Linux TCP/IP Settings 解決TIME_WAIT過多問題

台北夜未央

正式會員

Rank: 2 Rank: 2

UID: 468115
帖子: 28
精華: 0
積分: 868
金幣: 380
威望: 55
推廣: 0
閱讀權限: 10
註冊時間: 2010-5-23
最後登錄: 2010-12-10

陽光會員宣傳大使社區建設獎章社區巡守獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

1樓大中小發表於 2010-11-1 04:06

Linux TCP/IP Settings 解決TIME_WAIT過多問題

查看Apache的並發請求數及其TCP連接狀態：
Linux命令：
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
返回結果示例：
LAST_ACK 5
SYN_RECV 30
ESTABLISHED 1597
FIN_WAIT1 51
FIN_WAIT2 504
CLOSING 33
TIME_WAIT 1057
說明:
SYN_RECV表示正在等待處理的請求數；
ESTABLISHED表示正常數據傳輸狀態；
TIME_WAIT表示處理完畢，等待超時結束的請求數。

檢查net.ipv4.tcp_tw當前值，將當前的值更改為1分鐘：
[root@aaa1 ~]# sysctl -a|grep net.ipv4.tcp_tw
net.ipv4.tcp_tw_reuse = 0
net.ipv4.tcp_tw_recycle = 0
[root@aaa1 ~]#

vi /etc/sysctl
增加或修改net.ipv4.tcp_tw值：
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1

使內核參數生效：
[root@aaa1 ~]# sysctl -p

[root@aaa1 ~]# sysctl -a|grep net.ipv4.tcp_tw
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1

用netstat再觀察正常

這裡解決問題的關鍵是如何能夠重複利用time_wait的值，我們可以設置時檢查一下time和wait的值
#sysctl -a | grep time | grep wait
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

打開tcp的連接復用:
sysctl -w net.ipv4.tcp_tw_reuse=1#打開復用
sysctl -w net.ipv4.tcp_tw_recycle=10#表示復用10次
或者:
echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
echo 10 > /proc/sys/net/ipv4/tcp_tw_recycle

通過此方法，可以強制減少TCP的：time_wait連接，至於副作用，我還沒發現:-)

引用:

Tomcat,Apache,Jboss,有大量 CLOSE_WAIT 怎麼辨?

在 Linux 上用netstat 統計資料如下
[root@temp]# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
LAST_ACK 3
SYN_RECV 10
CLOSE_WAIT 655
ESTABLISHED 200

***************************************************************************
大量 CLOSE_WAIT 的影響:
大量的CLOSE_WAIT連接，直接佔滿TCP隊列，導致Apache,Tomcat,Jboss...失去回應,
CPU 使用量快速提高

***************************************************************************

CLOSE_WAIT狀態的生成原因

如果是CLIENT端主動斷掉當前連接的話，那麼雙方關閉這個TCP連接共需要四個packet：

Client ---> FIN ---> Server

Client <--- ACK <--- Server

這時候Client端處於FIN_WAIT_2狀態；而Server 程序處於CLOSE_WAIT狀態。

Client <--- FIN <--- Server

這時Server 發送FIN給Client，Server 就成為LAST_ACK狀態。

Client ---> ACK ---> Server

Client回應了ACK，那麼Server 才會成為CLOSED狀態。

******************************************************************************
解決方法:
1.(暫時生效,重新啓動 linux 後,會還原成預設值)
sysctl -w net.ipv4.tcp_fin_timeout=30
sysctl -w net.ipv4.tcp_keepalive_time=1800
sysctl -w net.ipv4.tcp_keepalive_probes=2
sysctl -w net.ipv4.tcp_keepalive_intvl=2

2.(永久生效)
vi /etc/sysctl.conf
# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 30
# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800
# 探測次數
net.ipv4.tcp_keepalive_probes=2
# 探測間隔秒數
net.ipv4.tcp_keepalive_intvl=2

編輯完 /etc/sysctl.conf,要重啓network 才會生效
[root@temp /]# /etc/rc.d/init.d/network restart
**********************************************************************************
PS: 發生CLOSE_WAIT 的原因,可能在於程式內一端的Socket使用close後，另一端的Socket沒有使用close.檢查一下代碼內是否有 Server端在某些異常情況時，沒有關閉Socket，將之修改,應可改正此一問題

TOP

台北夜未央

正式會員

Rank: 2 Rank: 2

UID: 468115
帖子: 28
精華: 0
積分: 868
金幣: 380
威望: 55
推廣: 0
閱讀權限: 10
註冊時間: 2010-5-23
最後登錄: 2010-12-10

陽光會員宣傳大使社區建設獎章社區巡守獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

2樓大中小發表於 2010-11-1 04:46

〔網管技術〕結合netstat和awk命令來統計網絡連接數

結合netstat和awk命令來統計網絡連接數

Shell寫起來很簡單，效果卻很神奇，你可以先嘗試執行一下這條命令：

netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'

會得到類似下面的結果，具體數字會有所不同：

LAST_ACK       1
SYN_RECV       14
ESTABLISHED    79
FIN_WAIT1       28
FIN_WAIT2       3
CLOSING       5
TIME_WAIT       1669

也就是說，這條命令可以把當前系統的網絡連接狀態分類彙總。

下面解釋一下為啥要這樣寫：

一個簡單的管道符連接了netstat和awk命令。

------------------------------------------------------------------

先來看看netstat：

netstat -n

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address          Foreign Address       State
tcp       0    0 123.123.123.123:80    234.234.234.234:12345 TIME_WAIT

你實際執行這條命令的時候，可能會得到成千上萬條類似上面的記錄，不過我們就拿其中的一條就足夠了。

------------------------------------------------------------------

再來看看awk：

/^tcp/
濾出tcp開頭的記錄，屏蔽udp, socket等無關記錄。

state[]相當於定義了一個名叫state的數組

NF
表示記錄的字段數，如上所示的記錄，NF等於6

$NF
表示某個字段的值，如上所示的記錄，$NF也就是$6，表示第6個字段的值，也就是TIME_WAIT

state[$NF]表示數組元素的值，如上所示的記錄，就是state[TIME_WAIT]狀態的連接數

++state[$NF]表示把某個數加一，如上所示的記錄，就是把state[TIME_WAIT]狀態的連接數加一

END
表示在最後階段要執行的命令

for(key in state)
遍曆數組

print key,"\t",state[key]打印數組的鍵和值，中間用\t製表符分割，美化一下。

TOP

台北夜未央

正式會員

Rank: 2 Rank: 2

UID: 468115
帖子: 28
精華: 0
積分: 868
金幣: 380
威望: 55
推廣: 0
閱讀權限: 10
註冊時間: 2010-5-23
最後登錄: 2010-12-10

陽光會員宣傳大使社區建設獎章社區巡守獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

3樓大中小發表於 2010-11-1 04:47

解決TIME_WAIT過多問題

#netstat -n | awk 『/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}』

LAST_ACK 14
SYN_RECV 348
ESTABLISHED 70
FIN_WAIT1 229
FIN_WAIT2 30
CLOSING 33
TIME_WAIT 18122

狀態：描述
CLOSED：無連接是活動的或正在進行
LISTEN：服務器在等待進入呼叫
SYN_RECV：一個連接請求已經到達，等待確認
SYN_SENT：應用已經開始，打開一個連接
ESTABLISHED：正常數據傳輸狀態
FIN_WAIT1：應用說它已經完成
FIN_WAIT2：另一邊已同意釋放
ITMED_WAIT：等待所有分組死掉
CLOSING：兩邊同時嘗試關閉
TIME_WAIT：另一邊已初始化一個釋放
LAST_ACK：等待所有分組死掉

也就是說，這條命令可以把當前系統的網絡連接狀態分類彙總。

下面解釋一下為啥要這樣寫：

一個簡單的管道符連接了netstat和awk命令。

——————————————————————

先來看看netstat：

netstat -n

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT

你實際執行這條命令的時候，可能會得到成千上萬條類似上面的記錄，不過我們就拿其中的一條就足夠了。

——————————————————————

再來看看awk：

/^tcp/
濾出tcp開頭的記錄，屏蔽udp, socket等無關記錄。

state[]相當於定義了一個名叫state的數組

NF
表示記錄的字段數，如上所示的記錄，NF等於6

$NF
表示某個字段的值，如上所示的記錄，$NF也就是$6，表示第6個字段的值，也就是TIME_WAIT

state[$NF]表示數組元素的值，如上所示的記錄，就是state[TIME_WAIT]狀態的連接數

++state[$NF]表示把某個數加一，如上所示的記錄，就是把state[TIME_WAIT]狀態的連接數加一

END
表示在最後階段要執行的命令

for(key in state)
遍曆數組

print key,」\t」,state[key]打印數組的鍵和值，中間用\t製表符分割，美化一下。

如發現系統存在大量TIME_WAIT狀態的連接，通過調整內核參數解決，
vim /etc/sysctl.conf
編輯文件，加入以下內容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
然後執行 /sbin/sysctl -p 讓參數生效。

net.ipv4.tcp_syncookies = 1 表示開啟SYN cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，默認為0，表示關閉；
net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接，默認為0，表示關閉；
net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉。
net.ipv4.tcp_fin_timeout 修改系統默認的 TIMEOUT 時間

下面附上TIME_WAIT狀態的意義：

客戶端與服務器端建立TCP/IP連接後關閉SOCKET後，服務器端連接的端口
狀態為TIME_WAIT

是不是所有執行主動關閉的socket都會進入TIME_WAIT狀態呢？
有沒有什麼情況使主動關閉的socket直接進入CLOSED狀態呢？

主動關閉的一方在發送最後一個 ack 後
就會進入 TIME_WAIT 狀態停留2MSL（max segment lifetime）時間
這個是TCP/IP必不可少的，也就是「解決」不了的。

也就是TCP/IP設計者本來是這麼設計的
主要有兩個原因
1。防止上一次連接中的包，迷路後重新出現，影響新連接
（經過2MSL，上一次連接中所有的重複包都會消失）
2。可靠的關閉TCP連接
在主動關閉方發送的最後一個 ack(fin) ，有可能丟失，這時被動方會重新發
fin, 如果這時主動方處於 CLOSED 狀態，就會響應 rst 而不是 ack。所以
主動方要處於 TIME_WAIT 狀態，而不能是 CLOSED 。

TIME_WAIT 並不會佔用很大資源的，除非受到攻擊。

還有，如果一方 send 或 recv 超時，就會直接進入 CLOSED 狀態

TOP