网络异常案例五_SYN被丢弃

已于 2024-02-02 07:55:27 修改
阅读量1.5k 收藏 16
点赞数 52
分类专栏: 网络 文章标签: 网络 syn请求被丢弃
于 2024-02-01 07:56:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG772EF/article/details/135945132
版权

问题现象

公司同事使用的时候,反馈系统不稳定,访问的时候,有时候会出现白屏(连接超时),或者系统页面点击没有响应,过一会之后刷新系统又可以正常展示了。之前未收到过类似反馈,一直都是正常的。
在这里插入图片描述

浏览器控制台信息如下
在这里插入图片描述

可疑点

所有请求,request header显示的是临时报文头

在这里插入图片描述

chrome.devtools上面的介绍
在这里插入图片描述

按网上资料,可能和chrome浏览器插件有关系

前面几个请求耗时很久,均卡在Stalled这个状态

在这里插入图片描述

问题排查

查看异常附近时段的监控。服务器cpu、内存、带宽、网络连接数无明显变化,未发现异常。
查看服务端应用、入口nginx组件的日志,未看到异常信息,没有看到请求处理超时。

客户端抓包,发现SYN请求建立连接,服务端没有回SYN+ACK。
在这里插入图片描述

服务器抓包,未针对SYN包进行响应。
在这里插入图片描述

基于这个信息查询,定位系统开启了TCP连接复用参数(tcp_tw_recyle)。和运维沟通,近期针对tcp连接参数进行过调整。恢复了调整参数,然后反馈服务正常。

为什么会丢弃SYN包

服务器任务该数据包是无效的包,故丢弃了。
启用了tcp_tw_recyle之后,开启了per-host的PAWS检查。但数据包里面的时间戳比上一次小,忽略该数据包。

相关知识串联

TCP基础知识点

  • TCP/IP的职能定位
    • IP,提供的是端到端的传输。从源IP传输到目标IP,选择合适的传输路线,但不保证可靠性。尽力而为。
    • TCP,在IP的基础上,提供点到点的服务。从源IP的源端口传输到目标IP的目标端口,保证同一个连接下传输的有序、可靠。
  • 如何识别同一个TCP连接
    • 通过四元组识别,四元组:源IP、源端口、目标IP、目标端口(还有一个隐性条件:协议类型)。这四个信息一样的即认为同一个TCP连接。
  • TCP有序性保障
    • 在每个传输的报文段里面添加了sequence信息,接收方接收到数据后进行应答,告知发送方已收到相应的sequence数据。由于网络的不可靠性,可能会出现丢包,或者延时的情况。如接收方已接收到sequence 10000及之前所有的数据包并进行了处理,此时如果收到该sequence之前的包,会丢弃掉不进行处理。(此处为理解问题进行了简化,实际上也会回ack应答)
    • sequence标识的是传输内容字节的顺序,而非报文的序号。sequence有长度限制(32bit),最大为4G(2^32),当超过上限后会循环开始。

PAWS+时间戳选项的起因

  • 高速带宽+接收方接收能力提升导致sequence不够用,为了解决sequence不够用的场景,增加时间戳用于辅助识别数据包的有效性
    • 见下面截图介绍(来源于TCP/IP详解*卷一)
      在这里插入图片描述

TCP挥手过程

见下图。主动发起断开方最后需要等待2MSL时间
在这里插入图片描述

TCP连接复用+快速回收

tcp_tw_recycle:快速回收TIME_WAIT状态的连接;不推荐在NAT模式下使用;
tcp_tw_reuse:快速复用TIME_WAIT状态的连接;
在这里插入图片描述

NAT联网介绍

在这里插入图片描述
图片来源于《计算机网络*自顶向下方法》

per-host PAWS机制

当开启了tcp_tw_recycle和tcp_timestamps之后,会开启per-host的PAWS机制,tcp识别由连接的识别由四元组(源IP、源端口、目标ip、目标端口)变为三元组(源IP、目标ip、目标端口)。
在这里插入图片描述

问题产生过程

server端是linux系统,默认开始了tcp_timestamps机制。现在又开启了tcp_tw_recycle。
客户端电脑,一般都是NAT联网。不同电脑的时间戳是不一样的。
当A电脑和server端交互完成后,B电脑马上和server端交互,且时间戳比A小。server端会认为是一个无效的包,丢弃它。

验证的部分场景截图

server端主动断开(相同的四元组),syn包被忽略。第二次请时间戳<第一次时间戳
在这里插入图片描述

client主动断开(不同的四元组),syn包没有应答。一台client关闭了timestamp选项
在这里插入图片描述

相同的四元组,server端主动断开,有应答。第二次请时间戳>第一次时间戳
在这里插入图片描述

不同的四元组,server端主动断开,有应答。第二次请时间戳>第一次时间戳(第一台的client关闭了timestamp)
在这里插入图片描述

参考资料

syn丢弃场景介绍
tcp_tw_recycle引发的问题
TCP时间戳介绍

附*系列文章索引

整理起因
报文分析
报文格式解读
握手+挥手过程状态变化分析
滑动窗口介绍
可靠数据传输原理
拥塞控制
网络异常案例(123456
结束语

【随风飘流】
关注
  • 52
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYN报文什么时候下会被丢弃 516 - 528
05-15
SYN 报文什么时候下会被丢弃 SYN 报文是什么时候下会被丢弃?这个问题跟工作上也是有关系的,因为在工作中可能会碰到奇怪的情况,客户端向服务端发起了连接,但是连接并没有建立起来,通过抓包分析发现,服务端是...
buha_sources_id_2_dlfile.rar_SYNflood_syn flood
09-22
标题中的"buha_sources_id_2_dlfile.rar_SYNflood_syn flood"暗示了这是一个关于SYN Flood攻击的源代码文件,其中"SYNFlood"和"syn_flood"是网络攻防领域中著名的DDoS(分布式拒绝服务)攻击类型。SYN Flood攻击是一...
带你了解nginx服务优化!
guguai7的博客
06-28 321
nginx服务优化nginx服务优化1.隐藏版本号2.修改用户和组3.配置网页缓存时间4. 日志分割5.设置连接超时nginx优化深入1.更改进程数2.配置网页压缩3.配置防盗链4.FPM参数优化 nginx服务优化 1.隐藏版本号 隐藏版本号,避免安全漏洞泄露 隐藏版本号的方法 (1)修改配置文件 (2)修改源码文件 2.修改用户和组 3.配置网页缓存时间 4. 日志分割 5.设置连接超时 nginx优化深入 1.更改进程数 2.配置网页压缩 3.配置防盗链 4.FPM参数优化 ...
Nginx处理stale事件机制分析
zcc_0015的专栏
07-09 1591
Nginx为提高效率采用描述符缓冲池(连接池)来处理tcp连接,一个连接对应一个读事件和一个写事件,nginx在启动的时候会创建好所用连接和事件,当事件来的时候不用再创建,然而连接池的使用却存在stale事件的问题,以下将详细分析Nginx是如何处理stale事件的,该问题涉及到epoll、Nginx连接与事件的相关知识。 1      Epoll的实现原理 epoll相关的系统调用有:e
关于请求被挂起页面加载缓慢问题的追查(stalled 时间过长)
热门推荐
tianhouquan的专栏
12-14 6万+
浏览器对同一域名进行请求的最大并发连接数 当我们在浏览网页的时候,对浏览速度有一个重要的影响因素,就是浏览器的并发数量。并发数量简单通俗的讲就是,当浏览器网页的时候同时工作的进行数量。 如果同时只有2个并发连接数数量,那网页打开的时候只能依赖于这2条线程,前面如果有打开慢的内容,就会直接影响到后面的内容打开。但是如果同时有更多的并发连接数,这样就会大大的提高网页加载速度。浏览器的并发连接数也并非越大越好。
nginx陈旧事件(stale)的再理解
u012566181的专栏
10-01 364
之前了解过nginx中有陈旧事件,也知道是通过instance的标记位来区分陈旧事件,但一直没从根本上理解整个过程的运行以及nginx如何解决。这次读了一些资料和源码,对陈旧事件有了本质的理解。 先说为何在nginx中会有陈旧事件? 1 nginx通过epoll_wait返回了一组事件,比如返回了 #3 #5 #7 #9 #11 这些fd上都有事件触发,此时先处理#3,在处理3的过程中,如果发生了将 #9关闭的情况,此时如果nginx再去处理#9,就等于是一个不正确的操作。 这里再多说一句,n
Nginx变更HTTP2配置过程记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-26 5021
背景 最近,业务平台受客户反馈,登录响应很慢,达到50s左右,虽然平台带宽又1G,但是用户上传文件到平台的速率只有40Kb/s左右,业务正常使用受影响严重。 经与研发侧同事沟通,考虑采用http2,因http2再nginx中相较于http1具备较大优势: 环境检查 相关资料表明:openssl的版本必须在1.0.2e及以上、nginx的版本必须在1.9.5以上 如果没有安装的话: ./configure --prefix=/usr/local/nginx --with-openssl=../openss
RE_SYN.rar_re_syn_分布式算法_自组织网络分布式同步算法
07-15
自组织网络ADHOC分布式同步算法,传输半径对算法收敛速度的影响
b.zip_Linux SynScanner_SIncoder_syn_syn扫描
09-24
【Linux SYN扫描器 by SIncoder】是一款专为Linux系统设计的网络扫描工具,主要用于检测网络连接中的SYN(同步)扫描技术。SYN扫描,也称为半开连接扫描,是一种在网络安全审计和渗透测试中常用的非侵入式探测方法。...
AFX-syn.rar_syn delphi
09-23
标签"syn_delphi"进一步确认了这个工具与SYN扫描和Delphi编程的关联。Delphi是一种流行的面向对象的 Pascal方言开发环境,常用于快速开发桌面应用程序。在本例中,它被用于创建一个网络工具,这展示了Delphi的强大...
window下nginx的proxy_pass指向localhost访问时非常慢
蝈蝈的博客
04-12 1万+
最近将公司项目从linux迁移到Windows Server 2008上,发现访问URL时非常慢,常常收到监控短信说项目无法访问。经过排查发现,跳过nginx直接访问tomcat,速度非常,所以确定是nginx这块的问题。 但是nginx配置和原来在linux下完全一致,原来在linux下面速度还挺快的。由于对nginx和网络都不熟悉,所以弄了很长时间,后来无意之间把localhost换成了127
nginx post 请求时间过长 自动关闭
test
10-15 3558
http://blog.51cto.com/chenpipi/1682450 新增配置: proxy_ignore_client_abort on;#post请求时间过长时,自动关闭 on off
前端开发必须了解的Nginx单页加载优化
LuckyWinty的博客
10-09 155
点击上方前端Q,关注公众号回复加群,加入前端Q技术交流群作者:XUXIN原文链接:https://xuxin123.com/web/nginx-spa-load/网页加载首先我们要看一下...
win nginx 并发阻塞问题
silk_java的专栏
04-19 2859
问题如下:我在wroot目录下面有一个配置了虚拟域名的目录v.juhe.cn,然后在v.juhe.cn下面建立两个文件分别是test1.php和test2.php在test1.php中代码是&lt;?php exit("zheshiweishms");在test2.php中代码是&lt;?php sleep(10); echo 'nihao'; exit();那么当我访问vv.juhe.cn/t...
服务端 tcp 丢失SYN/ACK 问题排查
chenglang0914的博客
12-26 2248
[toc] 总览 与某公司对接, 发现有 10% 的超时情况. tcp在我们服务器发现, 有大量 SYN 包重传的情况, 而且只有 SYN包才会重传, 很多包重传失败, 有一些包重传也会成功(注意 Retransmission): 163 2017-12-20 13:27:41.125680...
记录调试过程中的waiting(TTFB)时间过长
qq_27026783的博客
08-13 4313
DLP检查影响 chrome查看事件日志:chrome://net-internals/#events 关于请求被挂起页面加载缓慢问题的追查 关于用户访问请求慢,TTFB时间长的问题分析
关于Content-Download时间过长问题
a26637896的博客
05-30 4万+
本文章仅提供一种可能性 项目用的是:php(laravel+blade)进行编写 今天遇到一个神奇的BUG,通过ajax访问一个接口,会出现Content-Download耗时过长的情况。 原因:接口返回的数据量巨大导致出现这个情况,但是不知道为什么 1.直接浏览器访问接口 2.postman请求接口 3.直接跳转blade.php页面渲染(不通过ajax的方式) 4.这个项目我...
tcp_max_syn_backlog
最新发布
09-04
### 回答1: tcp_max_syn_backlog 是一个 TCP 协议的参数,用于控制 TCP SYN 连接请求的最大队列长度。当有大量的客户端同时向服务器发起连接请求时,服务器可能会出现 SYN 队列溢出的情况,导致客户端连接失败。通过调整 tcp_max_syn_backlog 参数,可以增加 TCP SYN 队列的最大长度,从而提高服务器的连接请求处理能力。 在 Linux 系统中,tcp_max_syn_backlog 默认值为 1024。可以通过修改 /proc/sys/net/ipv4/tcp_max_syn_backlog 文件来调整该参数的值。但需要注意的是,过大的 tcp_max_syn_backlog 值会占用过多的系统资源,从而影响系统的性能表现。 ### 回答2: tcp_max_syn_backlog是TCP协议中一个参数,用于控制SYN队列的最大长度。SYN队列存储了正在与服务器建立连接的客户端请求,当服务器接收到客户端的SYN请求时,会将其放入SYN队列中。tcp_max_syn_backlog参数的作用就是控制SYN队列的最大长度,当SYN队列已满时,服务器将无法接受新的连接请求。 如果tcp_max_syn_backlog值设置过小,当服务器接收到大量的客户端连接请求时,有可能会导致SYN队列溢出,从而导致新的连接请求丢弃,客户端无法与服务器建立连接。在高并发的网络环境下,适当增大tcp_max_syn_backlog值可以提高服务器的处理能力,减少客户端连接丢失的概率。 然而,设置过大的tcp_max_syn_backlog值也会有一些问题。首先,SYN队列的长度是有限的,如果设置过大,会占用服务器的内存资源。其次,如果服务器无法及时处理SYN队列中的请求,会造成客户端连接的延迟增加。 因此,在调整tcp_max_syn_backlog值时,需要根据服务器的实际情况进行综合考虑。一般来说,如果服务器处于高并发的环境中,可以适当增大tcp_max_syn_backlog值。而对于低并发的场景,则可以适当减小tcp_max_syn_backlog值,以节省服务器资源。为了保证服务器的稳定性和性能,在调整tcp_max_syn_backlog值时,还需要结合服务器的硬件配置、网络带宽以及预计的连接请求负载等因素进行综合评估和测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值