收集了一下,挺多的。注释很详细了:# 对于一个新建连接,内核要发送多少个SYN连接请求才决定放弃。<=255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2。这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1决定的)
net.ipv4.tcp_syn_retries = 2
# 对于远端的连接请求SYN,内核会发送SYN+ACK数据报,以确认收到上一个SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的SYN+ACK数目。<=255,默认值是5,对应于180秒左右时间。(可以根据上面的tcp_syn_retries来决定这个值)
net.ipv4.tcp_synack_retries = 2
# 当keepalive打开的情况下,TCP发送keepalive消息的频率。(默认值是7200(2小时),服务器建议设为1800)
net.ipv4.tcp_keepalive_time = 1800
# TCP发送keepalive探测以确定该连接已经断开的次数。(默认值是9,设置为5比较合适)
net.ipv4.tcp_keepalive_probes = 5
# 探测消息发送的频率,乘以tcp_keepalive_probes就得到对于从开始探测以来没有响应的连接杀除的时间。(默认值为75秒,推荐设为15秒)
net.ipv4.tcp_keepalive_intvl = 15
# 放弃回应一个TCP连接请求前﹐需要进行多少次重试。RFC规定最低的数值是3﹐也是默认值建立不调整。
net.ipv4.tcp_retries1 = 3
# 在丢弃激活(已建立通讯状况)的TCP连接之前﹐需要进行多少次重试。默认值为15,根据RTO的值来决定,相当于13-30分钟(RFC1122规定,必须大于100秒)。(我建议修改为了5)
net.ipv4.tcp_retries2 = 3
# 在近端丢弃TCP连接之前﹐要进行多少次重试。默认值是7个﹐在大负载服务器上建议调整为3)
net.ipv4.tcp_orphan_retries = 3
# 对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为60 秒,推荐参考值为30。如果您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets的危险性低于FIN-WAIT-1﹐因为它们最多只吃1.5K的内存﹐但是它们存在时间更长。另外参考tcp_max_orphans。
net.ipv4.tcp_fin_timeout = 30
# 系统在同时所处理的最大timewait sockets数目。如果超过此数的话﹐time-wait socket会被立即砍除并且显示警告信息。默认180000,不建议修改。之所以要设定这个限制﹐纯粹为了抵御那些简单的DoS攻击﹐千万不要人为的降低这个限制﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。
net.ipv4.tcp_max_tw_buckets = 180000
# 打开快速TIME-WAIT sockets回收。默认关闭,建议打开。
net.ipv4.tcp_tw_recycle = 1
# 该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接。默认关闭,建议打开。
net.ipv4.tcp_tw_reuse = 1
# 系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的DoS攻击。千万不要依赖这个或是人为的降低这个限制(这个值Redhat AS版本中设置为32768,但是很多防火墙修改的时候,建议该值修改为2000)
net.ipv4.tcp_max_orphans = 32768
# 当守护进程太忙而不能接受新的连接,就象对方发送reset消息,默认值是false。这意味着当溢出的原因是因为一个偶然的猝发,那么连接将恢复状态。只有在你确信守护进程真的不能完成连接请求时才打开该选项,该选项会影响客户的使用。(对待已经满载的sendmail,apache这类服务的时候,这个可以很快让客户端终止连接,可以给予服务程序处理已有连接的缓冲机会,所以很多防火墙上推荐打开它)
net.ipv4.tcp_abort_on_overflow = 1
# 只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。
# 注意:该选项千万不能用于那些没有收到攻击的高负载服务器,如果在日志中出现synflood消息,但是调查发现没有收到synflood攻击,而是合法用户的连接负载过高的原因,你应该调整其它参数来提高服务器性能。参考:
# tcp_max_syn_backlog
# tcp_synack_retries
# tcp_abort_on_overflow
# syncookie严重的违背TCP协议,不允许使用TCP扩展,可能对某些服务导致严重的性能影响(如SMTP转发)。(注意,该实现与BSD上面使用的tcp proxy一样,是违反了RFC中关于tcp连接的三次握手实现的,但是对于防御syn-flood的确很有用。)
net.ipv4.tcp_syncookies = 0
# 使用TCP urg pointer字段中的主机请求解释功能。大部份的主机都使用老旧的BSD解释,因此如果您在Linux打开它﹐或会导致不能和它们正确沟通。
net.ipv4.tcp_stdurg = 0
# 对于那些依然还未获得客户端确认的连接请求﹐需要保存在队列中最大数目。对于超过128Mb内存的系统﹐默认值是1024﹐低于128Mb的则为128。如果服务器经常出现过载﹐可以尝试增加这个数字。警告﹗假如您将此值设为大于1024﹐最好修改include/net/tcp.h里面的 TCP_SYNQ_HSIZE﹐以保持TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog﹐并且编进核心之内。(SYN Flood攻击利用TCP协议散布握手的缺陷,伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统,最终导致目标系统Socket队列资源耗 尽而无法接受新的连接。为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完 全连接应用(Connect()和Accept() ),是用另一个队列单独存放半打开连接。这种双队列处理方式和其他一些系统内核措施(例如Syn-Cookies/Caches)联合应用时,能够比较有效的缓解小规模的SYN Flood攻击(事实证明<1000p/s)加大SYN队列长度可以容纳更多等待连接的网络连接数,所以对Server来说可以考虑增大该值。)
net.ipv4.tcp_max_syn_backlog = 1024
# 该文件表示设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值,为1时表示可变,为0时表示不可变。tcp/ip通常使用的窗口最大可达到 65535字节,对于高速网络,该值可能太小,这时候如果启用了该功能,可以使tcp/ip滑动窗口大小增大数个数量级,从而提高数据传输的能力(RFC 1323)。(对普通地百M网络而言,关闭会降低开销,所以如果不是高速网络,可以考虑设置为0)
net.ipv4.tcp_window_scaling = 1
# Timestamps用在其它一些东西中﹐可以防范那些伪造的sequence号码。一条1G的宽带线路或许会重遇到带out-of-line数值的旧 sequence号码(假如它是由于上次产生的)。Timestamp会让它知道这是个'旧封包'。(该文件表示是否启用以一种比超时重发更精确的方法(RFC 1323)来启用对RTT的计算;为了实现更好的性能应该启用这个选项。)
net.ipv4.tcp_timestamps = 1
# 使用Selective ACK﹐它可以用来查找特定的遗失的数据报---因此有助于快速恢复状态。该文件表示是否启用有选择的应答(Selective Acknowledgment),这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段)。(对于广域网通信来说这个选项应该启用,但是这会增加对CPU的占用。)
net.ipv4.tcp_sack = 1
# 打开FACK拥塞避免和快速重传功能。(注意,当tcp_sack设置为0的时候,这个值即使设置为1也无效)
net.ipv4.tcp_fack = 1
# 允许TCP发送"两个完全相同"的SACK。
net.ipv4.tcp_dsack = 1