AI 助理
文档备案控制台
开发者社区 云计算 文章 正文

TCP状态以及关于内核调优的几个参数

2017-11-08 1346
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

    不知道大家在面试时候是否会遇到tcp方面相关的面试题,比如几个相关的内核调优,SYN_FLood攻击的原理和防御,time_wait不回收对系统有什么影响,等等还是很多的,前几天有人问到,今天刚好细细学习一下:

    一个正常的TCP连接,都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手:(如下)

   wKiom1c6dsrwHr_nAABi-_k8O-w156.png

TCP三次握手(创建 OPEN)

    客户端发起一个和服务创建TCP链接的请求,这里是SYN(J)
    服务端接受到客户端的创建请求后,返回两个信息: SYN(K) + ACK(J+1)
    客户端在接受到服务端的ACK信息校验成功后(J与J+1),返回一个信息:ACK(K+1)
    服务端这时接受到客户端的ACK信息校验成功后(K与K+1),不再返回信息,后面进入数据通讯阶段

数据通讯

    客户端/服务端 read/write数据包

TCP四次握手(关闭 finish)

    客户端发起关闭请求,发送一个信息:FIN(M)
    服务端接受到信息后,首先返回ACK(M+1),表明自己已经收到消息。
    服务端在准备好关闭之前,最后发送给客户端一个 FIN(N)消息,询问客户端是否准备好关闭了
    客户端接受到服务端发送的消息后,返回一个确认信息: ACK(N+1)
    最后,服务端和客户端在双方都得到确认时,各自关闭或者回收对应的TCP链接。


状态说明:

   SYN_SEND
        客户端尝试链接服务端,通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态
        sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数,默认5次(大约180s)

    SYN_RECEIVED
        服务接受创建请求的SYN后,也就是TCP三次握手中的第2步,发送ACK数据包之前
        注意是服务端状态,一般15个左右正常,如果很大,怀疑遭受SYN_FLOOD攻击
        sysctl -w net.ipv4.tcp_max_syn_backlog=200000 , 设置该状态的等待队列数,默认1024,调大后可适当防止syn-flood,根据内存大小来定
        sysctl -w net.ipv4.tcp_syncookies=1 , 打开syncookie,在syn backlog队列不足的时候,提供一种机制临时将syn链接换出
        sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数,默认5次(大约180s),要是遇到网络SYN_RECV比较多时临时设置成0也是一个不错的选择,攻击过后改回来。
    ESTABLISHED
        客户端接受到服务端的ACK包后的状态,服务端在发出ACK在一定时间后即为ESTABLISHED
        sysctl -w net.ipv4.tcp_keepalive_time = 1200 ,默认为7200秒(2小时),系统针对空闲链接会进行心跳检查,如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分,终止对应的tcp链接,可适当调整心跳检查频率

     FIN_WAIT1
        主动关闭的一方,在发出FIN请求之后,也就是在TCP四次握手的第1步
    CLOSE_WAIT
        被动关闭的一方,在接受到客户端的FIN后,也就是在TCP四次握手的第2步
    FIN_WAIT2
        主动关闭的一方,在接受到被动关闭一方的ACK后,也就是TCP四次握手的第2步
        sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间,有效回收链接,避免syn-flood.
    LASK_ACK
        被动关闭的一方,在发送ACK后一段时间后(确保客户端已收到),再发起一个FIN请求。也就是TCP四次握手的第3步
    TIME_WAIT
        主动关闭的一方,在收到被动关闭的FIN包后,发送ACK。也就是TCP四次握手的第4步
        sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT,Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
        sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌似和tw_recycle有冲突,不能重用就回收?
        net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数,默认为180000.


遇到syn_FLOOD攻击:

1
2
3
4
5
     1 、查看对方IP:
     # netstat -na |grep SYN_RECV|more
     2 、根据对方伪造的IP结合iptables DROP掉,当然误杀有时候在所难免;
     3 、调整内核参数tcp_synack_retries  =  0 ,表示收不到第三次ACK包的时候不进行重试,加速tcp半连接状态的回收。
     4 、调整上面的几个参数









本文转自 小罗ge11 51CTO博客,原文链接:http://blog.51cto.com/xiaoluoge/1774233,如需转载请自行联系原作者
文章标签:
容器服务Kubernetes版
网络协议
关键词:
tcp/ip协议状态
tcp/ip协议调优
tcp/ip协议参数
tcp/ip协议内核
相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
余二五
目录
相关文章
余二五
|
网络协议 安全 开发工具
TCP端口状态说明ESTABLISHED、TIME_WAIT、 CLOSE_WAIT
余二五
8587 0
运维开发故事
|
存储 网络协议 Linux
linux中TCP三次握手与四次挥手介绍及调优
linux中TCP三次握手与四次挥手介绍及调优
运维开发故事
478 1
linux中TCP三次握手与四次挥手介绍及调优
游客ipr2b72wwzsnc
|
存储 缓存 网络协议
面试官:换人!他连 TCP 这几个参数都不懂
TCP 三次握手的性能提升; TCP 四次挥手的性能提升; TCP 数据传输的性能提升;
游客ipr2b72wwzsnc
527 0
面试官:换人!他连 TCP 这几个参数都不懂
fredlong
|
缓存 网络协议 Java
TCP的Window Size和Scale参数对传输效率的影响
目前大多数互联网数据通信都是通过TCP协议进行的,了解其通信方式对提高通信效率,排查通信效率问题有很重要的意义。一. TCP的滑动窗口机制1. 概述TCP协议是可靠的通信协议,数据发送方发送给数据接收方的每一个包必须需要数据接收方返回对应的ACK,否则数据发送方就需要重传这个包。这个模式就有点像我和你面对面聊天,你一句我一句。但这种方式的缺点是效率比较低的。如果你说完一句话,我在处理其他事情,没有
fredlong
8653 0
SRE团队技术小编-小凌
|
网络协议 Linux
Linux系统TCP内核参数优化总结
Linux系统TCP内核参数优化总结
SRE团队技术小编-小凌
1957 1
Linux系统TCP内核参数优化总结
流楚丶格念
|
网络协议 Linux
TCP状态转换图文解说
TCP状态转换图文解说
流楚丶格念
505 0
TCP状态转换图文解说
jiangxl~
|
监控 网络协议 网络安全
zabbix自定义TCP 11种状态监控模板(十四)
zabbix自定义TCP 11种状态监控模板 如果一直对多个主机同时增加监控项那么会非常麻烦,在实际生产中有很多时候我们都需要对一批机器同时增加多个相同的监控项,如果一个一个手动添加将会非常麻烦,因此就有了模板的诞生,我们只需要创建一个模板,让需要监控的主机链接模板即可
jiangxl~
478 0
zabbix自定义TCP 11种状态监控模板(十四)
TimeFriends
|
网络协议
TCP协议的状态
TCP协议的状态
TimeFriends
315 0
eisc
|
编解码 网络协议 网络架构
计算机网络基础 和 tcp 三次握手四次挥手,tcpdump抓包分析 协议过滤 分析,连接状态,标志位详解
wireshark 软件过滤及转码使用 ,TCP tcpdump 连接状态,标志位详解
eisc
437 1
红目香薰
|
网络协议 安全 Linux
查看http的并发请求数与其TCP连接状态
查看http的并发请求数与其TCP连接状态
红目香薰
469 0

热门文章

最新文章

  • 1
    TCP连接建立的三次握手过程可以携带数据吗?
  • 2
    TCP连接的状态详解以及故障排查
  • 3
    Linux TCP/IP 协议栈之 Socket的实现分析(Connect客户端发起连接请求)
  • 4
    深入浅出TCP之listen
  • 5
    tcp/ip 11种状态
  • 6
    做个例子证实一下:tcp协议
  • 7
    TCP协议学习笔记、报文分析
  • 8
    一起谈.NET技术,当Silverlight同时遇上TCP和HTTP的WCF服务
  • 9
    TCP/IP协议族-----13、运输层简单介绍
  • 10
    TCP/IP 环回接口
  • 1
    区分TCP/IP、HTTP、Socket三者的差异
    643
  • 2
    计算机网络TCP/IP四层模型
    2074
  • 3
    TCP/IP与OPC协议的深度比较
    397
  • 4
    自己动手编写tcp/ip协议栈3:tcp三次握手
    312
  • 5
    自己动手编写tcp/ip协议栈2:tcp包生成
    317
  • 6
    自己动手编写tcp/ip协议栈1:tcp包解析
    420
  • 7
    TCP/IP协议架构:四层模型详解
    2745
  • 8
    网络通信的基石:TCP/IP协议栈的层次结构解析
    1024
  • 9
    本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
    1323
  • 10
    30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
    1989

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    第五届伏魔挑战赛如约来袭,诚邀各路高手来战!