çoğaltma
Başka ne yapabilirsin ağ? Örneğin, paket kaybının tam tersi durumu (paket çoğaltma) simüle edin. Bu komut ayrıca 2 argüman alır: olasılık ve korelasyon.
tc qdisc change dev lo root netem duplicate 50% 25%
Paketlerin sırasını değiştirme
Torbaları iki şekilde karıştırabilirsiniz.
İlkinde bazı paketler hemen gönderilir, geri kalanı ise belirli bir gecikmeyle gönderilir. Belgelerden örnek:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50%
%25 olasılıkla (ve %50 korelasyonla) paket hemen gönderilir, geri kalanı 10 milisaniyelik bir gecikmeyle gönderilir.
İkinci yöntem, her N'inci paketin belirli bir olasılıkla (ve korelasyonla) anında gönderilmesi ve geri kalanının belirli bir gecikmeyle gönderilmesidir. Belgelerden örnek:
tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5
Her beşinci paketin gecikmeden gönderilme şansı %25'tir.
Bant Genişliğini Değiştirme
Genellikle başvurdukları her yerde , ancak yardımıyla ağ Ayrıca arayüz bant genişliğini de değiştirebilirsiniz:
tc qdisc change dev lo root netem rate 56kbit
Bu ekip etrafta yürüyüşler yapacak localhost çevirmeli modem aracılığıyla internette gezinmek kadar acı verici. Bit hızını ayarlamanın yanı sıra, bağlantı katmanı protokol modelini de taklit edebilirsiniz: paketin yükünü, hücre boyutunu ve hücrenin yükünü ayarlayabilirsiniz. Örneğin, bu simüle edilebilir ve bit hızı 56 kbit/sn:
tc qdisc change dev lo root netem rate 56kbit 0 48 5
Bağlantı zaman aşımını simüle etme
Yazılımı kabul ederken test planındaki bir diğer önemli nokta ise zaman aşımlarıdır. Bu önemlidir, çünkü dağıtılmış sistemlerde hizmetlerden biri devre dışı bırakıldığında, diğerleri zamanında diğerlerine geri dönmeli veya istemciye bir hata döndürmeli ve hiçbir durumda bir yanıt veya bağlantı bekleyerek öylece askıda kalmamalıdırlar. kurulacak.
Bunu yapmanın birkaç yolu vardır: örneğin yanıt vermeyen bir sahte kullanın veya bir hata ayıklayıcı kullanarak sürece bağlanın, doğru yere bir kesme noktası koyun ve süreci durdurun (bu muhtemelen en sapkın yoldur). Ancak en bariz olanlardan biri, bağlantı noktalarının veya ana bilgisayarların güvenlik duvarıdır. Bu konuda bize yardımcı olacak .
Gösterim amacıyla, 12345 numaralı bağlantı noktasını güvenlik duvarı haline getireceğiz ve istemci komut dosyamızı çalıştıracağız. Bu bağlantı noktasına giden paketlere göndericide veya gelen paketlere alıcıda güvenlik duvarı uygulayabilirsiniz. Örneklerimde, gelen paketler güvenlik duvarı ile korunacaktır (zincir INPUT'u ve seçeneği kullanıyoruz) --dport). Bu tür paketler, RST TCP bayrağıyla veya ICMP ana bilgisayarına erişilemez durumdayken DROP, REJECT veya REJECT olabilir (aslında, varsayılan davranış şudur: icmp bağlantı noktasına ulaşılamıyorve ayrıca bir cevap gönderme fırsatı da var icmp-net'e ulaşılamıyor, icmp protokolüne ulaşılamıyor, icmp-net-yasaklı и icmp-host-yasaklanmış).
DAMLA
DROP ile ilgili bir kural varsa, paketler basitçe "kaybolur".
iptables -A INPUT -p tcp --dport 12345 -j DROP
İstemciyi başlatıyoruz ve sunucuya bağlanma aşamasında donduğunu görüyoruz. Trafiğe bakalım:
Trafik dökümü
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0
İstemcinin SYN paketlerini katlanarak artan bir zaman aşımı süresiyle gönderdiği görülmektedir. Böylece istemcide küçük bir hata bulduk: yöntemi kullanmanız gerekiyor ayarzaman aşımı()istemcinin sunucuya bağlanmaya çalışacağı süreyi sınırlamak için.
Kuralı hemen kaldırıyoruz:
iptables -D INPUT -p tcp --dport 12345 -j DROPTüm kuralları tek seferde silebilirsiniz:
iptables -F
Docker kullanıyorsanız ve konteynere giden tüm trafiği güvenlik duvarı ile korumanız gerekiyorsa, bunu aşağıdaki şekilde yapabilirsiniz:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP
REDDET
Şimdi benzer bir kuralı REJECT ile ekleyelim:
iptables -A INPUT -p tcp --dport 12345 -j REJECT
İstemci bir saniye sonra hata vererek çıkıyor [Errno 111] Bağlantı reddedildi. ICMP trafiğine bakalım:
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
Müşterinin iki kez aldığı görülebilir bağlantı noktasına ulaşılamıyor ve daha sonra bir hatayla sona erdi.
TCP-reset ile REDDET
Seçeneği eklemeye çalışalım --tcp-reset ile reddetme:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
Bu durumda, ilk istek bir RST paketi aldığından istemci hemen bir hata vererek çıkar:
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0
icmp-host-unreachable ile REDDET
REJECT'i kullanmak için başka bir seçenek deneyelim:
iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable
İstemci bir saniye sonra hata vererek çıkıyor [Errno 113] Ana makineye giden yol yokICMP trafiğinde görüyoruz ICMP ana bilgisayarı 127.0.0.1 erişilemiyor.
Ayrıca diğer REJECT parametrelerini de deneyebilirsiniz, ben bunlara odaklanacağım :)
İstek zaman aşımını simüle etme
Başka bir durum, istemcinin sunucuya bağlanabilmesi ancak sunucuya istek gönderememesidir. Filtrelemenin hemen başlamaması için paketler nasıl filtrelenir? İstemci ile sunucu arasındaki herhangi bir iletişimin trafiğine bakarsanız, bağlantı kurulurken yalnızca SYN ve ACK bayraklarının kullanıldığını ancak veri alışverişi yaparken son istek paketinin PSH bayrağını içereceğini fark edeceksiniz. Arabelleğe almayı önlemek için otomatik olarak yüklenir. Bu bilgiyi bir filtre oluşturmak için kullanabilirsiniz: PSH bayrağını içerenler dışındaki tüm paketlere izin verecektir. Böylece bağlantı kurulacak ancak istemci sunucuya veri gönderemeyecektir.
DAMLA
DROP için komut şöyle görünecektir:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP
İstemciyi başlatın ve trafiği izleyin:
Trafik dökümü
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5
Bağlantının kurulduğunu ve istemcinin sunucuya veri gönderemediğini görüyoruz.
REDDET
Bu durumda davranış aynı olacaktır: istemci isteği gönderemeyecek ancak alacaktır. ICMP 127.0.0.1 tcp bağlantı noktası 12345 erişilemiyor ve istek yeniden gönderimleri arasındaki süreyi katlanarak artırın. Komut şuna benzer:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT
TCP-reset ile REDDET
Komut şuna benzer:
iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset
Bunu kullanırken zaten biliyoruz --tcp-reset ile reddetme istemci yanıt olarak bir RST paketi alacaktır, böylece davranış tahmin edilebilir: bağlantı kurulurken bir RST paketi almak, diğer tarafta soketin beklenmedik bir şekilde kapalı olduğu anlamına gelir; bu, istemcinin alması gerektiği anlamına gelir Bağlantı eş tarafından sıfırlandı. Scriptimizi çalıştıralım ve bundan emin olalım. Ve trafik şöyle görünecek:
Trafik dökümü
[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0
icmp-host-unreachable ile REDDET
Sanırım komutun neye benzeyeceği herkes için zaten açık :) Bu durumda istemcinin davranışı basit bir REJECT'tekinden biraz farklı olacaktır: istemci, paketi yeniden gönderme girişimleri arasındaki zaman aşımını artırmayacaktır.
[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
Aviator apk
Bir hizmetin asılı bir istemci veya sunucuyla etkileşimini test etmek için bir örnek yazmanıza gerek yoktur; bazen Linux'ta bulunan standart yardımcı programları kullanmak yeterlidir.
Makalede tartışılan yardımcı programlar açıklanandan daha fazla yeteneğe sahiptir, dolayısıyla bunları kullanmak için kendi seçeneklerinizden bazılarını bulabilirsiniz. Şahsen, yazdıklarımdan her zaman yeterince sahibim (aslında daha da azı). Şirketinizde test yaparken bu veya benzeri yardımcı programları kullanıyorsanız, lütfen tam olarak nasıl olduğunu yazın. Değilse, önerilen yöntemleri kullanarak ağ sorunları koşullarında test etmeye karar verirseniz yazılımınızın daha iyi olacağını umuyorum.
Kaynak: habr.com