wvg>SfV,e  
R3} Z"  
hOF>Dj  
今天发现网站特别卡！！ n"Q fW~U  
YM]ZL,8  
O8S"B6?$~'  
查看网络连接数： H1g"09?h6o  
OL)M`eVQ'  
?$FvE4!n  
netstat -an |wc -l t=oTU,<  
+{S^A)  
dsJHhsu6  
netstat -an |grep xx |wc -l        查看某个/特定ip的连接数 5UHxB"`C  
^atB
f![  
NP*M#3$[
 
netstat -an |grep TIME_WAIT|wc -l    查看连接数等待time_wait状态连接数 oZ(T`5  
&Kgl\;}  
H|iY<7@  
netstat -an |grep ESTABLISHED |wc -l    查看建立稳定连接数量 [1*3 kt*h  
W}U-u{Z  
^l\^\>8  
$xf{m9 8  
*OQr:e<}  
P]G`Y>#$r  
查看不同状态的连接数数量 !~&vcz0>)9  
V3u[{^^f  
p ft6 @'q  
[root@cp-nginx ~]# netstat -an | awk '/^tcp/ {++y[$NF]} END {for(w in y) print w, y[w]}' N}3$1=@Y  
ui:  
I~$LIdzw  
LISTEN 8 siHS@S  
#w4=kWJ[  
S3=M k~_&  
ESTABLISHED 2400 "3*Chc  
:A,V<Es}I"  
tZ]|3wp  
FIN_WAIT1 2 {Tp0#fi  
n7"e 79  
+b.qzgH>r  
TIME_WAIT 6000 7 N?x29  
2B8p3A  
8=!M0i  
,#1ke  
aXyu%<@k  
K h9$  
查看每个ip跟服务器建立的连接数 &+-ZXN  
z= -u89]  
~F*p
V*  
[root@cp-nginx ~]# netstat -nat|awk '{print$5}'|awk -F : '{print$1}'|sort|uniq -c|sort -rn n37C"qJ/i  
i+yqsYKO  
zh'TR$+\hO  
     31 45.116.147.178 ^>uzMR!q5  

}$V]00 X  
k0?4vA  
     20 45.116.147.186 x{u_kepv[k  
?6B)Ek,'X?  
sMli!u  
     12 23.234.45.34 C81+nR  
C/e`O|G  
3S:}fPR  
     11 103.56.195.17
OekcU%C  
JiP]FJ;  
kj
N9(&D  
（PS：正则解析：显示第5列，-F : 以：分割，显示列，sort 排序，uniq -c统计排序过程中的重复行，sort -rn 按纯数字进行逆序排序） 4r-jpVN~  
KU3lAjzN  
A) p}AEBc  
W<yh{u&,  
TxwZA  
)qD%5} t  
查看每个ip建立的ESTABLISHED/TIME_OUT状态的连接数 H0 km*5Sn  
!y'LKze+G  
;38DBo  
[root@cp-nginx ~]# netstat -nat|grep ESTABLISHED|awk '{print$5}'|awk -F : '{print$1}'|sort|uniq -c|sort -rn J^pL_  
%H~q3|z  
6"[`"~9'V  
     24 103.56.195.17 N|z-s  
W*u Yb|0  
QSAz:Yvf|  
     19 45.116.147.186 Xl2Fgg}#  
b@Ik c<  
' ,a'r.HJH  
     18 103.56.195.18 %TPnC'2  
/.aZXC$]  
)|XmF4R  
     17 45.116.147.178 J1 a/U@"  
w-AF5%gX  
*"P :ySA  
%njX'7^u  
u!k\W{  
KY!  
s!9.o_k  
U!XC-RA3 _  
UkG|5P`  
解决time_wait连接数大量问题 W|NzdxCY  
^'lx5+-  
u_dTJ,m  
查询到time_wait连接数过多情况下，调整内核参数：/etc/sysctl.conf D?44:'x+-  
f$Nz).(  
+XLy Pj  
vim /etc/sysctl.conf jmxjiJKP  
= 7d{lK  
!X$e;V"HX  
G#t!{Q}8  
0j %s H  
EdlU}LU  
添加以下配置文件： )s5Q4m!  
OBqaf )W  
dYrw&gn  
net.ipv4.tcp_syncookies = 1 wwE`YY  
net.ipv4.tcp_tw_reuse = 1 VI: !#  
net.ipv4.tcp_tw_recycle = 1 H:Y?("k  
net.ipv4.tcp_fin_timeout = 300 |=fa`8mG  
u&z5)iU  
Vr@I9W;D#  
:c[iS~ ~Y  
8;K'77h  
4WU%K`jnXb  
/sbin/sysctl -p 让参数生效，调优完成 70hm9b-   
r#hA kOw  
%ub\+~  
8WU_d`DF  
WX<),u2@  
z0|%h?N  
参数详解： F
bO\#p s  
q$IgkL  
x[L/d"Wf  
1.net.ipv4.tcp_syncookies = 1 表示开启 syn cookies 。当出现 syn 等待队列溢出时，启用 cookies 来处理，可防范少量 syn ***，默认为 0 ，表示关闭； ]$7dkP  
.YOC|\  
wP:ab  
2.net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将 time-wait sockets 重新用于新的 tcp 连接，默认为 0 ，表示关闭； (b!`klQ  
3.net.ipv4.tcp_tw_recycle = 1 表示开启 tcp 连接中 time-wait sockets 的快速回收，默认为 0 ，表示关闭。 nz-( 8{ae  
4.net.ipv4.tcp_fin_timeout 修改系靳默认的 timeout 时间 &\Kp_AR  
lO)-QE+  
:x*#RnRr.  
{Ee[rAVGp  
Q--Hf$D]H  
vfnVN@ 5  
经过上面的设置后，发现网站time_wait连接数慢慢减少，网站速度也快多了！ )o51QgPy  
N5]}m:"pk  
*(c><N  
如果以上配置调优后性能还不理想，可继续修改一下配置： #}y(D{zc  
h 7x_VO  
B`I9  
vi /etc/sysctl.conf +#$(>6Zu"{  
7"|j.Yq$H{  
kuEB  
net.ipv4.tcp_keepalive_time = 1200 #表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。 E]opA$JQ  
(K"8kQLY  
>%PPp.R  
net.ipv4.ip_local_port_range = 1024 65000 #表示用于向外连接的端口范围。缺省情况下很小：32768到61000，改为1024到65000。 k-~HUC.A.  
0nX.%2p#Je  
_mi(:s(  
net.ipv4.tcp_max_syn_backlog = 8192 #表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。 BAQ;.N4  
A&dNCB  
tWo MUp  
net.ipv4.tcp_max_tw_buckets = 5000 #表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。 E#cW3\)  
默认为180000，改为5000。 TAXl73j_CY  
对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于 Squid，效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死。

1、 time_wait的作用： ``Un&-Ms  
N"1B/u  
复制代码 ujucZ9}yd  
TIME_WAIT状态存在的理由： (b6NX~G-:  
1）可靠地实现TCP全双工连接的终止 _7)n(1h[3b  
   在进行关闭连接四次挥手协议时，最后的ACK是由主动关闭端发出的，如果这个最终的ACK丢失，服务器将重发最终的FIN， d'I"jZ  
因此客户端必须维护状态信息允许它重发最终的ACK。如果不维持这个状态信息，那么客户端将响应RST分节，服务器将此分节解释成一个错误（在java中会抛出connection reset的SocketException)。 Y5d\d\e/  
因而，要实现TCP全双工连接的正常终止，必须处理终止序列四个分节中任何一个分节的丢失情况，主动关闭的客户端必须维持状态信息进入TIME_WAIT状态。 G/mXq-  
u?{H}V  
2）允许老的重复分节在网络中消逝 &yol_%C  
TCP分节可能由于路由器异常而“迷途”，在迷途期间，TCP发送端可能因确认超时而重发这个分节，迷途的分节在路由器修复后也会被送到最终目的地，这个原来的迷途分节就称为lost duplicate。 BV+ Bk+  
在关闭一个TCP连接后，马上又重新建立起一个相同的IP地址和端口之间的TCP连接，后一个连接被称为前一个连接的化身（incarnation)，那么有可能出现这种情况，前一个连接的迷途重复分组在前一个连接终止后出现，从而被误解成从属于新的化身。 :Xd<74Nu  
为了避免这个情况，TCP不允许处于TIME_WAIT状态的连接启动一个新的化身，因为TIME_WAIT状态持续2MSL，就可以保证当成功建立一个TCP连接的时候，来自连接先前化身的重复分组已经在网络中消逝。 K}
U-w:{  
复制代码 EUgs6[w 4  
2、大量TIME_WAIT造成的影响： .K<Q&  
9 5RBO4w%w  
      在高并发短连接的TCP服务器上，当服务器处理完请求后立刻主动正常关闭连接。这个场景下会出现大量socket处于TIME_WAIT状态。如果客户端的并发量持续很高，此时部分客户端就会显示连接不上。 'oC) NpnH  
我来解释下这个场景。主动正常关闭TCP连接，都会出现TIMEWAIT。 P_p<`sC9  
H1(Uw:V8  
为什么我们要关注这个高并发短连接呢？有两个方面需要注意： we?76t:-  
1. 高并发可以让服务器在短时间范围内同时占用大量端口，而端口有个0~65535的范围，并不是很多，刨除系统和其他服务要用的，剩下的就更少了。 M>8A\;"  
2. 在这个场景中，短连接表示“业务处理+传输数据的时间 远远小于 TIMEWAIT超时的时间”的连接。 ">jj  
([LSsZ]sj  
      这里有个相对长短的概念，比如取一个web页面，1秒钟的http短连接处理完业务，在关闭连接之后，这个业务用过的端口会停留在TIMEWAIT状态几分钟，而这几分钟，其他HTTP请求来临的时候是无法占用此端口的(占着茅坑不拉翔)。单用这个业务计算服务器的利用率会发现，服务器干正经事的时间和端口（资源）被挂着无法被使用的时间的比例是 1：几百，服务器资源严重浪费。（说个题外话，从这个意义出发来考虑服务器性能调优的话，长连接业务的服务就不需要考虑TIMEWAIT状态。同时，假如你对服务器业务场景非常熟悉，你会发现，在实际业务场景中，一般长连接对应的业务的并发量并不会很高。 u21EP[[,  
     综合这两个方面，持续的到达一定量的高并发短连接，会使服务器因端口资源不足而拒绝为一部分客户服务。同时，这些端口都是服务器临时分配，无法用SO_REUSEADDR选项解决这个问题。 3+fp2  
l9u!aD  
关于time_wait的反思： =j*$ |X3W  
c[1oww  
复制代码 .oUTqki  
存在即是合理的，既然TCP协议能盛行四十多年，就证明他的设计合理性。所以我们尽可能的使用其原本功能。 `eCo~(Fy  
依靠TIME_WAIT状态来保证我的服务器程序健壮，服务功能正常。
wInh~p  
那是不是就不要性能了呢？并不是。如果服务器上跑的短连接业务量到了我真的必须处理这个TIMEWAIT状态过多的问题的时候，我的原则是尽量处理，而不是跟TIMEWAIT干上，非先除之而后快。 sAD}#Zw$  
如果尽量处理了，还是解决不了问题，仍然拒绝服务部分请求，那我会采取负载均衡来抗这些高并发的短请求。持续十万并发的短连接请求，两台机器，每台5万个，应该够用了吧。一般的业务量以及国内大部分网站其实并不需要关注这个问题，一句话，达不到时才需要关注这个问题的访问量。 QR0Q{}wbqU  
复制代码 ;Q*or2"!  
小知识点： thM4vq  
9g"2^^wD  
TCP协议发表：1974年12月，卡恩、瑟夫的第一份TCP协议详细说明正式发表。当时美国国防部与三个科学家小组签定了完成TCP/IP的协议，结果由瑟夫领衔的小组捷足先登，首先制定出了通过详细定义的TCP/IP协议标准。当时作了一个试验，将信息包通过点对点的卫星网络，再通过陆地电缆 }n2M G  
，再通过卫星网络，再由地面传输，贯串欧洲和美国，经过各种电脑系统，全程9.4万公里竟然没有丢失一个数据位，远距离的可靠数据传输证明了TCP/IP协议的成功。 Yqi4&~?db  
#& Rw&  
&wCg\j_c  
3、案列分析： b@f$nS B  
[knN:{ l  
    首先，根据一个查询TCP连接数，来说明这个问题。 9:1Q1,-i!-  
3ojlB|Z  
复制代码 d>fkA0G/9!  
netstat -ant|awk '/^tcp/ {++S[$NF]} END {for(a in S) print (a,S[a])}' 
oxkoA  
LAST_ACK 14 TQ*1L:X7M&  
SYN_RECV 348 \6<=$vD  
ESTABLISHED 70 xt%7@/hiE  
FIN_WAIT1 229 7/f3Z1g  
FIN_WAIT2 30 Dg?70v<a  
CLOSING 33 _:C9{aEZb  
TIME_WAIT 18122 OJ$]V,Z00x  
复制代码 G<f@#[$'  
状态描述： FCuB\Q  
+W\f(/q0  
View Code d%,eZXg
'  
命令解释： U($dx.`v#  
@$c\dvO  
View Code i Ae<&Ms  
xJZ>uTN  
.!,z:l$Kh  
如何尽量处理TIMEWAIT过多? (%xwl  
B'EKM)dA  
编辑内核文件/etc/sysctl.conf，加入以下内容： xs:n\N  
uYil ?H{kH  
net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭； e9[|!/./5  
net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭； F>[,zN  
net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。 mPP`xL?T  
net.ipv4.tcp_fin_timeout 修改系默认的 TIMEOUT 时间 u[/m
|z  
然后执行 /sbin/sysctl -p 让参数生效.
)!:Lzi  
p4i]7o@  
/etc/sysctl.conf是一个允许改变正在运行中的Linux系统的接口，它包含一些TCP/IP堆栈和虚拟内存系统的高级选项，修改内核参数永久生效。 hq/k*;  
简单来说，就是打开系统的TIMEWAIT重用和快速回收。 sx51X^d  
:`2=@.  
如果以上配置调优后性能还不理想，可继续修改一下配置： deixy. |  

2h
Q>:  
复制代码 `o?Ph&p}  
vi /etc/sysctl.conf 1`9xIm*9w  
net.ipv4.tcp_keepalive_time = 1200 e^Ky<*Y  
#表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。 ,
qrQ"r9  
net.ipv4.ip_local_port_range = 1024 65000 3^~KB'RZ  
#表示用于向外连接的端口范围。缺省情况下很小：32768到61000，改为1024到65000。 m7GR[MR  
net.ipv4.tcp_max_syn_backlog = 8192 *(>}Y  
#表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数。 
P?]aWJ  
net.ipv4.tcp_max_tw_buckets = 5000 I1>N4R-j  
#表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。 dN}#2Bo=  
默认为180000，改为5000。对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于 Squid，效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死。