TCP全连接队列和半连接队列已满之后的连接建立过程抓包分析

最新推荐文章于 2025-04-05 10:33:07 发布
原创 最新推荐文章于 2025-04-05 10:33:07 发布 · 3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #tcp #socket

本文详细分析了Linux内核中TCP连接的全连接队列和半连接队列在满载情况下的处理流程。当全连接队列已满,新的连接请求会被服务端接纳但不转为ESTABLISHED状态,而半连接队列满时,服务端会丢弃新的SYN分节。通过抓包实例展示了连接建立过程,并探讨了队列长度设置对连接处理的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

另外,0端口是系统的保留端口号,若bind时用了0端口,则表示由系统分配一个端口,该端口介于1024和5000之间。


在进行client不断的对server端进行connect的过程中发现下面这个syn_recv状态,而且循环6w次的链接只进行了2W多次就出错了。


于是去查找了下原因:

Linux内核协议栈为一个tcp连接管理使用两个队列,一个是半链接队列(用来保存处于SYN_SENT和SYN_RECV状态的请求),一个是全连接队列(accpetd队列)(用来保存处于established状态,但是应用层没有调用accept取走的请求)。
也就是说,client进行connect之后先进入server的半连接队列,client就直接进入established状态,如果server的全连接队列(accept队列)未满,则将其放入全连接队列(未被应用层进行accpet函数调用取走),然后server也进入established状态。如果全连接队列满了,则server停留在syn_recv状态。

其中全连接队列somaxconn的参数为1表示监听队列的总长度(实际可以完成somaxconn+1个连接的建立)

半连接队列tcp_max_syn_backlog为1(实际可以将tcp_max_syn_backlog+1个syn分节放入其中)

但是在应用层有 int listen(int sockfd, int backlog);。。。然后实际的全连接队列的长度限制是min(backlog, somaxconn);

默认的话半连接队列的长度是/proc/sys/net/ipv4/tcp_max_syn_backlog,默认是1024。如果开启了syncookies,那么基本上没有限制。

全连接队列的长度是/proc/sys/net/core/somaxconn,默认是128,表示最多有129个established链接等待accept。(为什么是129?详见下面的附录1)。


当全连接队列已满且半连接队列未满的情况下:

当客户端发起一个syn分节时,服务端不会丢弃该syn分节,而是直接响应ack和syn,这时客户端响应ack,并成为established状态,而服务端收到ack响应后,试图将该syn分节从半连接队列中移除,并加入全链接队列,然后由于全连接队列已经满了,这时,在默认情况下,服务端啥也不做,而且不会将该连接由SYN_RECV变成ESTABLISHED,服务端仅仅只是创建一个定时器,以固定间隔重传syn和ack到客户端,直到到达系统默认的synack重传阖值,然后服务端将处于半连接队列里面的syn分节丢弃。

当全连接已满且半连接队列也满的情况下:

当客户端发起一个syn分节时,服务端发现半连接队列已经满了,同时该syn分节尚未重传过,服务端直接丢弃该syn分节,然后客户端过了4秒重传syn分节,这个时候服务端发现半连接队列已满同时,该syn分节已经重传过了,服务端收下了该syn分节,并响应客户端syn+ack,客户端收到syn+ack后,响应ack。客户端三次握手已经完成,而服务端收到ack之后,发现全连接队列是满的,这个时候不会将该连接从SYN_RECV转换成ESTABLISHED,服务端创建定时器,定时重传syn+ack, 直到到达系统默认的synack重传阖值,然后服务端将处于半连接队列里面的syn分节丢弃



实际队列中的数量比max的数值大1,标号从0开始,直到max数值也能使用:


实际队列中的数量比max的数值大1,标号从0开始,直到max数值也能使用:


附录1

when I use linux TCP socket, and find there is a bug in function sk_acceptq_is_full()

When a new SYN comes, T

最低0.47元/天 解锁文章

200万优质内容无限畅学
服务器tcp连接_服务器出现大量TIME_WAIT解决方案
weixin_39938855的博客
12-08 4807
一 、故障原因: 服务器突然出现大量time_wait(因为大量连接资源被占用后不释放的话,会导致网站正常访问不能响应)。如何应对?我这边先检查了监控服务器当前的状态(time_wait连接确实异常):1、监控2、登录服务器检查二、排查思路:1、猜测是否因为程序打开大量文件句柄,没有关闭导致。(问了研发同事,排查过后没有这种情况)2、调大当前文件句柄 3、调优sysctl.conf文件4、检查n...
【计网】理解TCP全连接队列tcpdump抓包
叫我龙翔的博客
10-22 6929
本文讲解了TCP全连接队列,加深了对套接字socket的理解,从内核的角度认识了套接字的本质!同时使用tcpdump验证四次挥手三次握手!
性能分析之压测中 TCP 全连接队列问题分析及优化案例
Mo小泽的技术博客
06-13 2699
文章目录一、前言二、知识预备三、压测及分析过程1、第一次压测2、调大 backlog 值为 5000 后,再次压测3、调整日志级别为 ERROR,再次压测四、小结 一、前言 在对一个挡板系统进行测试时,遇到一个由于 TCP 全连接队列被占而影响系统性能的问题,这里记录下如何进行分析及解决的。 二、知识预备 理解下 TCP 建立连接过程队列: 从图中明显可以看出建立 TCP 连接的时候,有两个队列:syns queue(半连接队列accept queue(全连接队列),分别在第一次握手第三次握手。
五分钟带你读懂 TCP全连接队列(图文并茂)
架构技术专栏
07-08 1617
一、问题 今天有个小伙伴跑过来告诉我有个奇怪的问题需要协助下,问题确实也很奇怪。客户端调用RT比较高并伴随着间歇性异常Connection reset出现,而服务端CPU 、线程栈等看起来貌似都很正常,而且服务端的RT很短。 这里先说下结果: 因为TCP全连接队列太小导致的连接被丢弃,因为项目使用Spring Boot 内置的Tomcat,而默认accept-count是100,而这个参数在这里就代表了全连接队列大小。所以在请求波峰的时候全连接队列被打导致有连接丢弃。所以我们调整server.tomcat
TCP全连接问题
xiaoyi52的专栏
03-22 5844
在实际工作中经常碰到一种情况,流量上涨的时候,服务端会出现大量的超时。此时的处理办法一般是扩容。 实际上就算没有流量上涨,当某个接口速度变慢时,调用该接口的服务也会出现超时。 不管是流量上涨(qps增加)还是接口变慢,导致超时的直接原因都是系统吞吐量不足(系统吞吐量 = qps / 响应时间)。 当系统吞吐量不足时,大量请求就会在接口上堆积得不到及时的处理,表现出来就是连接超时或接口超时。 TCP半连接队列全连接队列 创建tcp连接时需要三次握手。 首先客户端向服务端发送一个连接请求,包含一个SYN包
tcp全连接队列半连接队列时,客户端再connect发生的情况
tusong86的博客
04-09 1368
为何ESTABLISHED的数量是3,不是2,即刚好比全连接队列长度大1,这里本人给出自己的看法,即在最后一个连接(即第3个)建立后,再往accept队列塞的时候,发现队列已经了,所以就不塞了,但是连接已经建立好了。所以数目是队列长度+1。为模拟这种情况,可以先将服务端的accept函数注释掉,这样accept queue中的连接无法被消费,从而很快就了,而且为了快速达到效果,本人在sysctl.conf中,设置net.core.somaxconn=2,即全连接队列长度为2.
tcp全连接连接问题查询步骤
02-01
TCP 的三次握手过程中,有两个队列:syns queue(半连接队列 accept queue(全连接队列)。半连接队列用于存储客户端的 SYN 请求,服务器收到 SYN 请求后,将其放入半连接队列中,并回复 SYN+ACK 给客户端。...
TCP全连接连接的问题探讨
人至贱则无敌
11-13 1980
个人博客: https://rebootcat.com/2020/11/14/tcp_accept/ 从何说起 说起 tcp连接过程,想必 “3次握手4次挥手”是大家广为熟知的知识,那么关于更细节更底层的连接过程也许就很少人能讲清楚了。 所以本文会先简单回顾一下 tcp 的 3次握手过程,然后重点聊一下 tcp accept 的过程,涉及到 tcp 半连接队列全连接队列等的内容。 回顾一下 3 次握手 要了解 3 次握手的过程,可能需要先熟悉一下 tcp 协议的格式: tcp segment .
TCP/IP——TCP连接建立与终止、TCP超时、TCP状态变迁、TCP复位
weixin_44233369的博客
02-24 3154
一、概述 TCP是一个面向连接的协议。无论哪一方想另一方发送数据之前,都必须现在双方之间建立一条连接。这种两端间连接建立与无连接协议如UDP不同。一端使用UDP想另一端发送数据报时,无需任何预先的握手。 二、TCP连接建立终止的时间 发起连接(报文段1)的一方是主动打开,接受连接(报文段2)的一方是被动打开。 其中,双方的序号(ack)的初始值(ISN)都是根据自身主机的时钟随机生成的,这...
TCP三次握手如果SYN半连接队列,只能丢弃吗
m0_74193276的博客
04-05 398
当设置为 1 时,如果 accept 队列,客户端会收到 “connection reset by peer” 的错误信息,说明是 服务器的 TCP 全连接队列溢出 导致连接失败。一般来说,建议将其设置为 0,除非你确信服务器的 TCP 全连接队列会长期溢出,才能设置为 1 来尽快通知客户端。tcpaborton_overflow=1:发送 RST,立即通知客户端连接失败,用于应对长期连接失败的场景。1:如果 accept 队列,服务器会发送一个 RST 包给客户端,表示连接建立失败。
TCP 请求太多,造成无法创建连接处理方法
qq_36247791的博客
02-18 926
2进入 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters。新建 DWORD 类型的注册表项,命名为:TCPTimedWaitDelay。新建 DWORD 类型的注册表项,命名为:MaxUserPort。值数据(双击MaxUserPort提示输入值): 65534(用。(TIME_WAIT的自动断开时间,默认为4分钟);的格式录入进去,此值的有效范围为5000-//cmd 命令查看请求。//cmd 统计数量。
TCP 半连接队列全连接队列了,怎么破?
优快云资讯
06-05 3485
作者 | 小林coding来源 | 小林coding责编 | 王晓曼前言网上许多博客针对增大 TCP 半连接队列全连接队列的方式如下:增大 TCP 半连接队列方式是增大 tcp_max...
TCP 半连接队列全连接队列
HappyMrSpring
01-11 2723
本篇文章介绍了TCP建连流程中,半连接队列全连接队列的区别。   1. 简单的 TCP 建连流程 先来张图,如下:   1)client 端使用 connect() 向 server 端发起连接请求(发送 syn 包),此时 client 端的 TCP 的状态为 SYN_SENT。 2)server 端在收到 SYN 包后,将 TCP 相关信息放到 syn queue(半连接队列...
Linux TCP队列的实例详解,提高网络性能稳定性!
GitHub_miao的博客
12-30 1342
在理解 TCP 队列之前,需要了解 TCP 三次握手的基本原理。当客户端尝试建立与服务器的连接时,服务器会接受连接请求并将其放入队列中,等待完成握手过程。这个队列被称为 TCP 队列。监听队列(listen queue)已完成队列(completed queue)。监听队列用于存储等待进行三次握手的连接,而已完成队列用于存储已经完成三次握手的连接,等待应用程序接受。本文深入研究了 Linux 中的 TCP 队列,从基本原理到高级示例代码。
c++笔记
zhbt1234的博客
01-16 753
一.socket 1.listen(int fd,int backlog).backlog表示已经完成3次握手而等待accept的最大个数。 listen调用后,内核会建立2个队列,一个是syn队列,表示接受的请求但还未完成3次握手的连接,一个是accept队列,表示完成3次握手的队列。 2.accept(int fd,struct addr,socklen_t *len).会从accept
TCP 半连接队列全连接队列了会发生什么?又该如何应对?
qq_23350817的博客
06-16 1699
网络
TCP套接口的最大SYN队列长度
redwingz的博客
02-19 2053
通过PROC文件查看队列长度,可见对于4G内存的系统,tcp_max_syn_backlog的值为128;对于8G内存的系统,其值为256。 # cat /proc/sys/net/ipv4/tcp_max_syn_backlog 128 # / # cat /proc/sys/net/ipv4/tcp_max_syn_backlog 256 PROC文件tcp_max_syn_back...
你知道跟 TCP三次握手息息相关的半连接队列全连接队列吗?
小林coding
05-30 4472
前言 网上许多博客针对增大 TCP 半连接队列全连接队列的方式如下: 增大 TCP 半连接队列的方式是增大 /proc/sys/net/ipv4/tcp_max_syn_backlog; 增大 TCP 全连接队列的方式是增大 listen() 函数中的 backlog; 这里先跟大家说下,上面的方式都是不准确的。 “你怎么知道不准确?” 很简单呀,因为我做了实验看了 TCP 协议栈的内核源码,发现要增大这两个队列长度,不是简简单单增大某一个参数就可以的。 接下来,就会以实战 + 源码分析,带大家
网络丢包时延怎么办
最新发布
07-04
<think>我们正在排查网络丢包延迟问题。根据用户需求,我们需要结合之前的DHCP故障排查经验,但重点转向丢包延迟。引用[1][2]提到了网络丢包是常见故障,可能由多种因素引起,包括网络拥塞、硬件故障、配置错误等。我们将从基础到深入逐步排查。排查思路:1.确定问题范围模式:是持续丢包还是间歇性?是特定目标还是普遍?延迟是否伴随丢包?2.分层排查:物理层、数据链路层、网络层、传输层等。3.使用工具:ping,traceroute, mtr,netstat, iperf,Wireshark等。具体步骤:###一、问题定位与基础测试1. **确定故障范围**-测试不同目标:```bashping -c1008.8.8.8#测试公网地址ping -c100192.168.1.1 #测试网关ping-c100同网段其他主机 #测试局域网内```-结果分析:-如果仅公网丢包,问题可能出在出口或ISP链路-如果仅网关丢包,问题可能在本地网络或网关设备-如果局域网内就丢包,问题可能在物理层或二层2. **持续监控工具**-使用`mtr`(结合tracerouteping):```bashmtr-r-c1008.8.8.8#生成100个包的报告,显示每一跳的丢包率延迟```-关键指标:-最后一跳丢包率>1%即异常[^1]-中间跳出现丢包但最后一跳不丢包,可能是设备配置丢弃探测包(正常)###二、物理层与数据链路层排查1. **物理连接检查**-网线/光纤:更换线缆测试,检查接口氧化-网卡状态:```bashethtooleth0#Linux查看网卡状态(关注Speed,Duplex, Errors)netstat -i#查看接口错误计数(I-Err, O-Err)```-错误类型分析:-`CRC errors`:物理层干扰或线缆问题-`collisions`:半双工冲突(现代网络少见)-`overruns`:系统处理能力不足2.**二层环路与广播风暴**-检查交换机端口状态:```bashshow interfaces|include errors|broadcast#查看错误包广播包```-广播风暴特征:-端口广播包>10,000pps(每秒包数)- CPU利用率突增-防护措施:-启用STP(生成树协议)-配置广播风暴控制:```bashinterface GigabitEthernet0/1storm-control broadcastlevel10#限制广播流量为10%```###三、网络层与路由分析1.**路由路径验证**-使用`traceroute`:```bashtraceroute-n8.8.8.8#不解析域名,显示路径```-异常情况:-路由循环(同一IP重复出现)-路径不对称(去程回程路径不一致)2. **MTU不匹配**-症状:大包丢包,小包正常-测试方法:```bashping -s1472-Mdo8.8.8.8# Linux(1472+28=1500)ping -l1472-f8.8.8.8#Windows```-如果1472成功,1500失败,则存在MTU问题-解决方案:调整MTU或启用分片(避免路径MTU黑洞)###四、传输层与拥塞控制1. **TCP重传分析**-使用Wireshark过滤:```bashtcp.analysis.retransmission#显示重传包```-重传率>1%即需关注[^2]-常见原因:-网络拥塞(Bufferbloat)-不稳定的无线连接2.**带宽拥塞检测**-使用`iperf3`测试带宽:```bash#服务端iperf3 -s#客户端iperf3-cserver_ip -t30 -P10#10个并行流测试30秒```-观察抖动(Jitter)丢包:-丢包集中在高带宽时→带宽不足-持续高抖动→线路质量差###五、设备性能与配置1. **设备资源瓶颈**-检查路由器/交换机CPU/内存:```bashshowprocesses cpusorted#查看CPU占用最高的进程showmemory statistics```-关键阈值:-CPU持续>70%-内存使用率>80%2. **QoS策略冲突**-检查策略路由:```bashshowpolicy-mapinterface#查看QoS策略应用```-典型错误:-限速策略过严-优先级队列配置错误###六、高级诊断工具1.**主动探测工具**-`smokeping`:长期监控延迟丢包- `netperf`:专业级网络性能测试2. **数据中心网络**-使用`perfSONAR`:跨域性能监测-光纤质量检测:OTDR测试仪(光衰减超标)###故障解决流程图```mermaidgraph TDA[发现丢包/高延迟]--> B{定位范围}B-->|单点问题| C[检查物理链路/网卡]B-->|局部网络| D[测试二层环路/广播风暴]B-->|全网问题| E[检查核心设备状态]C -->F{是否解决?}D -->FE--> FF -->|否| G[分段抓包分析]G -->H[检查TCP重传/MTU]H--> I{是否解决?}I -->|否| J[排查QoS/设备性能] ```###典型解决方案1. **物理层错误修复**:-更换损坏网线-调整网卡双工模式:```bashethtool-seth0speed1000duplex fullautonegoff#强制千兆全双工```2.**路由优化**:-调整OSPF/BGP成本值-启用ECMP(等价多路径)3. **拥塞控制**:-部署流量整形:```bash#LinuxTC示例tcqdiscadd deveth0root tbf rate100mbitburst1mbitlatency50ms```4.**MTU问题**:-在路由器上启用`ip tcp adjust-mss`-或手动设置客户端MTU:```bashifconfig eth0 mtu1400#Linuxnetshinterface ipv4set subinterface “Ethernet” mtu=1400# Windows``` ---###相关问题1.如何通过Wireshark分析TCP重传的具体原因?2.在无线网络中,如何区分信号干扰带宽不足导致的丢包?3.如何利用BGP监控工具诊断跨国链路的延迟问题?4.数据中心RDMA网络中丢包对性能的影响有何特殊性?5.网络拥塞控制算法(如BBR)如何改善高延迟链路的表现?</think>### 网络丢包延迟问题排查与解决指南 #### **一、问题定位与基础测试** 1. **确定故障范围** - 测试不同目标地址: ```bash ping -c 100 8.8.8.8 # 测试公网地址 ping -c 100 192.168.1.1 # 测试网关 ping -c 100 同网段其他主机 # 测试局域网内通信 ``` - 关键指标分析: - 公网丢包→ISP链路或出口设备问题 - 网关丢包→本地网络问题 - 局域网丢包→物理层或二层故障 2. **持续监控工具** - 使用`mtr`(综合traceroute+ping): ```bash mtr -r -c 100 8.8.8.8 # 生成100个包的路径报告 ``` - 诊断要点: - 最后一跳丢包率>1%即异常[^1] - 中间节点丢包但目的节点正常→路径设备问题 #### **二、物理层与数据链路层排查** 1. **物理连接检测** - 网卡状态检查: ```bash ethtool eth0 # Linux(关注Speed/Duplex/Errors) Get-NetAdapterStatistics # Windows PowerShell ``` - 错误计数器分析: - `CRC errors`:线缆干扰或接口氧化 - `collisions`:半双工冲突(现代网络少见) - `overruns`:系统处理能力不足 2. **二层环路与广播风暴** - 交换机诊断: ```bash show interfaces | include errors|broadcast # 查看错误包广播包 ``` - 风暴特征: - 端口广播包>10,000 pps - CPU利用率>90%且波动剧烈 - 解决方案: ```bash # 启用广播风暴控制 interface GigabitEthernet0/1 storm-control broadcast level 10 # 限制广播流量为10% ``` #### **三、网络层与路由分析** 1. **路径验证** - 路由追踪: ```bash traceroute -n 8.8.8.8 # 禁用DNS解析 ``` - 异常场景: - 路由循环→路由协议故障 - 非对称路径→策略路由配置错误 2. **MTU不匹配检测** - 测试方法: ```bash ping -s 1472 -M do 8.8.8.8 # Linux(1472+28=1500) ping -l 1472 -f 8.8.8.8 # Windows ``` - 症状:小包通,大包不通→MTU黑洞 - 解决: ```bash ifconfig eth0 mtu 1400 # 临时调整MTU ``` #### **四、传输层与拥塞控制** 1. **TCP性能分析** - Wireshark关键过滤: ```bash tcp.analysis.retransmission # 重传包 tcp.analysis.zero_window # 接收端拥塞 ``` - 重传率>1%需重点排查[^2] 2. **带宽拥塞测试** - iperf3压力测试: ```bash # 服务端 iperf3 -s # 客户端 iperf3 -c server_ip -t 30 -P 10 # 10个并行流 ``` - 判定标准: - 丢包伴随高抖动→线路质量差 - 丢包仅在高带宽时出现→带宽不足 #### **五、设备性能与配置** 1. **资源瓶颈检查** - 路由器/交换机诊断: ```bash show processes cpu sorted # CPU占用排序 show memory statistics # 内存分析 ``` - 危险阈值: - CPU持续>70% - 内存使用>80% 2. **QoS策略冲突** - 检测配置: ```bash show policy-map interface # 查看QoS应用 ``` - 典型错误: - 限速策略过严导致丢包 - 优先级队列配置错误 #### **六、高级诊断工具** | **工具** | **应用场景** | **关键命令/操作** | |----------------|----------------------------------|-----------------------------------| | **smokeping** | 长期延迟波动监控 | 配置多目标持续探测 | | **netperf** | 专业级TCP/UDP性能测试 | `netperf -H target -t TCP_STREAM` | | **perfSONAR** | 跨域网络性能分析(科研网常用) | 部署测量节点进行端到端测试 | | **OTDR测试仪** | 光纤质量检测(衰减>0.2dB/km异常)| 物理层故障定位 | ### 故障解决流程图 ```mermaid graph TD A[发现丢包/高延迟] --> B{定位范围} B -->|单点问题| C[检查物理链路/网卡] B -->|局部网络| D[测试二层环路/广播风暴] B -->|全网问题| E[检查核心设备状态] C --> F{是否解决?} D --> F E --> F F -->|否| G[分段抓包分析] G --> H[检查TCP重传/MTU] H --> I{是否解决?} I -->|否| J[排查QoS/设备性能] ``` ### 典型解决方案 1. **物理层故障**: ```bash # 更换损坏网线后测试 ethtool -s eth0 speed 1000 duplex full autoneg off # 强制千兆全双工 ``` 2. **路由优化**: ```bash # 调整OSPF成本值 router ospf 1 auto-cost reference-bandwidth 10000 # 万兆参考带宽 ``` 3. **拥塞控制**: ```bash # Linux流量整形 tc qdisc add dev eth0 root tbf rate 100mbit burst 1mbit latency 50ms ``` --- ### 相关问题 1. 如何通过Wireshark区分TCP重传与网络拥塞导致的丢包? 2. 在无线网络中如何精准定位信号干扰导致的延迟波动? 3. 如何利用BGP监控工具诊断跨国链路的丢包问题? 4. 数据中心RDMA网络中丢包对性能的影响有何特殊性? 5. 网络拥塞控制算法(如BBR)如何优化高延迟链路?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值