linux ip conntrack,linux – ip_conntrack_count有太多的连接

最新推荐文章于 2022-09-04 20:45:01 发布
最新推荐文章于 2022-09-04 20:45:01 发布
阅读量101 收藏
点赞数
文章标签: linux ip conntrack

我的服务器上的conntrack表有超过120万个连接,我不断提高限制,但表只是继续增长(但不是单调的 – 它有时会下降).

$cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count

1278865

尽管netstat非常合理,但这是真的:

$netstat -ant | wc -l

908

我正在使用内核2.6.32-5-amd64运行Debian.我知道conntrack表保存了最近的连接信息,所以预计它会比netstat大,但这种行为似乎仍然相当极端!该框主要用作Web服务器,Apache中的mod_python用于处理连接.这些之外应该没有任何联系.没有多余的mod_python线程在运行(ps -ef看起来正常,顶部看起来正常),而Apache和mod_python的错误日志看起来很正常. (出于隐私原因,我无法发布详细的错误日志信息).

在ip_conntrack中,IP地址似乎是公平分布的并且在端口443上(正如人们所期望的那样,Web服务器专门通过HTTPS服务).我不确定是什么原因导致IP连接失控,我无法在互联网上找到信息,这表明这是一个已知问题.是否有Apache配置或任何可能是罪魁祸首的东西?其他想法?非常感谢.

BJWcn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
linuxip_conntrack容易混淆的问题点滴
系统运维
02-16 239
《再次深入到ip_conntrackconntrack full问题》最后的一个问题提示ip_conntrack有一个event机制,可以主动通报ip_conntrack的一些事件,包括追踪信息到期删除等事件,通知给谁呢?当然是通知给所有感兴趣的模块了,其中之一就是用户态进程,这样用户态进程得知可以采取一些措施,比如防火墙上设置一些放过规则等,这个通知机制使用了观察者设计模式。Linux ip_...
linux ip conntrack,如何扩展Linuxip_conntrack
weixin_39832965的博客
05-10 69
Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这...
nf_conntrack满之解决方法
weixin_33692284的博客
04-28 761
问题:没有占用多少流量,但是网络连接很慢,ping超时。已发现被大量不同的机器访问导致tcp连接数非常高,nf_conntrack满了nf_conntrack满之解决方法 (2016-08-09 17:27:36)转载▼ 分类: Linux ...
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_ecache.rar_通讯编程_Unix_Linux_
08-11
Event cache for netfilter.
conntrack_nat_extended.rar_netfilter_netfilter 连接 跟踪
09-24
netfilter中对多连接协议跟踪和NAT实现
Linux conntrack模块,ip_conntrack 模块的作用
weixin_39724441的博客
05-14 847
ip_conntrackLinux NAT一个跟踪连接条目的模块记录着允许的跟踪连接条目ip_conntrack 模块会记录 tcp 通讯协议的 established connection 记录, 而且预设 timeout 时间长达五天 (432,000 秒).所以局域网中当有人使用p2p类的软件就很容易使ip_conntrack达到最大值...也由此造成:我们先来看看怎样阅读/proc...
linux内核模块找到指定IP的,linux内核netfilter之ip_conntrack模块的作用举例--ftp为例...
weixin_33961553的博客
05-08 226
很多协议的控制信息在应用层数据中被包含,这些信息直接影响到了链路的建立,比如ftp协议就是这样,ftp分为port模式和pass模式,port模式中,起初client连接server的21端口,然后当需要传输data的时候,client发送一个控制包给server,包中包含client端开启的端口和自己的ip地址,server收到之后用自己的20端口去连接client控制包中建议的ip和端口,在这...
Linux调整conntrack,如何扩展Linuxip_conntrack
weixin_35390150的博客
05-15 203
到底成功了没有呢?我需要将这一切展示在/proc/net/nf_conntrack里面,但是由于我使用了acct机制,所以我需要打开内核的acct选项:sysctl -w net.netfilter.nf_conntrack_acct=1真正修改的地方在/net/netfilter/nf_conntrack_standalone.c的ct_seq_show函数:if (seq_printf(s, ...
如何扩展Linuxip_conntrack
striver1205的专栏
07-22 249
Linux中有一个基于Netfilter的连接跟踪机制,即ip_conntrack,每一个conntrack表示的就是一个流,该流里面保存了大量的信息字段,这些字段本地有效,指导着数据包的转发策略,但是我觉得这些字段信息还不够详细,试想,一个nfmark字段好像就可以做到一切了,但是我如果想为一个数据流绑定一个字符串怎么办呢?也许你会说使用iptables+ipset+nfmark可以完成一切,这也是UNIX/Linux哲学的风格,一种后现代主义的风格,但是最近我上了不归路,非要在ip_conntrack
ip_conntrack跟踪连接库满导致的大量丢包现象
weixin_33937913的博客
10-12 96
刚上线不久的一台服务器,晚上高峰时有很多客户反映连不上服务器,通过在本地测试发现有的连接可以连上但有的不行,赶紧连上服务器查看日志,发现大量如下错误… kernel: ip_conntrack: table full, dropping packet. kernel: printk: 1 messages suppressed. kernel: ip_conntrac...
php count 数量不准,nfconntrackcount统计计数不准问题,大家有没有遇到过!!!
weixin_39635084的博客
03-21 278
nfconntrackcount统计计数不准问题,大家有没有遇到过!!!(2012-07-21 03:59:43)标签:计数统计杂谈nf_conntrack_count统计计数不准问题,大家有没有遇到过!!!我现在遇到一个问题系统起来后nf_conntrack_count为1但是cat /proc/net/netfilter/ip_conntrack里面是空的这是什么原因呢,有人遇到过吗,我怀疑内...
ip_conntrack: table full, dropping packet(from rackerhacker)
最实用的Linux博客
11-08 1182
 原贴:http://rackerhacker.com/2008/01/24/ip_conntrack-table-full-dropping-packet/ip_conntrack: table full, dropping packet01.24.2008 | Author: major | Posted in UncategorizedLast week, I found
系统当前conntrack数量
redwingz的博客
09-04 1113
内核注册了PROC文件nf_conntrack_count,可查询系统当前连接跟踪的数量。如下当前系统conntrack数量。conntrack系统初始化时将当前命名空间中的连接跟踪数量初始化为0。在每次分配连接跟踪结构时,递增命名空间中连接跟踪计算,如果分配失败,将计数递减回来。如果当前系统中连接跟踪数量超过最大数量,检查是否可提前删除一些连接跟踪(early_drop)。当释放连接跟踪结构时,递减命名空间中conntrack计数。
linux 内核中整个nf_conntrack_core.c什么意思
最新发布
07-09
nf_conntrack_core.c是Linux内核中处理网络连接跟踪的核心模块的源代码文件。该文件主要实现了网络连接跟踪子系统的核心功能。 网络连接跟踪是Linux内核中的一个重要功能,用于跟踪网络连接的状态和信息。nf_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值