Linux TCP狀態TIME_WAIT 過多的處理
Linux TCP狀態TIME_WAIT 過多的處理
首先處理這個問題,我們要知道一些網路知識,要知道tcp那些事,比如說三次握手,和四次揮手......很多人會問,為什麼建鏈接要3次握手,斷鏈接需要4次揮手?讓我們一起看下下面的流程圖:
首先,是三次握手:
首先Client端發送連接請求報文,Server段接受連接後回復ACK報文,並為這次連接分配資源。Client端接收到ACK報文後也向Server段發生ACK報文,並分配資源,這樣TCP連接就建立了。
然後是中間部分:
兩者之間可以傳輸數據了
再次,下面的斷開鏈接:
【注意】中斷連接端可以是Client端,也可以是Server端。
假設Client端發起中斷連接請求,也就是發送FIN報文。Server端接到FIN報文後,意思是說"我Client端沒有數據要發給你了",但是如果你還有數據沒有發送完成,則不必急著關閉Socket,可以繼續發送數據。所以你先發送ACK,"告訴Client端,你的請求我收到了,但是我還沒準備好,請繼續你等我的消息"。這個時候Client端就進入FIN_WAIT狀態,繼續等待Server端的FIN報文。當Server端確定數據已發送完成,則向Client端發送FIN報文,"告訴Client端,好了,我這邊數據發完了,準備好關閉連接了"。Client端收到FIN報文後,"就知道可以關閉連接了,但是他還是不相信網路,怕Server端不知道要關閉,所以發送ACK後進入TIME_WAIT狀態,如果Server端沒有收到ACK則可以重傳。「,Server端收到ACK後,"就知道可以斷開連接了"。Client端等待了2MSL後依然沒有收到回復,則證明Server端已正常關閉,那好,我Client端也可以關閉連接了。Ok,TCP連接就這樣關閉了!
那麼可以這麼理解,當client進入time_wait的等待時間是2個MSL
讓我們看一下一臺linux伺服器的網路狀態:
# netstat -an | awk /^tcp/ {++State[$NF]}END{for(key in State)print key " " State[key]}LAST_ACK 7LISTEN 9SYN_RECV 2CLOSE_WAIT 125ESTABLISHED 1070FIN_WAIT1 17FIN_WAIT2 247CLOSING 4TIME_WAIT 25087
對於網站來說,這樣的time_wait略顯偏高, 也就是說大量的關閉操作在等待2個MSL後結束,正常我們的tcp 埠是65535個,如果並發再高一些,可能會大量的socket不能及時被釋放,從而導致性能下降,所以我們可以通過linux內核進行一些網路調整比如,開啟socket重用和快速回收:
net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_max_tw_buckets = 5000net.ipv4.tcp_max_syn_backlog = 8192net.ipv4.tcp_keepalive_time = 1200net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待隊列溢出時,啟用cookies來處理,可防範少量SYN攻擊,默認為0,表示關閉;
net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接,默認為0,表示關閉;
net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連接中TIME-WAIT sockets的快速回收,默認為0,表示關閉。
net.ipv4.tcp_max_tw_buckets = 5000
表示系統同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除並列印警告信息。默認為180000,改為 5000。對於Apache、Nginx等伺服器,上幾行的參數可以很好地減少TIME_WAIT套接字數量,但是對於Squid,效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量,避免Squid伺服器被大量的TIME_WAIT套接字拖死。
net.ipv4.tcp_max_syn_backlog = 8192
表示SYN隊列的長度,默認為1024,加大隊列長度為8192,可以容納更多等待連接的網路連接數。
net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候,TCP發送keepalive消息的頻度。預設是2小時,改為20分鐘。
net.ipv4.ip_local_port_range = 1024 65000
表示用於向外連接的埠範圍。預設情況下很小:32768到61000,改為1024到65000。
# netstat -an | awk /^tcp/ {++State[$NF]}END{for(key in State)print key " " State[key]}LAST_ACK 140LISTEN 9SYN_RECV 7CLOSE_WAIT 2ESTABLISHED 972FIN_WAIT1 21FIN_WAIT2 152CLOSING 2TIME_WAIT 682
推薦閱讀:
