linux中连接数过多(TIME_WAIT/CLOSE_WAIT)读这一篇就够了

最新推荐文章于 2024-08-13 17:50:09 发布
最新推荐文章于 2024-08-13 17:50:09 发布
阅读量9.9k 收藏 9
点赞数 3
分类专栏: Linux PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiancityycf/article/details/106569878
版权
PHP 同时被 2 个专栏收录
99 篇文章 3 订阅
订阅专栏
Linux
66 篇文章 1 订阅
订阅专栏

参考:https://www.phpmianshi.com/?id=106

根据TCP/IP介绍,socket大概包含10个连接状态。我们平常工作中遇到的,除了针对SYN的拒绝服务攻击,如果有异常,大概率是TIME_WAIT和CLOSE_WAIT的问题。
TIME_WAIT一般通过优化内核参数能够解决;CLOSE_WAIT一般是由于程序编写不合理造成的,更应该引起开发者注意。

TIME_WAIT

TIME_WAIT是主动关闭连接的一方保持的状态,像nginx、爬虫服务器,经常发生大量处于time_wait状态的连接。TCP一般在主动关闭连接后,会等待2MS,然后彻底关闭连接。由于HTTP使用了TCP协议,所以在这些频繁开关连接的服务器上,就积压了非常多的TIME_WAIT状态连接。

某些系统通过dmesg可以看到以下信息。

__ratelimit: 2170 callbacks suppressed
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow
TCP: time wait bucket table overflow

通过ss -s命令查看,可以看到timewait已经有2w个了。

ss -s
Total: 174 (kernel 199)
TCP:   20047 (estab 32, closed 20000, orphaned 4, synrecv 0, timewait 20000/0), ports 10785

sysctl命令可以设置这些参数,如果想要重启生效的话,加入/etc/sysctl.conf文件中。

# 修改阈值
net.ipv4.tcp_max_tw_buckets = 50000 
# 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_tw_reuse = 1
#启用timewait 快速回收。这个一定要开启,默认是关闭的。
net.ipv4.tcp_tw_recycle= 1   
# 修改系統默认的TIMEOUT时间,默认是60s
net.ipv4.tcp_fin_timeout = 10

测试参数的话,可以使用 sysctl -w net.ipv4.tcp_tw_reuse = 1 这样的命令。如果是写入进文件的,则使用sysctl -p生效。

CLOSE_WAIT

CLOSE_WAIT一般是由于对端主动关闭,而我方没有正确处理的原因引起的。说白了,就是程序写的有问题,属于危害比较大的一种。

Socket中的11种状态

1、客户端独有的:(1)SYN_SENT (2)FIN_WAIT1 (3)FIN_WAIT2 (4)CLOSING (5)TIME_WAIT 。

2、服务器独有的:(1)LISTEN (2)SYN_RCVD (3)CLOSE_WAIT (4)LAST_ACK 。

3、共有的:(1)CLOSED (2)ESTABLISHED 。


各个状态的意义如下:

LISTEN - 侦听来自远方TCP端口的连接请求;

SYN-SENT -在发送连接请求后等待匹配的连接请求;

SYN-RECEIVED- 在收到和发送一个连接请求后等待对连接请求的确认;

ESTABLISHED- 代表一个打开的连接,数据可以传送给用户;

FIN-WAIT-1 - 等待远程TCP的连接中断请求,或先前的连接中断请求的确认;

FIN-WAIT-2 - 从远程TCP等待连接中断请求;

CLOSE-WAIT - 等待从本地用户发来的连接中断请求;

CLOSING -等待远程TCP对连接中断的确认;

LAST-ACK - 等待原来发向远程TCP的连接中断请求的确认;

TIME-WAIT -等待足够的时间以确保远程TCP接收到连接中断请求的确认;

CLOSED - 没有任何连接状态;

 

我们平常工作中遇到的,除了针对SYN的拒绝服务攻击,大概率是TIME_WAIT和CLOSE_WAIT的问题。

TIME_WAIT一般通过优化内核参数能够解决。

CLOSE_WAIT一般是由于程序编写不合理造成的,更应该引起开发者注意。

 

1. time_wait状态如何产生? 
调用close()发起主动关闭的一方,在发送最后一个ACK之后会进入time_wait的状态,也就说该发送方会保持2MSL时间之后才会回到初始状态。MSL值得是数据包在网络中的最大生存时间。产生这种结果使得这个TCP连接在2MSL连接等待期间,定义这个连接的四元组(客户端IP地址和端口,服务端IP地址和端口号)不能被使用。

2.time_wait状态产生的原因

1)为实现TCP全双工连接的可靠释放

假设发起主动关闭的一方(client)最后发送的ACK在网络中丢失,由于TCP协议的重传机制,执行被动关闭的一方(server)将会重发其FIN,在该FIN到达client之前,client必须维护这条连接状态,也就说这条TCP连接所对应的资源(client方的local_ip,local_port)不能被立即释放或重新分配,直到另一方重发的FIN达到之后,client重发ACK后,经过2MSL时间周期没有再收到另一方的FIN之后,该TCP连接才能恢复初始的CLOSED状态。如果主动关闭一方不维护这样一个TIME_WAIT状态,那么当被动关闭一方重发的FIN到达时,主动关闭一方的TCP传输层会用RST包响应对方,这会被对方认为是有错误发生,然而这事实上只是正常的关闭连接过程,并非异常。

2)为使旧的数据包在网络因过期而消失

为说明这个问题,我们先假设TCP协议中不存在TIME_WAIT状态的限制,再假设当前有一条TCP连接:(local_ip, local_port, remote_ip,remote_port),因某些原因,我们先关闭,接着很快以相同的四元组建立一条新连接。本文前面介绍过,TCP连接由四元组唯一标识,因此,在我们假设的情况中,TCP协议栈是无法区分前后两条TCP连接的不同的,在它看来,这根本就是同一条连接,中间先释放再建立的过程对其来说是“感知”不到的。这样就可能发生这样的情况:前一条TCP连接由local peer发送的数据到达remote peer后,会被该remot peer的TCP传输层当做当前TCP连接的正常数据接收并向上传递至应用层(而事实上,在我们假设的场景下,这些旧数据到达remote peer前,旧连接已断开且一条由相同四元组构成的新TCP连接已建立,因此,这些旧数据是不应该被向上传递至应用层的),从而引起数据错乱进而导致各种无法预知的诡异现象。作为一种可靠的传输协议,TCP必须在协议层面考虑并避免这种情况的发生,这正是TIME_WAIT状态存在的第2个原因。

3)总结 
具体而言,local peer主动调用close后,此时的TCP连接进入TIME_WAIT状态,处于该状态下的TCP连接不能立即以同样的四元组建立新连接,即发起active close的那方占用的local port在TIME_WAIT期间不能再被重新分配。由于TIME_WAIT状态持续时间为2MSL,这样保证了旧TCP连接双工链路中的旧数据包均因过期(超过MSL)而消失,此后,就可以用相同的四元组建立一条新连接而不会发生前后两次连接数据错乱的情况。

 

通过ss -s命令查看,可以看到timewait已经有2w个了。

 

如果想要重启生效的话,加入/etc/sysctl.conf文件中。

net.ipv4.tcp_syncookies = 1  #表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
net.ipv4.tcp_max_tw_buckets = 50000 
net.ipv4.tcp_tw_reuse = 1   #允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
net.ipv4.tcp_tw_recycle= 1  #开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。
net.ipv4.tcp_fin_timeout = 10  # 修改系統默认的TIMEOUT时间,默认是60s

 

使用sysctl -p生效

 

如果以上配置调优后性能还不理想,可继续修改一下配置:

vi /etc/sysctl.conf
net.ipv4.tcp_keepalive_time = 1200 #表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟。
net.ipv4.ip_local_port_range = 1024 65000 #表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000。
net.ipv4.tcp_max_syn_backlog = 8192 #表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_tw_buckets = 5000  #同时保持TIME_WAIT套接字的最大个数,超过这个数字那么该TIME_WAIT套接字将立刻被释放
#并在/var/log/message日志中打印警告信息(TCP: time wait bucket table overflow)。
#这个过多主要是消耗内存,单个TIME_WAIT占用内存非常小,但是多了就不好了,这个主要看内存以及你的服务器是否直接对外
#默认为180000,改为5000。
#对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量
#但是对于 Squid,效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。

 

CLOSE_WAIT
这种状态的含义其实是表示在等待关闭。怎么理解呢?当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是查看你是否还有数据发送给对方,如果没有的话,那么你也就可以close这个SOCKET,发送FIN报文给对方,也即关闭连接。所以你在CLOSE_WAIT状态下,需要完成的事情是等待你去关闭连接。CLOSE_WAIT一般是由于对端主动关闭,而我方没有正确处理的原因引起的。说白了,就是程序写的有问题,属于危害比较大的一种。代码需要判断socket,一旦读到0,断开连接,read返回负,检查一下errno,如果不AGAIN,就断开连接。

私念
关注
专栏目录
TCP通信过程time_waitclose_wait产生过多的原因和解决方法
weixin_43851782的博客
05-17 5558
目录 由于socket是全双工的工作模式,一个socket的关闭,是需要四次握手来完成的。 time_wait产生原因: time_wait过多产生原因: time_wait过多解决方法: 短连接 长连接 close_wait产生原因: close_wait产生太多原因: close_wait太多解决方法: Socket连接到底是个什么概念? 什么时候用长连接,短连接? 报文发送接收方式(同步和异步)? 由于socket是全双工的工作模式,一个socket的关闭,是需要...
Linux系统下存在大量的TIME_WAIT状态的TCP连接的解决方法
luo2ying的博客
10-13 596
Linux系统下存在大量的TIME_WAIT状态的TCP连接的解决方法 今天看到一道题目 一、关于TIME_WAIT: 客户端主动关闭连接 注意: 注意一个问题,进入TIME_WAIT状态的一般情况下是客户端。大多数服务器端一般执行被动关闭,服务器不会进入TIME_WAIT状态。 当在服务器端关闭某个服务再重新启动时,服务器是会进入TIME_WAIT状态的。 二、解决方法: 发现linux 存在大量TIME_WAIT状态的连接,怎么解决? 1.通过调整内核参数 vim /etc/sysctl.c
Linux下TCP连接断开后不释放的解决办法
热门推荐
荣耀之路
08-09 2万+
Linux下TCP连接断开后不释放的解决办法
linux连接TIME_WAIT/CLOSE_WAIT处理方案
最新发布
sunxunyong的博客
08-13 190
修改/etc/sysctl.conf,并执行sysctl -p 使内核参数生效,让他快速回收time-wait
linux ssh 直接显示 connection close_TIME_WAITCLOSE_WAIT
weixin_42641741的博客
12-03 813
TCP连接双方TIME_WAIT,主动关闭方才会出现,会等待 2MSL后消亡;CLOSE_WAIT,被动关闭方才会出现,往往由于程序代码错误而导致连接不能释放,带来问题。目录1. TIME_WAIT 存在的理由2.TIME_WAIT 出现的场景及解决方案3.CLOSE_WAIT出现的场景及解决方案1. TIME_WAIT 存在的理由TIME_WAIT 仅在主动断开连接的一方出现...
Linux高并发连接数解决
weixin_41111116的博客
11-29 1563
Linux高并发连接数解决
Linux网络状态工具ss命令使用详解
chengfangang的专栏
10-09 1151
ss命令用于显示socket状态. 他可以显示PACKET sockets, TCP sockets, UDP sockets, DCCP sockets, RAW sockets, Unix domain sockets等等统计. 它比其他工具展示等多tcp和state信息. 它是一个非常实用、快速、有效的跟踪IP连接和sockets的新工具.SS命令可以提供如下信息: 所有的TCP so
解决-服务器Linux存在大量time_wait的问题,导致服务性能问题,甚至严重的将访问不了应用
liaonanfeng88的CSDN博客
10-23 2413
netstat -an查看到大量的TIME_WAIT状态的解决办法 近期服务器出现大量time_wait的TCP连接造成服务器连接数过多而最终导致tomcat假死状态。连接服务器查看连接数的时候提示如下。 [root@test apache-tomcat-7.0.53]# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print...
Linux mysql 连接过多
u014520797的专栏
01-01 2426
1、too many connections 2、查看连接数量 查看由于客户没有正确关闭连接已经死掉,已经放弃的连接数量。 3、查看具体连接情况 或者用navicat服务器监听工具,在navicat工具栏选择服务器监听,选择数据库 4、有没有发现time值很大,这是因为mysql默认 安装时等待时间设为默认的28800(8小时)
linux查看服务器【有效】连接数
谢彬のCSDN专栏
03-04 1万+
直接执行命令: netstat -na|wc -l 有效的连接数: netstat -nat|grep ESTABLISHED|wc -l 间的参数 ESTABLISHED表示有效的连接数! 对服务器各种状态下的连接数分组并查询得到结果: netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a i
系统调优,你所不知道的TIME_WAITCLOSE_WAIT1
08-03
虽然TIME_WAIT状态有助于保证连接的可靠性,但它也可能导致资源占用过多,尤其是在高并发的服务器环境。大量的TIME_WAIT连接会使可用的TCP端口资源耗尽,从而限制了新的连接建立。这也是为什么有些人会建议调整...
解决Linux服务器TCP的FIN_WAIT2,CLOSE_WAIT状态连接过多的问题
HelloBiu的博客
12-29 7530
解决Linux服务器TCP的FIN_WAIT2,CLOSE_WAIT状态连接过多的问题
python连接redis的time_wait数过高_解决TIME_WAIT过多造成的问题
weixin_39808893的博客
01-30 979
sh-4.1# netstat -an |awk '/tcp/ {++S[$NF]}END {for (a in S) print a , S[a]}'TIME_WAIT41CLOSE_WAIT1ESTABLISHED2LISTEN7TCP/IP TIME_WAIT状态原理:通信双方建立TCP连接后,主动关闭连接的一方就会进入TIME_WAIT状态客户端主动关闭连接时,会发送最后一个ack后,然后...
TIME_WAIT/CLOSE_WAIT状态区别
petershina的专栏
01-23 860
在TCP断开的过程会有四个状态变化过程,如下图所示: 常用的三个状态是:ESTABLISHED 表示正在通信,TIME_WAIT 表示主动关闭,CLOSE_WAIT 表示被动关闭。 TCP协议规定,对于已经建立的连接,网络双方要进行四次握手才能成功断开连接,如果缺少了其某个步骤,将会使连接处于假死状态,连接本身占用的资源不会被释放。网络服务器程序要同时管理大量连接,所以很有必要保证
Linux 短链timeout状态,【Linux网络编程笔记】TCP短链接产生大量TIME_WAIT致使没法对外创建新TCP链接的缘由及解决方法—基础知识篇...
weixin_27017211的博客
05-13 328
最近遇到一个线上报警:服务器出现大量TIME_WAIT致使其没法与下游模块创建新HTTP链接,在解决过程当,经过查阅经典教材和技术文章,加深了对TCP网络问题的理解。做为笔记,记录于此。备注:本文主要介绍TCP编程涉及到的众多基础知识,关于实际工程对由TIME_WAIT引起的不能创建新链接问题的解决方法将在下篇笔记给出。编程1. 实际问题 初步查看发现,没法对外新建TCP链接...
linux服务器优化连接数,优化Linux服务器方案:解决TIME_WAIT过多造成的问题
weixin_29115107的博客
05-09 443
1、 time_wait的作用:TIME_WAIT状态存在的理由:1)可靠地实现TCP全双工连接的终止在进行关闭连接四次挥手协议时,最后的ACK是由主动关闭端发出的,如果这个最终的ACK丢失,服务器将重发最终的FIN,因此客户端必须维护状态信息允许它重发最终的ACK。如果不维持这个状态信息,那么客户端将响应RST分节,服务器将此分节解释成一个错误(在java会抛出connection reset...
[Linux]查看TIME_WAIT
Balmunc的专栏
07-27 2139
netstat-alnt|grep"TIME_WAIT"
Linux TIME_WAIT 太多 优化 解决
风雪小筑
10-24 2665
问题 MySQL经常卡死,netstat -nat看一下,TIME_WAIT成千上万…… 解决 修改/etc/sysctl.conf文件,增加以下内容 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_fin_timeout = 30 保存完后使用sysct...
调整物理机内核参数,增大最大连接追踪记录数、减小ESTABLISHED、TIME_WAITCLOSE_WAIT、FIN_WAIT等连接记录的超时时间。
06-09
调整物理机内核参数可以提高网络性能和稳定性,同时也可以优化连接追踪记录数和连接记录的超时时间。以下是一些常见的内核参数调整方法: 1. 调整最大连接追踪记录数:可以通过修改内核参数 net.nf_conntrack_max 来增加最大连接追踪记录数。例如,可以将该参数的值设置为 65536,即可将最大连接追踪记录数增大到 65536。可以使用以下命令进行修改: ``` echo 65536 > /proc/sys/net/nf_conntrack_max ``` 2. 调整连接记录的超时时间:可以通过修改内核参数 net.netfilter.nf_conntrack_tcp_timeout_established、net.netfilter.nf_conntrack_tcp_timeout_time_wait、net.netfilter.nf_conntrack_tcp_timeout_close_wait、net.netfilter.nf_conntrack_tcp_timeout_fin_wait 来调整 ESTABLISHED、TIME_WAITCLOSE_WAIT、FIN_WAIT 等连接记录的超时时间。例如,可以将这些参数的值分别设置为 3600、60、60、120,即可将这些连接记录的超时时间分别设置为 1 小时、1 分钟、1 分钟、2 分钟。可以使用以下命令进行修改: ``` echo 3600 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established echo 60 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_time_wait echo 60 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_close_wait echo 120 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_fin_wait ``` 需要注意的是,这些修改是暂时的,系统重启后会失效。如果要永久生效,可以在 /etc/sysctl.conf 文件添加相应的配置。例如,可以在该文件添加以下内容: ``` net.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_timeout_established = 3600 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 ``` 然后使用以下命令使配置生效: ``` sysctl -p ``` 希望这些内容能够帮助你调整内核参数,优化网络性能和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值