linux syn包 options 64字节,Linux centos 6.4(64bit)下内核参数调优

最新推荐文章于 2023-11-29 10:23:50 发布
最新推荐文章于 2023-11-29 10:23:50 发布
阅读量268 收藏
点赞数
文章标签: linux syn包 options 64字节
本文整理了CentOS6.4系统下的网络内核参数调整,涉及TCP连接超时、内存使用、端口范围、SYN队列长度等多个关键设置,旨在提高系统网络性能和安全性,例如减小TCP TIME_WAIT套接字的数量,优化内存使用策略,以及调整连接建立和关闭的时机等。
摘要由CSDN通过智能技术生成

以下内核参数调整在centos

6.4下,做了一下整理。

net.ipv4.tcp_fin_timeout =

1

net.ipv4.tcp_keepalive_time =

1200

net.ipv4.tcp_keepalived_intvl = 30(centos

6中已不存在)

net.ipv4.tcp_keepalived_probes = 3(centos

6中已不存在)

net.ipv4.tcp_tw_reuse =

1

net.ipv4.tcp_tw_recycle =

1

net.ipv4.ip_local_port_range =

1024 65000

net.ipv4.tcp_timestamps =

0

net.ipv4.tcp_synack_retries =

1

net.ipv4.tcp_syn_retries =

1

net.ipv4.tcp_retries2 =

5

net.ipv4.tcp_max_orphans =

131070

net.ipv4.tcp_max_syn_backlog =

8192

net.ipv4.tcp_max_tw_buckets =

5000

net.ipv4.tcp_mem = 8388608

8388608 8388608

net.ipv4.tcp_rmem = 4096 87380

8388608

net.ipv4.tcp_wmem = 4096 65535

8388608

net.core.rmem_max =

16777216

net.core.wmem_max =

16777216

net.core.wmem_default =

8388608

net.core.rmem_default =

8388608

net.core.optmem_max =

40960

net.core.somaxconn =

512

net.core.netdev_max_backlog =

3000

vm.swappiness=0

net.ipv4.route.gc_timeout =

100

参数说明

net.ipv4.route.gc_timeout =

100

路由缓存刷新频率,

当一个路由失败后多长时间跳到另一个默认是300

net.ipv4.tcp_syn_retries =

1

对于一个新建连接,内核要发送多少个 SYN

连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右。

net.ipv4.tcp_max_orphans =

131070(默认值65535)

选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤立连接将立即被复位并打印出警告信息。这个限制只是为了防止简单的DoS攻击。不能过分依靠这个限制甚至人为减小这个值,更多的情况是增加这值。

/proc/sys/net/core/wmem_max

最大的TCP数据发送缓冲区字节大小,默认124928

/proc/sys/net/core/rmem_max最大的TCP数据接收缓冲区字节大小,默认124928

/proc/sys/net/ipv4/tcp_wmem为自动调优定义socket使用的内存。第一个值是为socket发送缓冲区分配的最少字节数;第二个值是默认值(该值会被wmem_default覆盖),缓冲区在系统负载不重的情况下可以增长到这个值;第三个值是发送缓冲区空间的最大字节数(该值会被wmem_max覆盖)。

/proc/sys/net/ipv4/tcp_rmem为自动调优定义socket使用的内存。第一个值是为socket接收缓冲区分配的最少字节数;第二个值是默认值(该值会被rmem_default覆盖),缓冲区在系统负载不重的情况下可以增长到这个值;第三个值是接收缓冲区空间的最大字节数(该值会被rmem_max覆盖)。

/proc/sys/net/core/rmem_default/

TCP数据接收缓冲区默认字节大小,默认124928

/proc/sys/net/core/wmem_default

TCP数据发送缓冲区默认字节大小,默认124928

/proc/sys/net/ipv4/tcp_mem

确定TCP栈应该如何反映内存使用,每个值的单位都是内存页(通常是4KB)。第一个值是内存使用的下限;第二个值是内存压力模式开始对缓冲区使用应用压力的上限;第三个值是内存使用的上限。在这个层次上可以将报文丢弃,从而减少对内存的使用。对于较大的BDP可以增大这些值(注意,其单位是内存页而不是字节)

默认753600 1004800

1507200

同样有3个值,意思是:

net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力.

net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段.

net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket.

/proc/sys/net/core/netdev_max_backlog进入包的最大设备队列.默认是300,对重负载服务器而言,该值太低,可调整到1000.

/proc/sys/net/core/somaxconnlisten()的默认参数,挂起请求的最大数量.默认是128.对繁忙的服务器,增加该值有助于网络性能.可调整到256.

/proc/sys/net/core/optmem_maxsocket

buffer的最大初始化值,默认10K.

/proc/sys/net/ipv4/tcp_max_syn_backlog进入SYN包的最大请求队列.默认1024.对重负载服务器,增加该值显然有好处.可调整到2048.

/proc/sys/net/ipv4/tcp_retries2

TCP失败重传次数,默认值15,意味着重传15次才彻底放弃.可减少到5,以尽早释放内核资源.

/proc/sys/net/ipv4/tcp_keepalive_time

/proc/sys/net/ipv4/tcp_keepalive_intvl

(centos 6中已不存在)

/proc/sys/net/ipv4/tcp_keepalive_probes (centos

6中已不存在)这3个参数与TCP

KeepAlive有关.默认值是:

1

2

3

tcp_keepalive_time = 7200

seconds (2 hours)

tcp_keepalive_probes = 9

tcp_keepalive_intvl = 75 seconds

意思是如果某个TCP连接在idle

2个小时后,内核才发起probe.如果probe

9次(每次75秒)不成功,内核才彻底放弃,认为该连接已失效.对服务器而言,显然上述值太大. 可调整到:

1

2

3

/proc/sys/net/ipv4/tcp_keepalive_time 1800

/proc/sys/net/ipv4/tcp_keepalive_intvl 30

/proc/sys/net/ipv4/tcp_keepalive_probes 3

/proc/sys/net/ipv4/ip_local_port_range指定端口范围的一个配置,默认是32768 61000,已够大.

net.ipv4.tcp_syncookies = 1

默认开启不需要调整

表示开启SYN

Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;

net.ipv4.tcp_tw_reuse =

1

表示开启重用。允许将TIME-WAIT

sockets重新用于新的TCP连接,默认为0,表示关闭;

net.ipv4.tcp_tw_recycle =

1

表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。

net.ipv4.tcp_fin_timeout =

1表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。

net.ipv4.tcp_keepalive_time =

1200表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟。

net.ipv4.ip_local_port_range = 1024

65000表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000。

net.ipv4.tcp_max_syn_backlog =

8192

表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。

net.ipv4.tcp_max_tw_buckets =

5000表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000,改为

5000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。

参考:

http://www.linuxinsight.com/proc_sys_net_ipv4.html

http://www.tuicool.com/articles/EBjQziJ

http://www.softpanorama.org/Commercial_linuxes/Performance_tuning/tcp_performance_tuning.shtml

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Performance_Tuning_Guide/s-memory-tunables.html

http://www.ibm.com/developerworks/cn/linux/l-hisock.html

http://blog.csdn.net/jiazhen/article/details/6002105

舜祎魂
关注
Linux内核参数调优
悦分享
07-21 3811
为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完全连接应用(Connect()和Accept()),是用另一个队列单独存放半打开连接。在/proc/sys目录下存放着大多数的内核参数,并且设计成可以在系统运行的同时进行更改,可以通过更改/proc/sys中内核参数对应的文件达到修改内核参数的目的(修改过后,保存配置文件就马上自动生效),不过重新启动机器后之前修改的参数值会失效,所以只能是一种临时参数变更方案。...
SYNTCP选项的设置
12-16 1946
一个SYN可能括这些内容:初始系列号、初始窗口大小、MSS、窗口扩大因子、时间戳。 那么是怎么决定是否设置某个选项,怎样设置的呢?例如窗口扩大因子有关传输的性能,我可以怎么样改动这个值呢? 下面来看看内核是怎么做的? 设置SYN的TCP选项的函数(tcp_output.c中): /* Compute TCP options for SYN packets. This is not
linux syn options 64字节,Syn@psys Synphony C Compiler 2013.12 linux64bit
weixin_39976733的博客
05-13 127
2014-2-12 09:56 上传点击文件名下载附件下载积分:资产 -5 信元, 下载支出 5 信元14.31 MB, 下载次数: 327, 下载积分:资产 -5 信元, 下载支出 5 信元2014-2-12 09:57 上传点击文件名下载附件下载积分:资产 -5 信元, 下载支出 5 信元14.31 MB, 下载次数: 368, 下载积分:资产 -5 信元, 下载支出 5 信元2014-2-1...
CentOs 设置静态IP 方法
weixin_34255055的博客
03-06 220
在做项目时由于公司局域网采用自动获取IP的方式,导到每次服务器重启主机IP都会变化。为了解决这个问题,我参考了http://blog.sina.com.cn/s/blog_537977e50100qhb5.html的文章然后根据自己的情况设置静态IP解决了这个问题,处理方式如下: 1.修改网卡配置 编辑:vi /etc/sysconfig/network-scripts/ifcfg-eth0 ...
tcp option 结构体_TCP的SYN队列和Accept队列
weixin_39609407的博客
11-10 185
首先我们必须明白,处于“LISTENING”状态的TCP socket,有两个独立的队列:SYN队列(SYN Queue)Accept队列(Accept Queue)这两个术语有时也被称为“reqsk_queue”,“ACK backlog”,“listen backlog”,甚至“TCP backlog”,但是这篇文章中我们使用上面两个术语以免造成混淆。SYN队列SYN队列存储了收到SYN的连...
syn-64syn-66的区别
weixin_30872867的博客
08-25 497
syn-64:tcp头部(20字节)+ip头部(20字节)+6字节的pad=46字节,因为最小的ip报是46字节,所以填充6字节再加上18字节(6+6+2+4)的以太封装,这样一共是64字节。但是由于这时tcp头部里面没有option字段,不正常的。所以这时的syn也称为是畸形的,有些防火墙看到后直接drop。在synflood攻击中,这也是一种类型,但更常见的是syn-66syn-6...
Linux调优,对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。
01-30
Linux 系统中,可以通过调整 tcp_syn_retries 参数来控制服务器在放弃连接之前所发送的 SYN+ACK 的次数。默认值是 5,对应于 180 秒左右时间。 2. TCP 连接保持:为了保持长连接,服务器需要周期性地发送 ...
linux内核调优
03-16
netipv4tcp_mem[2]高于此值TCP拒绝分配socket。上述内存单位是页而不是字节netipv4tcp_syncookies=1只有在内核编译时选择了CONFIG_SYNCOOKIES时
一文了解Linux上TCP的几个内核参数调优
m0_74282605的博客
11-26 1236
在tcp_tw_recycle=1同时tcp_timestamps(默认开启的情况下),对同一个IP的连接会做这样的限制,也即之前后建立的连接的时间戳必须要大于之前建立连接的最后时间戳,但是经过NAT的一个IP后面是不同的机器,时间戳相差极大,就会导致内核直接丢弃时间戳较低的连接的现象。但是,有些代码可能会有忘了设置timeout的情况,例如某个版本的Kafka就是,所以它在我们一些混沌测试的情况下,容灾恢复的时间会达到一分多钟,主要时间就是卡在connect上面-_-!内核TCP连接缓冲队列的设置。
高性能Linux:TCP/IP内核参数调优Linux TCP内核参数解析
Bob Liu的程序人生
04-28 3546
内核参数
linux syn 找进程,Linux下分析SYN flood***案例
weixin_39907526的博客
05-07 246
近期遇到几例服务器被SYN***的问题,今天详细分析一下SYN flood***的原理,首先简单回顾一下TCP/IP三次握手的过程。1. Host A 发送一个TCPSYNchronize 到 Host B2. Host B 收到 Host A的SYN3. Host B 发送一个SYNchronize-ACKnowledgement4. Host A 接收到Host B的SYN-ACK5. Ho...
常用的TCP Option
blakegao的专栏
02-18 3万+
TCP Options   当前,TCP常用的Option如下所示 ———— Kind (Type) Length Name Reference 描述 & 用途 0 1 EOL RFC 793 选项列表结束
如何设置server 2003 的半连接数防止syn flood攻击
lanhai96的专栏
01-23 5105
每种操作系统都有方法来调整TCP模块的半连接队列最大数,例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried , Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。
Win7x64系统下Synplify正常工作的一种解决方法
qishi2014的专栏
12-19 3066
这是我在网上找的一个解决Synplify工作不正常的方法。 我的操作系统是win 7 64位,下了好多论坛里的Synplify 2012.03破解软件,都不能正常运行。问题是: 1、直接从开始菜单运行Synplify(无论是pro, permier, 还是 DP)都能正常运行,但是project无法保存; 2、直接运行%Synopsys%\fpga_F201203SP2\bin\
TCP报文( tcp dup ack 、TCP Retransmission)
热门推荐
我的LOG
10-16 4万+
TCP 报文 tcp dup ack 、TCP Retransmission,快速重传,超时重传
SYN攻击原理
最新发布
focus on security
11-29 758
syn flood攻击场景下,为了提高发送效率在服务端产生更多的syn等待队列,攻击程序在填充头时,IP首部和TCP首部都不填充可选的字段,因此IP首部长度恰好是20字节,TCP首部也是20字节,共计40字节。这时整个数据包长度为14字节的以太头,20字节的IP头,20字节的TCP头,再加上因为最小包长度要求而填充的6哥字节的0,共计60字节。|14字节以太头部|20字节IP头部|20字节TCP|6字节填充|4字节校验。|目的MAC|源MAC|协议类型|IP头|TCP头|以太网填充|CRC校验。
关于wire shark抓到以太网小于64字节讨论,如抓到了54字节、60字节
多丰富下自己呀
04-24 6299
关于wire shark抓到以太网小于64字节讨论,如抓到了54字节、60字节。 用wire shark 抓网络时,经常能看到一些数据小于64字节。如TCP连接与断链时候就有60字节与54字节的出现。 以太网规定,以太网帧数据域部分最小为46字节,也就是以太网帧最小是 6 + 6 + 2 + 46 + 4 = 64。当数据字段的长度小于46字节时,MAC子层就会在数据字段的后面填充以满足数据帧长不小于64 字节。由于填充数据是由MAC子层负责,也就是设备驱动程序。 当数据帧到达网卡时,在物理层上网
第一篇,怎么增加SYN数据的大小(syn flood攻击实验)
wuchunlai_2012的博客
12-22 6245
iphdr->tot_len 总长度字段(16位)是指整个IP数据报的长度,以字节为单位。利用首部长度字段和总长度字段,就可以知道 IP数据报中数据内容的起始位置和长度。由于该字段长16比特,所以IP数据报最长可达65535字节 总长度字段是IP首部中必要的内容,因为一些数据链路(如以太网)需要填充一些数据以达到最小长度。尽管以太网的最小帧长为46字节,但是IP数据可能会更短。如果没有总长度字
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值