目标：

将线上服务lighttpd(8000端口)的流量引流到线下测试机

一、测试机：

tcpcopy-server，接收流量

modprobe ip_queue

iptables -L

iptables -I OUTPUT -p tcp --sport 8000 -j QUEUE

./intercept -d -l intercept.log

-d:后台

-l:指定log

二、线上：

tcpcopy-client，复制流量

./tcpcopy -x 8000-10.46.43.14:8000 -d -n 1 -l tcpcopy.log

-d:后台

-l:指定log

-n:流量复制的份数

三、关闭：

killall intercept

killall tcpcopy

iptables -F

注意：

当测试机打开

iptables -I OUTPUT -p tcp --sport 8000 -j QUEUE

将无法直接访问测试机的该服务，只能通过日志观察

 

tcpcopy-0.9.10

 

 

抓包发现有意思的地方

A:发起请求的机器：cq02-map-wpng03.cq02

B:线上机器：cq01-map-lbsop-hbase00.cq01

C:测试机器：cq01-map-lbsop-hbase01.cq01

一：正常copy流量，三个机器和测试机的抓包图

A机器：无和C交互。因为测试机器iptables -I OUTPUT -p tcp --sport 8000 -j QUEUE 把出的流量屏蔽了（放入queue，intercept去捕获，发给B的tcpcopy进程）

 

B机器：有自己和C的交互，也有假A机器和测试机的交互（伪装的，否则本机怎么会抓到来源和目的都不是自己的机器呢，说明肯定实际是过了本机网卡，不过把协议头里的ip改了）；每个发给C的请求都有两份，两份的seq完全一样，但是所有包的ack不一样（ack不一样是因为ack需要响应C发的，在测试机发的seq上加1，否则如果照抄自己回复给真A的，会露馅）

 

C机器：有假A发给我的包（伪装的，其实是B机器发的），但没有回复出任何的包（因为iptables封了）。

 

二：去掉C机器iptables的封禁

A机器：有C机器发给A的第二次握手，和A发给C的复位包（第二次握手莫名奇妙，A并没有发给C第一次握手）

B机器：有真A发给B的所有正常包；有假A发给C的第一次握手包。第二次握手没有，因为刚才C收到假A第一次握手，回第二次握手给真A（C无法区分真假），真A莫名奇妙，把这次请求复位了。假A也就没法干活了。还有假A发给C的复位确认包（133s后）

C机器：有假A发来的第一次握手，会给真A的第二次握手，真A发来的复位包，假A发来的复位响应包。