Linux系統下,TCP連接配接斷開後,會以TIME_WAIT狀态保留一定的時間,然後才會釋放端口。當并發請求過多的時候,
就會産生大量的TIME_WAIT狀态的連接配接,無法及時斷開的話,會占用大量的端口資源和伺服器資源。這個時候我們可以優化TCP的核心參數,
來及時将TIME_WAIT狀态的端口清理掉。
本文介紹的方法隻對擁有大量TIME_WAIT狀态的連接配接導緻系統資源消耗有效,如果不是這種情況下,效果可能不明顯。
可以使用netstat指令去查TIME_WAIT狀态的連接配接狀态,輸入下面的組合指令,檢視目前TCP連接配接的狀态和對應的連接配接數量:
#netstat -n | awk '/^tcp/ {++S[$NF]} END { for( a in S ) print a, S[a]}'
這個指令會輸出類似下面的結果:
LAST_ACK 16
SYN_RECV 348
ESTABLISHED 70
FIN_WAIT1 229
FIN_WAIT2 30
CLOSING 33
TIME_WAIT 18098
我們隻用關心TIME_WAIT的個數,在這裡可以看到,有18000多個TIME_WAIT,這樣就占用了18000多個端口。要知道端口的數量隻有65535個,
占用一個少一個,會嚴重的影響到後繼的新連接配接。這種情況下,我們就有必要調整下Linux的TCP核心參數,讓系統更快的釋放TIME_WAIT連接配接。
核心參數的優化:
#表示系統同時保持TIME_WAIT的最大數量,如果超過這個數字,TIME_WAIT将立刻被清除并列印警告資訊。
預設為180000,改為6000。對于Apache、Nginx等伺服器,上幾行的參數可以很好地減少TIME_WAIT套接字數量,
但是對于 Squid,效果卻不大。此項參數可以控制TIME_WAIT的最大數量,避免Squid伺服器被大量的TIME_WAIT拖死。
net.ipv4.tcp_max_tw_buckets = 6000
#表示用于向外連接配接的随機端口範圍。預設情況下很小:32768到61000,改為10000到65000
(注意:這裡不要将最低值設的太低,否則可能會占用掉正常的端口!)
net.ipv4.ip_local_port_range = 10000 65536
#表示開啟TCP連接配接中TIME-WAIT sockets的快速回收,預設為0,表示關閉;
net.ipv4.tcp_tw_recycle = 1
#開啟重用。允許将TIME-WAIT sockets重新用于新的TCP連接配接,預設為0,表示關閉;
net.ipv4.tcp_tw_reuse = 1
#開啟SYN Cookies,當出現SYN等待隊列溢出時,啟用cookies來處理,可防範少量SYN攻擊,預設為0,表示關閉;
net.ipv4.tcp_syncookies = 1
#表示當keepalive起用的時候,TCP發送keepalive消息的頻度。預設是2小時7200,改為20分鐘。機關是秒
net.ipv4.tcp_keepalive_time = 1200
#web應用中listen函數的backlog預設會給我們核心參數的net.core.somaxconn限制到128,
而Nginx核心參數定義的NGX_LISTEN_BACKLOG預設為511,是以有必要調整這個值
net.core.somaxconn = 32768
#每個網絡接口接收資料包的速率比核心處理這些包的速率快時,允許送到隊列的資料包的最大數目
net.core.netdev_max_backlog = 32768
#系統中最多有多少個TCP套接字不被關聯到任何一個使用者檔案句柄上。如果超過這個數字,孤兒連接配接将即刻被複位并列印出警告資訊。
這個限制僅僅是為了防止簡單的DoS攻擊,不能過分依靠它或者人為地減小這個值,更應該增加這個值(如果增加了記憶體之後)
net.ipv4.tcp_max_orphans = 3276800
#記錄的那些尚未收到用戶端确認資訊的連接配接請求的最大值。
#表示SYN隊列的長度,預設為1024,加大隊列長度為8192,可以容納更多等待連接配接的網絡連接配接數
對于那些依然還未獲得用戶端确認的連接配接請求﹐需要儲存在隊列中最大數目。對于超過 128Mb 記憶體的系統﹐預設值是 1024 ﹐
低于 128Mb 的則為 128。如果伺服器經常出現過載﹐可以嘗試增加這個數字。警告﹗假如您将此值設為大于 1024﹐
最好修改 include/net/tcp.h 裡面的 TCP_SYNQ_HSIZE ﹐以保持 TCP_SYNQ_HSIZE*16(SYN Flood攻擊利用TCP協定散布握手的缺陷,
僞造虛假源IP位址發送大量TCP-SYN半打開連接配接到目标系統,最終導緻目标系統Socket隊列資源耗盡而無法接受新的連接配接。
為了應付這種攻擊,現代Unix系統中普遍采用多連接配接隊列處理的方式來緩沖(而不是解決)這種攻擊,
是用一個基本隊列處理正常的完全連接配接應用(Connect()和Accept() ),是用另一個隊列單獨存放半打開連接配接。
這種雙隊列處理方式和其他一些系統核心措施(例如Syn-Cookies/Caches)聯合應用時,能夠比較有效的緩解小規模的SYN Flood攻擊(事實證明)
net.ipv4.tcp_max_syn_backlog = 8192
#時間戳可以避免序列号的卷繞。一個1Gbps的鍊路肯定會遇到以前用過的序列号。
時間戳能夠讓核心接受這種“異常”的資料包。這裡需要将其關掉。
Timestamps 用在其它一些東西中﹐可以防範那些僞造的 sequence 号碼。一條1G的寬帶線路或許會重遇到帶
out-of-line數值的舊sequence 号碼(假如它是由于上次産生的)。Timestamp 會讓它知道這是個 '舊封包'。
(該檔案表示是否啟用以一種比逾時重發更精确的方法(RFC 1323)來啟用對 RTT 的計算;為了實作更好的性能應該啟用這個選項。) 預設值為1
net.ipv4.tcp_timestamps = 0
#為了打開對端的連接配接,核心需要發送一個SYN并附帶一個回應前面一個SYN的ACK。
也就是所謂三次握手中的第二次握手。這個設定決定了核心放棄連接配接之前發送SYN+ACK包的數量。
net.ipv4.tcp_synack_retries = 2
#在核心放棄建立連接配接之前發送SYN包的數量
net.ipv4.tcp_syn_retries = 2
#在核心放棄建立連接配接之前發送SYN包的數量。
net.ipv4.tcp_syn_retries = 1
#net.ipv4.tcp_tw_len = 1
#如果套接字由本端要求關閉,這個參數決定了它保持在FIN-WAIT-2狀态的時間。
對端可能出錯并永遠不關閉連接配接,甚至意外當機。預設值是60秒。2.2 核心的通常值是180秒,
你可以按這個設定,但要記住的是,即使你的機器是一個輕載的WEB伺服器,
也有因為大量的死套接字而記憶體溢出的風險,FIN- WAIT-2的危險性比FIN-WAIT-1要小,因為它最多隻能吃掉1.5K記憶體,但是它們的生存期長些。
net.ipv4.tcp_fin_timeout = 30
# TCP讀buffer,可參考的優化值: 32768 436600 873200 min, default, max
net.ipv4.tcp_rmem = 32768 436600 873200
min:為TCP socket預留用于接收緩沖的記憶體數量,
即使在記憶體出現緊張情況下tcp socket都至少會有這麼多數量的記憶體用于接收緩沖,預設值為8K。
default:為TCP socket預留用于接收緩沖的記憶體數量,預設情況下該值影響其它協定使用的 net.core.wmem_default 值。
該值決定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win=0預設值情況下,TCP視窗大小為65535。預設值為87380
max:用于TCP socket接收緩沖的記憶體最大值。該值不會影響 net.core.wmem_max,"靜态"選擇參數 SO_SNDBUF則不受該值影響。
預設值為 128K。預設值為87380*2 bytes。
(可以看出,.max的設定最好是default的兩倍,對于NAT來說主要該增加它,我的網絡裡為 51200 131072 204800)
# TCP寫buffer,可參考的優化值: 8192 436600 873200 min, default, max
net.ipv4.tcp_wmem = 8192 436600 873200
min:為TCP socket預留用于發送緩沖的記憶體最小值。每個tcp socket都可以在建議以後都可以使用它。預設值為4096(4K)
default:為TCP socket預留用于發送緩沖的記憶體數量,預設情況下該值會影響其它協定使用的net.core.wmem_default 值,
一般要低于net.core.wmem_default的值。預設值為16384(16K)。
max: 用于TCP socket發送緩沖的記憶體最大值。該值不會影響net.core.wmem_max,"靜态"選擇參數SO_SNDBUF則不受該值影響。
預設值為131072(128K)。(對于伺服器而言,增加這個參數的值對于發送資料很有幫助,在我的網絡環境中,修改為了51200 131072 204800)
net.ipv4.tcp_mem = 94500000 91500000 92700000 low, pressure, high
# 同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低于此值,TCP沒有記憶體壓力。
net.ipv4.tcp_mem[1]:在此值下,進入記憶體壓力階段。
net.ipv4.tcp_mem[2]:高于此值,TCP拒絕配置設定socket。
上述記憶體機關是頁,而不是位元組。可參考的優化值是:786432 1048576 1572864
low:當TCP使用了低于該值的記憶體頁面數時,TCP不會考慮釋放記憶體。
(理想情況下,這個值應與指定給 tcp_wmem 的第 2 個值相比對 - 這第 2 個值表明,最大頁面大小乘以最大并發請求數除以頁大小 (131072 * 300 / 4096)。 )
pressure:當TCP使用了超過該值的記憶體頁面數量時,TCP試圖穩定其記憶體使用,進入pressure模式,
當記憶體消耗低于low值時則退出pressure狀态。(理想情況下這個值應該是 TCP 可以使用的總緩沖區大小的最大值 (204800 * 300 / 4096)。 )
high:允許所有tcp sockets用于排隊緩沖資料報的頁面量。
(如果超過這個值,TCP 連接配接将被拒絕,這就是為什麼不要令其過于保守 (512000 * 300 / 4096) 的原因了。
在這種情況下,提供的價值很大,它能處理很多連接配接,是所預期的 2.5 倍;或者使現有連接配接能夠傳輸 2.5 倍的資料。
我的網絡裡為192000 300000 732000)
一般情況下這些值是在系統啟動時根據系統記憶體數量計算得到的。
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216 #最大socket讀buffer,可參考的優化值:873200
net.core.wmem_max = 16777216 #最大socket寫buffer,可參考的優化值:873200
總結一下:
這幾個參數,建議隻在流量非常大的伺服器上開啟,會有顯著的效果。一般的流量小的伺服器上,沒有必要去設定這幾個參數。
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_tw_buckets = 5000
本文轉自 yuri_cto 51CTO部落格,原文連結:http://blog.51cto.com/laobaiv1/1952732,如需轉載請自行聯系原作者
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)