阿里云的网站模版好吗,英铭广州网站建设,网页制造与网站建设论文,wordpress文章换行在 TCP 三次握手的时候#xff0c;Linux 内核会维护两个队列#xff0c;分别是#xff1a; 半连接队列#xff0c;也称 SYN 队列#xff1b; 全连接队列#xff0c;也称 accept 队列#xff1b; 服务端收到客户端发起的 SYN 请求后#xff0c;内核会把该连接存储到半连… 在 TCP 三次握手的时候Linux 内核会维护两个队列分别是 半连接队列也称 SYN 队列 全连接队列也称 accept 队列 服务端收到客户端发起的 SYN 请求后内核会把该连接存储到半连接队列并向客户端响应 SYNACK接着客户端会返回 ACK服务端收到第三次握手的 ACK 后内核会把连接从半连接队列移除然后创建新的完全的连接并将其添加到 accept 队列等待进程调用 accept 函数时把连接取出来。 不管是半连接队列还是全连接队列都有最大长度限制超过限制时内核会直接丢弃或返回 RST 包。 当服务端并发处理大量请求时如果 TCP 全连接队列过小就容易溢出。发生 TCP 全连接队溢出的时候后续的请求就会被丢弃这样就会出现服务端请求数量上不去的现象。 在服务端可以使用 ss 命令来查看 TCP 全连接队列的情况 当超过了 TCP 最大全连接队列服务端则会丢掉后续进来的 TCP 连接丢掉的 TCP 连接的个数会被统计起来我们可以使用 netstat -s | grep overflowed 命令来查看 cat /proc/sys/net/ipv4/tcp_abort_on_overflow tcp_abort_on_overflow 共有两个值分别是 0 和 1其分别表示 0 如果全连接队列满了那么 server 扔掉 client 发过来的 ack 1 如果全连接队列满了server 发送一个 reset 包给 client表示废掉这个握手过程和这个连接 TCP 全连接队列的最大值取决于 somaxconn 和 backlog 之间的最小值也就是 min(somaxconn, backlog) somaxconn 是 Linux 内核的参数默认值是 128可以通过 /proc/sys/net/core/somaxconn 来设置其值 backlog 是 listen(int sockfd, int backlog) 函数中的 backlog 大小Nginx 默认值是 511可以通过修改配置文件设置其长度 如果持续不断地有连接因为 TCP 全连接队列溢出被丢弃就应该调大 backlog 以及 somaxconn 参数 TCP 半连接队列长度的长度没有像全连接队列那样可以用 ss 命令查看。 但是我们可以抓住 TCP 半连接的特点就是服务端处于 SYN_RECV 状态的 TCP 连接就是 TCP 半连接队列 netstat -natp | grep SYN_RECV | wc -l 有三个条件因队列长度的关系而被丢弃的 如果半连接队列满了并且没有开启 tcp_syncookies则会丢弃 若全连接队列满了且没有重传 SYNACK 包的连接请求多于 1 个则会丢弃 如果没有开启 tcp_syncookies并且 max_syn_backlog 减去 当前半连接队列长度小于 (max_syn_backlog 2)则会丢弃 可见半连接队列最大值不是单单由 max_syn_backlog 决定还跟 somaxconn 和 backlog 有关系 因为上面第三个条件所以半连接队列最大值 max_qlen_log 不表示服务端处于 SYN_RECV 状态的最大个数 如果当前半连接队列的长度 「没有超过」理论半连接队列最大值 max_qlen_log那么如果条件 3 成立则依然会丢弃 SYN 包也就会使得服务端处于 SYN_RECV 状态的最大个数不会是理论值 max_qlen_log 如果 SYN 半连接队列已满只能丢弃连接吗 开启 syncookies 功能就可以在不使用 SYN 半连接队列的情况下成功建立连接 cat /proc/sys/net/ipv4/tcp_syncookies syncookies 参数主要有以下三个值 0 值表示关闭该功能 1 值表示仅当 SYN 半连接队列放不下时再启用它 2 值表示无条件开启功能 如何防御 SYN 攻击 增大半连接队列增大 tcp_max_syn_backlog 的值还需一同增大 somaxconn 和 backlog也就是增大全连接队列 开启 tcp_syncookies 功能echo 1 /proc/sys/net/ipv4/tcp_syncookies 减少 SYNACK 重传次数echo 1 /proc/sys/net/ipv4/tcp_synack_retries
