העלא אַלעמען, מיין נאָמען איז סאַשאַ, איך פירן באַקענד טעסטינג ביי FunCorp. מיר, ווי פילע אנדערע, האָבן ימפּלאַמענאַד אַ דינסט-אָריענטיד אַרקאַטעקטשער. אויף די איין האַנט, דאָס סימפּלאַפייז די אַרבעט, ווייַל ... עס איז גרינגער צו פּרובירן יעדער דינסט סעפּעראַטלי, אָבער אויף די אנדערע האַנט, עס איז אַ נויט צו פּרובירן די ינטעראַקשאַן פון סערוויסעס מיט יעדער אנדערע, וואָס אָפט אַקערז איבער די נעץ.

אין דעם אַרטיקל, איך וועל רעדן וועגן צוויי יוטילאַטיז וואָס קענען ווערן גענוצט צו קאָנטראָלירן יקערדיק סינעריאָוז וואָס באַשרייַבן די אָפּעראַציע פון אַ אַפּלאַקיישאַן אין דעם בייַזייַן פון נעץ פּראָבלעמס.

סימולאַטינג נעץ פּראָבלעמס

טיפּיקאַללי, ווייכווארג איז טעסטעד אויף פּרובירן סערווערס מיט אַ גוט אינטערנעט פֿאַרבינדונג. אין האַרב פּראָדוקציע ינווייראַנמאַנץ, די טינגז קען נישט זיין אַזוי גלאַט, אַזוי מאל איר דאַרפֿן צו פּרובירן מגילה אין נעבעך קשר טנאָים. אויף לינוקס, די נוצן וועט העלפן מיט די אַרבעט פון סימיאַלייטינג אַזאַ טנאָים tc.

טק(אַבר. פון פאַרקער קאָנטראָל) אַלאַוז איר צו קאַנפיגיער די טראַנסמיסיע פון נעץ פּאַקיץ אין די סיסטעם. דעם נוצן האט גרויס קייפּאַבילאַטיז, איר קענען לייענען מער וועגן זיי דאָ. דאָ איך וועט באַטראַכטן בלויז אַ ביסל פון זיי: מיר זענען אינטערעסירט אין פאַרקער סקעדזשולינג, פֿאַר וואָס מיר נוצן qdisc, און זינט מיר דאַרפֿן צו עמיאַלייט אַן אַנסטייבאַל נעץ, מיר וועלן נוצן קלאַסלעסס קדיסק נעטעם.

לאָמיר קאַטער אַן עקאָו סערווער אויף די סערווער (איך געוויינט nmap-ncat):

ncat -l 127.0.0.1 12345 -k -c 'xargs -n1 -i echo "Response: {}"'

אין סדר צו ווייַזן אין דעטאַל אַלע די טימעסטאַמפּס אין יעדער שריט פון ינטעראַקשאַן צווישן דעם קליענט און די סערווער, איך געשריבן אַ פּשוט פּיטהאָן שריפט וואָס סענדז אַ בקשה פּרובירן צו אונדזער עקאָו סערווער.

קליענט מקור קאָד

#!/bin/python

import socket
import time

HOST = '127.0.0.1'
PORT = 12345
BUFFER_SIZE = 1024
MESSAGE = "Testn"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
t1 = time.time()
print "[time before connection: %.5f]" % t1
s.connect((HOST, PORT))
print "[time after connection, before sending: %.5f]" % time.time()
s.send(MESSAGE)
print "[time after sending, before receiving: %.5f]" % time.time()
data = s.recv(BUFFER_SIZE)
print "[time after receiving, before closing: %.5f]" % time.time()
s.close()
t2 = time.time()
print "[time after closing: %.5f]" % t2
print "[total duration: %.5f]" % (t2 - t1)

print data

זאל ס קאַטער עס און קוק אין די פאַרקער אויף די צובינד lo און פּאָרט 12345:

[user@host ~]# python client.py
[time before connection: 1578652979.44837]
[time after connection, before sending: 1578652979.44889]
[time after sending, before receiving: 1578652979.44894]
[time after receiving, before closing: 1578652979.45922]
[time after closing: 1578652979.45928]
[total duration: 0.01091]
Response: Test

פאַרקער דאַמפּ

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:42:59.448601 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [S], seq 3383332866, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 0,nop,wscale 7], length 0
10:42:59.448612 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [S.], seq 2584700178, ack 3383332867, win 43690, options [mss 65495,sackOK,TS val 606325685 ecr 606325685,nop,wscale 7], length 0
10:42:59.448622 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.448923 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 5
10:42:59.448930 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [.], ack 6, win 342, options [nop,nop,TS val 606325685 ecr 606325685], length 0
10:42:59.459118 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 606325696 ecr 606325685], length 14
10:42:59.459213 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.459268 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 606325696 ecr 606325696], length 0
10:42:59.460184 IP 127.0.0.1.12345 > 127.0.0.1.54054: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 606325697 ecr 606325696], length 0
10:42:59.460196 IP 127.0.0.1.54054 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 606325697 ecr 606325697], length 0

אַלץ איז נאָרמאַל: אַ דריי-וועג כאַנדשייק, PSH / ACK און ACK אין ענטפער צוויי מאָל - דאָס איז דער וועקסל פון בעטן און ענטפער צווישן דעם קליענט און סערווער, און FIN / ACK און ACK צוויי מאָל - קאַמפּליטינג די קשר.

פּאַקאַט פאַרהאַלטן

איצט לאָמיר שטעלן די פאַרהאַלטן צו 500 מיליסעקאַנדז:

tc qdisc add dev lo root netem delay 500ms

מיר קאַטער דעם קליענט און זען אַז די שריפט לויפט איצט פֿאַר 2 סעקונדעס:

[user@host ~]# ./client.py
[time before connection: 1578662612.71044]
[time after connection, before sending: 1578662613.71059]
[time after sending, before receiving: 1578662613.71065]
[time after receiving, before closing: 1578662614.72011]
[time after closing: 1578662614.72019]
[total duration: 2.00974]
Response: Test

וואָס איז אין די פאַרקער? לאמיר קוקן:

פאַרקער דאַמפּ

13:23:33.210520 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [S], seq 1720950927, win 43690, options [mss 65495,sackOK,TS val 615958947 ecr 0,nop,wscale 7], length 0
13:23:33.710554 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [S.], seq 1801168125, ack 1720950928, win 43690, options [mss 65495,sackOK,TS val 615959447 ecr 615958947,nop,wscale 7], length 0
13:23:34.210590 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 0
13:23:34.210657 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 615959947 ecr 615959447], length 5
13:23:34.710680 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [.], ack 6, win 342, options [nop,nop,TS val 615960447 ecr 615959947], length 0
13:23:34.719371 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 615960456 ecr 615959947], length 14
13:23:35.220106 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.220188 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 615960957 ecr 615960456], length 0
13:23:35.720994 IP 127.0.0.1.12345 > 127.0.0.1.58694: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 615961457 ecr 615960957], length 0
13:23:36.221025 IP 127.0.0.1.58694 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 615961957 ecr 615961457], length 0

איר קענען זען אַז די דערוואַרט אָפּשטיי פון אַ האַלב רגע איז ארויס אין די ינטעראַקשאַן צווישן דעם קליענט און די סערווער. די סיסטעם ביכייווז פיל מער ינטערעסטינגלי אויב די אָפּשטיי איז גרעסער: דער קערן הייבט צו רעסענד עטלעכע טקפּ פּאַקיץ. לאָמיר טוישן די פאַרהאַלטן צו 1 סעקונדע און קוק אין די פאַרקער (איך וועל נישט ווייַזן די רעזולטאַט פון דעם קליענט, עס זענען די דערוואַרט 4 סעקונדעס אין גאַנץ געדויער):

tc qdisc change dev lo root netem delay 1s

פאַרקער דאַמפּ

13:29:07.709981 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616292946 ecr 0,nop,wscale 7], length 0
13:29:08.710018 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616293946 ecr 616292946,nop,wscale 7], length 0
13:29:08.711094 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [S], seq 283338334, win 43690, options [mss 65495,sackOK,TS val 616293948 ecr 0,nop,wscale 7], length 0
13:29:09.710048 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616294946 ecr 616293946], length 0
13:29:09.710152 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 616294947 ecr 616293946], length 5
13:29:09.711120 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [S.], seq 3514208179, ack 283338335, win 43690, options [mss 65495,sackOK,TS val 616294948 ecr 616292946,nop,wscale 7], length 0
13:29:10.710173 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [.], ack 6, win 342, options [nop,nop,TS val 616295947 ecr 616294947], length 0
13:29:10.711140 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 616295948 ecr 616293946], length 0
13:29:10.714782 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 616295951 ecr 616294947], length 14
13:29:11.714819 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:11.714893 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 616296951 ecr 616295951], length 0
13:29:12.715562 IP 127.0.0.1.12345 > 127.0.0.1.39306: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 616297952 ecr 616296951], length 0
13:29:13.715596 IP 127.0.0.1.39306 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 616298952 ecr 616297952], length 0

מען קען זען אַז דער קליענט האָט צוויי מאָל געשיקט אַ SYN פּאַקאַט, און דער סערווער האָט צוויי מאָל געשיקט אַ SYN/ACK.

אין אַדישאַן צו אַ קעסיידערדיק ווערט, די פאַרהאַלטן קענען זיין באַשטימט צו אַ דיווייישאַן, אַ פאַרשפּרייטונג פֿונקציע און אַ קאָראַליישאַן (מיט די ווערט פֿאַר די פריערדיקע פּאַקאַט). דאָס איז געטאן ווי גייט:

tc qdisc change dev lo root netem delay 500ms 400ms 50 distribution normal

דאָ מיר האָבן באַשטימט די פאַרהאַלטן צווישן 100 און 900 מיליסעקאַנדז, די וואַלועס וועט זיין אויסגעקליבן לויט אַ נאָרמאַל פאַרשפּרייטונג און עס וועט זיין אַ 50% קאָראַליישאַן מיט די פאַרהאַלטן ווערט פֿאַר די פריערדיקע פּאַקאַט.

איר קען האָבן באמערקט אַז אין דער ערשטער באַפֿעל איך געוויינט צוגעבן, און דאן טוישן. דער טייַטש פון די קאַמאַנדז איז קלאָר ווי דער טאָג, אַזוי איך וועט נאָר לייגן אַז עס איז מער דעל, וואָס קענען זיין געוויינט צו באַזייַטיקן די קאַנפיגיעריישאַן.

פּאַקאַט לאָס

זאל ס איצט פּרובירן צו טאָן פּאַקאַט אָנווער. ווי קענען זיין געזען פון די דאַקיומענטיישאַן, דאָס קענען זיין געטאן אין דריי וועגן: ראַנדאַמלי לוזינג פּאַקיץ מיט עטלעכע מאַשמאָעס, ניצן אַ מאַרקאָוו קייט פון 2, 3 אָדער 4 שטאַטן צו רעכענען פּאַקאַט אָנווער, אָדער ניצן די Elliott-Gilbert מאָדעל. אין דעם אַרטיקל איך וועט באַטראַכטן די ערשטער (סימפּאַסט און מערסט קלאָר ווי דער טאָג) אופֿן, און איר קענען לייענען וועגן אנדערע דאָ.

לאָמיר מאַכן די אָנווער פון 50% פון פּאַקיץ מיט אַ קאָראַליישאַן פון 25%:

tc qdisc add dev lo root netem loss 50% 25%

ליידער, טקפּדומפּ וועט נישט קענען קלאר ווייַזן אונדז די אָנווער פון פּאַקיץ, מיר וועלן נאָר יבערנעמען אַז עס טאַקע אַרבעט. און די געוואקסן און אַנסטייבאַל פליסנדיק צייט פון די שריפט וועט העלפֿן אונדז באַשטעטיקן דעם. client.py (קענען זיין געענדיקט טייקעף, אָדער אפֿשר אין 20 סעקונדעס), ווי געזונט ווי אַ געוואקסן נומער פון ריטראַנסמיטטעד פּאַקיץ:

[user@host ~]# netstat -s | grep retransmited; sleep 10; netstat -s | grep retransmited
    17147 segments retransmited
    17185 segments retransmited

אַדינג ראַש צו פּאַקיץ

אין אַדישאַן צו פּאַקאַט אָנווער, איר קענען סימולירן פּאַקאַט שעדיקן: ראַש וועט דערשייַנען אין אַ טראַפ - פּאַקאַט שטעלע. לאָמיר מאַכן פּאַקאַט שעדיקן מיט אַ 50% מאַשמאָעס און אָן קאָראַליישאַן:

tc qdisc change dev lo root netem corrupt 50%

מיר לויפן דעם קליענט שריפט (גאָרנישט טשיקאַווע דאָרט, אָבער עס גענומען 2 סעקונדעס צו פאַרענדיקן), קוק אין די פאַרקער:

פאַרקער דאַמפּ

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:20:54.812434 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [S], seq 2023663770, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 0,nop,wscale 7], length 0
10:20:54.812449 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [S.], seq 2104268044, ack 2023663771, win 43690, options [mss 65495,sackOK,TS val 1037001049 ecr 1037001049,nop,wscale 7], length 0
10:20:54.812458 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 0
10:20:54.812509 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001049 ecr 1037001049], length 5
10:20:55.013093 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1037001250 ecr 1037001049], length 5
10:20:55.013122 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [.], ack 6, win 342, options [nop,nop,TS val 1037001250 ecr 1037001250], length 0
10:20:55.014681 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,nop,TS val 1037001251 ecr 1037001250], length 14
10:20:55.014745 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 15, win 340, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.014823 IP 127.0.0.1.43666 > 127.0.0.5.12345: Flags [F.], seq 2023663776, ack 2104268059, win 342, options [nop,nop,TS val 1037001251 ecr 1037001251], length 0
10:20:55.214088 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [P.], seq 1:15, ack 6, win 342, options [nop,unknown-65 0x0a3dcf62eb3d,[bad opt]>
10:20:55.416087 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [F.], seq 6, ack 15, win 342, options [nop,nop,TS val 1037001653 ecr 1037001251], length 0
10:20:55.416804 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:55.416818 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 343, options [nop,nop,TS val 1037001653 ecr 1037001653], length 0
10:20:56.147086 IP 127.0.0.1.12345 > 127.0.0.1.43666: Flags [F.], seq 15, ack 7, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0
10:20:56.147101 IP 127.0.0.1.43666 > 127.0.0.1.12345: Flags [.], ack 16, win 342, options [nop,nop,TS val 1037002384 ecr 1037001653], length 0

עס קענען זיין געזען אַז עטלעכע פּאַקיץ זענען ריפּיטידלי געשיקט און עס איז איין פּאַקאַט מיט צעבראכן מעטאַדאַטאַ: אָפּציעס [nop,unknown-65 0x0a3dcf62eb3d, [שלעכט אָפּט]>. אבער די הויפּט זאַך איז אַז אין די סוף אַלץ געארבעט ריכטיק - טקפּ קאָופּט מיט זייַן אַרבעט.

פּאַקאַט דופּליקאַטיאָן

וואָס אַנדערש קענען איר טאָן מיט נעטעם? פֿאַר בייַשפּיל, סימולירן די פאַרקערט סיטואַציע פון פּאַקאַט אָנווער - פּאַקאַט דופּליקיישאַן. דער באַפֿעל אויך נעמט 2 אַרגומענטן: מאַשמאָעס און קאָראַליישאַן.

tc qdisc change dev lo root netem duplicate 50% 25%

טשאַנגינג די סדר פון פּאַקאַדזשאַז

איר קענען מישן די באַגס אין צוויי וועגן.

אין דער ערשטער, עטלעכע פּאַקיץ זענען געשיקט מיד, די מנוחה מיט אַ ספּעסיפיעד פאַרהאַלטן. בייַשפּיל פון די דאַקיומענטיישאַן:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50%

מיט אַ מאַשמאָעס פון 25% (און אַ קאָראַליישאַן פון 50%) די פּאַקאַט וועט זיין געשיקט מיד, די מנוחה וועט זיין געשיקט מיט אַ פאַרהאַלטן פון 10 מיליסעקאַנדז.

די צווייטע אופֿן איז ווען יעדער נט פּאַקאַט איז געשיקט טייקעף מיט אַ געגעבן מאַשמאָעס (און קאָראַליישאַן), און די מנוחה מיט אַ געגעבן פאַרהאַלטן. בייַשפּיל פון די דאַקיומענטיישאַן:

tc qdisc change dev lo root netem delay 10ms reorder 25% 50% gap 5

יעדער פינפט פּעקל האט אַ 25% געלעגנהייַט צו זיין געשיקט אָן פאַרהאַלטן.

טשאַנגינג באַנדווידט

וסואַללי אומעטום זיי אָפּשיקן צו טבף, אָבער מיט דער הילף נעטעם איר קענען אויך טוישן די צובינד באַנדווידט:

tc qdisc change dev lo root netem rate 56kbit

דעם קאָלעקטיוו וועט מאַכן טרעקס אַרום לאָקאַלהאָסט ווי ווייטיקדיק ווי סערפינג די אינטערנעט דורך אַ רעדל-אַרויף מאָדעם. אין אַדישאַן צו באַשטעטיקן די ביטראַטע, איר קענען אויך עמיאַלייט די לינק שיכטע פּראָטאָקאָל מאָדעל: שטעלן די אָוווערכעד פֿאַר די פּאַקאַט, די צעל גרייס און די אָוווערכעד פֿאַר די צעל. פֿאַר בייַשפּיל, דאָס קענען זיין סימיאַלייטיד אַטם און ביטראַטע 56 קביט / סעק:

tc qdisc change dev lo root netem rate 56kbit 0 48 5

סימולאַטינג קשר טיימאַוט

אן אנדער וויכטיק פונט אין די פּראָבע פּלאַן ווען אַקסעפּטינג ווייכווארג איז טיימאַוץ. דאָס איז וויכטיק ווייַל אין פונאנדערגעטיילט סיסטעמען, ווען איינער פון די סערוויסעס איז פאַרקריפּלט, די אנדערע מוזן פאַלן צוריק צו די אנדערע אין צייט אָדער צוריקקומען אַ טעות צו דעם קליענט, און אין קיין פאַל זאָל זיי פשוט הענגען, ווארטן פֿאַר אַ ענטפער אָדער אַ קשר צו זיין געגרינדעט.

עס זענען עטלעכע וועגן צו טאָן דאָס: פֿאַר בייַשפּיל, נוצן אַ שפּאָט וואָס טוט נישט ריספּאַנד, אָדער פאַרבינדן צו דעם פּראָצעס ניצן אַ דעבוגגער, שטעלן אַ ברייקפּוינט אין די רעכט אָרט און האַלטן דעם פּראָצעס (דאָס איז מיסטאָמע די מערסט פּערווערטיד וועג). אָבער איינער פון די מערסט קלאָר ווי דער טאָג איז צו פירעוואַלל פּאָרץ אָדער מחנות. עס וועט אונדז העלפן מיט דעם iptables.

פֿאַר דעמאַנסטריישאַן, מיר וועלן פיירוואַל פּאָרט 12345 און לויפן אונדזער קליענט שריפט. איר קענען פירעוואַלל אַוטגאָוינג פּאַקיץ צו דעם פּאָרט ביי די סענדער אָדער ינקאַמינג פּאַקיץ ביי די ופנעמער. אין מיין ביישפילן, ינקאַמינג פּאַקיץ וועט זיין פיירוואַלד (מיר נוצן קייט INPUT און די אָפּציע --דפּאָרט). אַזאַ פּאַקיץ קענען זיין DROP, REJECT אָדער REJECT מיט די TCP פאָן RST, אָדער מיט ICMP באַלעבאָס אַנריאַטשאַבאַל (אין פאַקט, די פעליקייַט נאַטור איז icmp-port-unreachable, און עס איז אויך די געלעגנהייט צו שיקן אַ ענטפער icmp-net-unreachable, icmp-proto-unreachable, icmp-net-prohibited и icmp-host-prohibited).

פאַלן

אויב עס איז אַ הערשן מיט DROP, פּאַקיץ וועט פשוט "פאַרשווינדן".

iptables -A INPUT -p tcp --dport 12345 -j DROP

מיר קאַטער דעם קליענט און זען אַז עס פריזיז אין דער בינע פון קאַנעקטינג צו די סערווער. זאל ס קוק אין די פאַרקער:
פאַרקער דאַמפּ

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:28:20.213506 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203046450 ecr 0,nop,wscale 7], length 0
08:28:21.215086 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203047452 ecr 0,nop,wscale 7], length 0
08:28:23.219092 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203049456 ecr 0,nop,wscale 7], length 0
08:28:27.227087 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203053464 ecr 0,nop,wscale 7], length 0
08:28:35.235102 IP 127.0.0.1.32856 > 127.0.0.1.12345: Flags [S], seq 3019694933, win 43690, options [mss 65495,sackOK,TS val 1203061472 ecr 0,nop,wscale 7], length 0

עס קענען זיין געזען אַז דער קליענט סענדז SYN פּאַקיץ מיט אַ עקספּאָונענשאַלי ינקריסינג טיימאַוט. אַזוי מיר געפֿונען אַ קליין זשוק אין דעם קליענט: איר דאַרפֿן צו נוצן דעם אופֿן settimeout ()צו באַגרענעצן די צייט בעשאַס וואָס דער קליענט וועט פּרובירן צו פאַרבינדן צו די סערווער.

מיר מיד אַראָפּנעמען די הערשן:

iptables -D INPUT -p tcp --dport 12345 -j DROP

איר קענען ויסמעקן אַלע כּללים אין אַמאָל:
iptables -F

אויב איר נוצן דאָקער און איר דאַרפֿן צו פירעוואַלל אַלע פאַרקער צו דעם קאַנטיינער, איר קענען טאָן דאָס ווי גייט:
iptables -I DOCKER-USER -p tcp -d CONTAINER_IP -j DROP

אָפּוואַרפן

איצט לאָזן ס לייגן אַ ענלעך הערשן, אָבער מיט REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT

דער קליענט גייט אַרויס נאָך אַ רגע מיט אַ טעות [ערנאָ 111] קשר אפגעזאגט. זאל ס קוק אין די ICMP פאַרקער:

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
08:45:32.871414 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68
08:45:33.873097 IP 127.0.0.1 > 127.0.0.1: ICMP 127.0.0.1 tcp port 12345 unreachable, length 68

עס קענען זיין געזען אַז דער קליענט באקומען צוויי מאָל פּאָרט אַנריטשאַבאַל און דעמאָלט געענדיקט מיט אַ טעות.

אָפּוואַרפן מיט tcp-באַשטעטיק

זאל ס פּרובירן צו לייגן די אָפּציע - אָפּוואַרפן-מיט tcp-באַשטעטיק:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset

אין דעם פאַל, דער קליענט גלייך אַרויס מיט אַ טעות, ווייַל דער ערשטער בעטן באקומען אַ RST פּאַקאַט:

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
09:02:52.766175 IP 127.0.0.1.60658 > 127.0.0.1.12345: Flags [S], seq 1889460883, win 43690, options [mss 65495,sackOK,TS val 1205119003 ecr 0,nop,wscale 7], length 0
09:02:52.766184 IP 127.0.0.1.12345 > 127.0.0.1.60658: Flags [R.], seq 0, ack 1889460884, win 0, length 0

אָפּוואַרפן מיט icmp-host-unreachable

לאָמיר פּרובירן אן אנדער אָפּציע פֿאַר ניצן REJECT:

iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with icmp-host-unreachable

דער קליענט גייט אַרויס נאָך אַ רגע מיט אַ טעות [עררנאָ 113] קיין מאַרשרוט צו באַלעבאָס, מיר זען אין ICMP פאַרקער ICMP האָסט 127.0.0.1 ניט ריטשאַבאַל.

איר קענט אויך פּרובירן די אנדערע אָפּוואַרפן פּאַראַמעטערס, און איך וועט פאָקוס אויף די :)

סימולאַטינג בעטן טיימאַוט

אן אנדער סיטואַציע איז ווען דער קליענט איז ביכולת צו פאַרבינדן צו די סערווער, אָבער קען נישט שיקן אַ בקשה צו אים. ווי צו פילטער פּאַקיץ אַזוי אַז פילטערינג טוט נישט אָנהייבן מיד? אויב איר קוק אין די פאַרקער פון קיין קאָמוניקאַציע צווישן דעם קליענט און די סערווער, איר וועט באַמערקן אַז ווען גרינדן אַ פֿאַרבינדונג, בלויז די SYN און ACK פלאַגס זענען געניצט, אָבער ווען די יקסטשיינדזשינג דאַטן, די לעצטע בעטן פּאַקאַט וועט אַנטהאַלטן די PSH פאָן. עס ינסטאָלז אויטאָמאַטיש צו ויסמיידן באַפערינג. איר קענען נוצן דעם אינפֿאָרמאַציע צו שאַפֿן אַ פילטער: עס וועט לאָזן אַלע פּאַקיץ אַחוץ די מיט די PSH פאָן. אזוי, דער קשר וועט זיין געגרינדעט, אָבער דער קליענט וועט נישט קענען צו שיקן דאַטן צו די סערווער.

פאַלן

פֿאַר DROP די באַפֿעל וועט קוקן ווי דאָס:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j DROP

קאַטער דעם קליענט און היטן די פאַרקער:

פאַרקער דאַמפּ

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:02:47.549498 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [S], seq 2166014137, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 0,nop,wscale 7], length 0
10:02:47.549510 IP 127.0.0.1.12345 > 127.0.0.1.49594: Flags [S.], seq 2341799088, ack 2166014138, win 43690, options [mss 65495,sackOK,TS val 1208713786 ecr 1208713786,nop,wscale 7], length 0
10:02:47.549520 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 0
10:02:47.549568 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713786 ecr 1208713786], length 5
10:02:47.750084 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208713987 ecr 1208713786], length 5
10:02:47.951088 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714188 ecr 1208713786], length 5
10:02:48.354089 IP 127.0.0.1.49594 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1208714591 ecr 1208713786], length 5

מיר זען אַז דער קשר איז געגרינדעט און דער קליענט קען נישט שיקן דאַטן צו די סערווער.

אָפּוואַרפן

אין דעם פאַל, די נאַטור וועט זיין די זעלבע: דער קליענט וועט נישט קענען צו שיקן די בקשה, אָבער וועט באַקומען ICMP 127.0.0.1 tcp פּאָרט 12345 אַנריאַטשאַבאַל און פאַרגרעסערן די צייט צווישן ריסומינג בעטן עקספּאָונענשאַלי. דער באַפֿעל קוקט ווי דאָס:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT

אָפּוואַרפן מיט tcp-באַשטעטיק

דער באַפֿעל קוקט ווי דאָס:

iptables -A INPUT -p tcp --tcp-flags PSH PSH --dport 12345 -j REJECT --reject-with tcp-reset

מיר שוין וויסן אַז ווען ניצן - אָפּוואַרפן-מיט tcp-באַשטעטיק דער קליענט וועט באַקומען אַ RST פּאַקאַט אין ענטפער, אַזוי די נאַטור קענען זיין פּרעדיקטעד: ריסיווינג אַ RST פּאַקאַט בשעת די פֿאַרבינדונג איז געגרינדעט מיטל אַז די כאָלעל איז אומגעריכט פֿאַרמאַכט אויף די אנדערע זייַט, וואָס מיטל אַז דער קליענט זאָל באַקומען קשר באַשטעטיק דורך ייַנקוקנ. לאָמיר לויפן אונדזער שריפט און מאַכן זיכער פון דעם. און דאָס איז וואָס דער פאַרקער וועט קוקן ווי:

פאַרקער דאַמפּ

[user@host ~]# tcpdump -i lo -nn port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:22:14.186269 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [S], seq 2615137531, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 0,nop,wscale 7], length 0
10:22:14.186284 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [S.], seq 3999904809, ack 2615137532, win 43690, options [mss 65495,sackOK,TS val 1209880423 ecr 1209880423,nop,wscale 7], length 0
10:22:14.186293 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [.], ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 0
10:22:14.186338 IP 127.0.0.1.52536 > 127.0.0.1.12345: Flags [P.], seq 1:6, ack 1, win 342, options [nop,nop,TS val 1209880423 ecr 1209880423], length 5
10:22:14.186344 IP 127.0.0.1.12345 > 127.0.0.1.52536: Flags [R], seq 3999904810, win 0, length 0

אָפּוואַרפן מיט icmp-host-unreachable

איך טראַכטן עס איז שוין קלאָר ווי דער טאָג פֿאַר אַלעמען ווי די באַפֿעל וועט קוקן ווי :) דער אָפּפירונג פון דעם קליענט אין דעם פאַל וועט זיין אַ ביסל אַנדערש פון דעם מיט אַ פּשוט אָפּוואַרפן: דער קליענט וועט נישט פאַרגרעסערן די טיימאַוט צווישן פרווון צו שיקן די פּאַקאַט ווידער.

[user@host ~]# tcpdump -i lo -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
10:29:56.149202 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.349107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.549117 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.750125 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:56.951130 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.152107 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65
10:29:57.353115 IP 127.0.0.1 > 127.0.0.1: ICMP host 127.0.0.1 unreachable, length 65

רעזולטאַט

עס איז ניט נייטיק צו שרייַבן אַ רייצנ צו פּרובירן די ינטעראַקשאַן פון אַ דינסט מיט אַ געהאנגען קליענט אָדער סערווער; מאל עס איז גענוג צו נוצן נאָרמאַל יוטילאַטיז געפֿונען אין לינוקס.

די יוטילאַטיז דיסקאַסט אין דעם אַרטיקל האָבן אפילו מער קייפּאַבילאַטיז ווי דיסקרייבד, אַזוי איר קענען קומען אַרויף מיט עטלעכע פון דיין אייגענע אָפּציעס פֿאַר ניצן זיי. פּערסנאַלי, איך שטענדיק האָבן גענוג פון וואָס איך געשריבן וועגן (אין פאַקט, אפילו ווייניקער). אויב איר נוצן די אָדער ענלעך יוטילאַטיז אין טעסטינג אין דיין פירמע, ביטע שרייַבן ווי פּונקט. אויב נישט, איך האָפֿן אַז דיין ווייכווארג וועט זיין בעסער אויב איר באַשליסן צו פּרובירן עס אין טערמינען פון נעץ פּראָבלעמס מיט די סאַגדזשעסטיד מעטהאָדס.

מקור: www.habr.com

סימולאַטינג נעץ פּראָבלעמס אין לינוקס

סימולאַטינג נעץ פּראָבלעמס

פּאַקאַט פאַרהאַלטן

פּאַקאַט לאָס

אַדינג ראַש צו פּאַקיץ

פּאַקאַט דופּליקאַטיאָן

טשאַנגינג די סדר פון פּאַקאַדזשאַז

טשאַנגינג באַנדווידט

סימולאַטינג קשר טיימאַוט

פאַלן

אָפּוואַרפן

אָפּוואַרפן מיט tcp-באַשטעטיק

אָפּוואַרפן מיט icmp-host-unreachable

סימולאַטינג בעטן טיימאַוט

פאַלן

אָפּוואַרפן

אָפּוואַרפן מיט tcp-באַשטעטיק

אָפּוואַרפן מיט icmp-host-unreachable

רעזולטאַט

לייגן אַ באַמערקונג באָטל מאַכן ענטפער