TCP全连接队列和半连接队列已满之后的连接建立过程抓包分析

最新推荐文章于 2025-10-29 15:52:46 发布
原创 最新推荐文章于 2025-10-29 15:52:46 发布 · 3.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #tcp #socket

本文详细分析了Linux内核中TCP连接的全连接队列和半连接队列在满载情况下的处理流程。当全连接队列已满,新的连接请求会被服务端接纳但不转为ESTABLISHED状态,而半连接队列满时,服务端会丢弃新的SYN分节。通过抓包实例展示了连接建立过程,并探讨了队列长度设置对连接处理的影响。

另外,0端口是系统的保留端口号,若bind时用了0端口,则表示由系统分配一个端口,该端口介于1024和5000之间。


在进行client不断的对server端进行connect的过程中发现下面这个syn_recv状态,而且循环6w次的链接只进行了2W多次就出错了。


于是去查找了下原因:

Linux内核协议栈为一个tcp连接管理使用两个队列,一个是半链接队列(用来保存处于SYN_SENT和SYN_RECV状态的请求),一个是全连接队列(accpetd队列)(用来保存处于established状态,但是应用层没有调用accept取走的请求)。
也就是说,client进行connect之后先进入server的半连接队列,client就直接进入established状态,如果server的全连接队列(accept队列)未满,则将其放入全连接队列(未被应用层进行accpet函数调用取走),然后server也进入established状态。如果全连接队列满了,则server停留在syn_recv状态。

其中全连接队列somaxconn的参数为1表示监听队列的总长度(实际可以完成somaxconn+1个连接的建立)

半连接队列tcp_max_syn_backlog为1(实际可以将tcp_max_syn_backlog+1个syn分节放入其中)

但是在应用层有 int listen(int sockfd, int backlog);。。。然后实际的全连接队列的长度限制是min(backlog, somaxconn);

默认的话半连接队列的长度是/proc/sys/net/ipv4/tcp_max_syn_backlog,默认是1024。如果开启了syncookies,那么基本上没有限制。

全连接队列的长度是/proc/sys/net/core/somaxconn,默认是128,表示最多有129个established链接等待accept。(为什么是129?详见下面的附录1)。


当全连接队列已满且半连接队列未满的情况下:

当客户端发起一个syn分节时,服务端不会丢弃该syn分节,而是直接响应ack和syn,这时客户端响应ack,并成为established状态,而服务端收到ack响应后,试图将该syn分节从半连接队列中移除,并加入全链接队列,然后由于全连接队列已经满了,这时,在默认情况下,服务端啥也不做,而且不会将该连接由SYN_RECV变成ESTABLISHED,服务端仅仅只是创建一个定时器,以固定间隔重传syn和ack到客户端,直到到达系统默认的synack重传阖值,然后服务端将处于半连接队列里面的syn分节丢弃。

当全连接已满且半连接队列也满的情况下:

当客户端发起一个syn分节时,服务端发现半连接队列已经满了,同时该syn分节尚未重传过,服务端直接丢弃该syn分节,然后客户端过了4秒重传syn分节,这个时候服务端发现半连接队列已满同时,该syn分节已经重传过了,服务端收下了该syn分节,并响应客户端syn+ack,客户端收到syn+ack后,响应ack。客户端三次握手已经完成,而服务端收到ack之后,发现全连接队列是满的,这个时候不会将该连接从SYN_RECV转换成ESTABLISHED,服务端创建定时器,定时重传syn+ack, 直到到达系统默认的synack重传阖值,然后服务端将处于半连接队列里面的syn分节丢弃



实际队列中的数量比max的数值大1,标号从0开始,直到max数值也能使用:


实际队列中的数量比max的数值大1,标号从0开始,直到max数值也能使用:


附录1

when I use linux TCP socket, and find there is a bug in function sk_acceptq_is_full()

When a new SYN comes, T

最低0.47元/天 解锁文章
TCP全连接队列tcpdump 抓包
2301_77509762的博客
10-25 1183
TCP 全 连 接 队 列 与 tcpdump 抓包
【计网】理解TCP全连接队列tcpdump抓包
叫我龙翔的博客
10-22 7057
本文讲解了TCP全连接队列,加深了对套接字socket的理解,从内核的角度认识了套接字的本质!同时使用tcpdump验证四次挥手三次握手!
性能分析之压测中 TCP 全连接队列问题分析及优化案例
Mo小泽的技术博客
06-13 2923
文章目录一、前言二、知识预备三、压测及分析过程1、第一次压测2、调大 backlog 值为 5000 后,再次压测3、调整日志级别为 ERROR,再次压测四、小结 一、前言 在对一个挡板系统进行测试时,遇到一个由于 TCP 全连接队列被占而影响系统性能的问题,这里记录下如何进行分析及解决的。 二、知识预备 理解下 TCP 建立连接过程队列: 从图中明显可以看出建立 TCP 连接的时候,有两个队列:syns queue(半连接队列accept queue(全连接队列),分别在第一次握手第三次握手。
五分钟带你读懂 TCP全连接队列(图文并茂)
架构技术专栏
07-08 1663
一、问题 今天有个小伙伴跑过来告诉我有个奇怪的问题需要协助下,问题确实也很奇怪。客户端调用RT比较高并伴随着间歇性异常Connection reset出现,而服务端CPU 、线程栈等看起来貌似都很正常,而且服务端的RT很短。 这里先说下结果: 因为TCP全连接队列太小导致的连接被丢弃,因为项目使用Spring Boot 内置的Tomcat,而默认accept-count是100,而这个参数在这里就代表了全连接队列大小。所以在请求波峰的时候全连接队列被打导致有连接丢弃。所以我们调整server.tomcat
TCP 连接异常断开的原因与处理:半连接、FIN_WAIT 状态解析
最新发布
2501_93893220的博客
10-29 1037
TCP连接异常断开主要源于网络问题、系统故障或应用缺陷,半连接FIN_WAIT状态是常见表现。通过理解状态机制、调整系统参数优化应用代码,可以有效预防处理这些问题。建议结合网络监控代码审查,确保连接可靠性。如果您有具体场景,可提供更多细节以深入分析
TCP全连接问题
xiaoyi52的专栏
03-22 6058
在实际工作中经常碰到一种情况,流量上涨的时候,服务端会出现大量的超时。此时的处理办法一般是扩容。 实际上就算没有流量上涨,当某个接口速度变慢时,调用该接口的服务也会出现超时。 不管是流量上涨(qps增加)还是接口变慢,导致超时的直接原因都是系统吞吐量不足(系统吞吐量 = qps / 响应时间)。 当系统吞吐量不足时,大量请求就会在接口上堆积得不到及时的处理,表现出来就是连接超时或接口超时。 TCP半连接队列全连接队列 创建tcp连接时需要三次握手。 首先客户端向服务端发送一个连接请求,包含一个SYN包
服务器tcp连接_服务器出现大量TIME_WAIT解决方案
weixin_39938855的博客
12-08 4933
一 、故障原因: 服务器突然出现大量time_wait(因为大量连接资源被占用后不释放的话,会导致网站正常访问不能响应)。如何应对?我这边先检查了监控服务器当前的状态(time_wait连接确实异常):1、监控2、登录服务器检查二、排查思路:1、猜测是否因为程序打开大量文件句柄,没有关闭导致。(问了研发同事,排查过后没有这种情况)2、调大当前文件句柄 3、调优sysctl.conf文件4、检查n...
tcp全连接队列半连接队列时,客户端再connect发生的情况
tusong86的博客
04-09 1510
为何ESTABLISHED的数量是3,不是2,即刚好比全连接队列长度大1,这里本人给出自己的看法,即在最后一个连接(即第3个)建立后,再往accept队列塞的时候,发现队列已经了,所以就不塞了,但是连接已经建立好了。所以数目是队列长度+1。为模拟这种情况,可以先将服务端的accept函数注释掉,这样accept queue中的连接无法被消费,从而很快就了,而且为了快速达到效果,本人在sysctl.conf中,设置net.core.somaxconn=2,即全连接队列长度为2.
tcp全连接连接问题查询步骤
02-01
TCP 的三次握手过程中,有两个队列:syns queue(半连接队列 accept queue(全连接队列)。半连接队列用于存储客户端的 SYN 请求,服务器收到 SYN 请求后,将其放入半连接队列中,并回复 SYN+ACK 给客户端。...
【动手实验】TCP半连接队列全连接队列实战分析
艾希射日
03-01 1373
SYN Queue 半连接队列Accept Queue 全连接队列客户端向服务端发送 SYN 包,客户端进入 SYN_SENT 状态服务端收到 SYN 包后,进入 SYN_RECV 状态,内核将连接信息放入 SYN Queue 队列,然后向客户端发送 SYN+ACK 包客户端收到 SYN+ACK 包后,发送 ACK 包,客户端进入 ESTABLISHED 状态。
TCP三次握手如果SYN半连接队列,只能丢弃吗
m0_74193276的博客
04-05 480
当设置为 1 时,如果 accept 队列,客户端会收到 “connection reset by peer” 的错误信息,说明是 服务器的 TCP 全连接队列溢出 导致连接失败。一般来说,建议将其设置为 0,除非你确信服务器的 TCP 全连接队列会长期溢出,才能设置为 1 来尽快通知客户端。tcpaborton_overflow=1:发送 RST,立即通知客户端连接失败,用于应对长期连接失败的场景。1:如果 accept 队列,服务器会发送一个 RST 包给客户端,表示连接建立失败。
TCP 请求太多,造成无法创建连接处理方法
qq_36247791的博客
02-18 1062
2进入 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters。新建 DWORD 类型的注册表项,命名为:TCPTimedWaitDelay。新建 DWORD 类型的注册表项,命名为:MaxUserPort。值数据(双击MaxUserPort提示输入值): 65534(用。(TIME_WAIT的自动断开时间,默认为4分钟);的格式录入进去,此值的有效范围为5000-//cmd 命令查看请求。//cmd 统计数量。
TCP 半连接队列全连接队列了,怎么破?
优快云资讯
06-05 3621
作者 | 小林coding来源 | 小林coding责编 | 王晓曼前言网上许多博客针对增大 TCP 半连接队列全连接队列的方式如下:增大 TCP 半连接队列方式是增大 tcp_max...
TCP 半连接队列全连接队列
HappyMrSpring
01-11 2798
本篇文章介绍了TCP建连流程中,半连接队列全连接队列的区别。   1. 简单的 TCP 建连流程 先来张图,如下:   1)client 端使用 connect() 向 server 端发起连接请求(发送 syn 包),此时 client 端的 TCP 的状态为 SYN_SENT。 2)server 端在收到 SYN 包后,将 TCP 相关信息放到 syn queue(半连接队列...
【网络】【LinuxLinux内核中连接的组织形式与全连接队列
℉f的博客
08-16 3535
分析linux内核源码,理解套接字系统级原理,套接字在linux内核中的组织形式,与文件的关系,以及Tcp全连接队列
深入解析常见三次握手异常
zhangyanfei01的专栏
08-09 713
大家好,我是飞哥!在后端接口性能指标中一类重要的指标就是接口耗时。具体包括平均响应时间 TP90、TP99 耗时值等。这些值越低越好,一般来说是几毫秒,或者是几十毫秒。如果响应时间一旦过长...
TCP半连接队列要是了会怎么样?
ThinPikachu的博客
10-05 1166
一般是丢弃,但这个行为可以通过tcp_syncookies参数去控制。但比起这个,更重要的是先了解下半连接队列为什么会被打。 首先我们需要明白,一般情况下,半连接的"生存"时间其实很短,只有在第一次第三次握手间,如果半连接了,说明服务端疯狂收到第一次握手请求,如果是线上游戏应用,能有这么多请求进来,那说明你可能要富了。但现实往往比较骨感,你可能遇到了SYN Flood攻击。 所谓SYN Flood攻击,可以简单理解为,攻击方模拟客户端疯狂发第一次握手请求过来,在服务端憨憨地回复第二次握手过去..
如何区分 TCP 半连接队列应用层连接队列
06-11
<think>我们正在区分TCP半连接队列应用层连接队列。根据引用[1][2],半连接队列存储的是SYN请求(尚未完成三次握手),而全连接队列(即应用层连接队列)存储的是已完成三次握手的连接,等待应用层accept。区分方法如下:1.半连接队列的表现:-服务端无法响应SYN包,导致客户端收不到SYN+ACK,客户端会重传SYN包。-通过`netstat-s`命令可以查看半连接队列溢出的统计信息,例如在Linux下:```netstat-s|grep-i"SYNstoLISTEN"```如果输出中有非零的`SYNstoLISTENsocketsdropped`,说明半连接队列[^2]。2.应用层连接队列全连接队列的表现:-服务端可以完成三次握手,但应用层没有及时accept,导致连接堆积在全连接队列。-当全连接队列时,新的已完成三次握手的连接会被丢弃。此时,客户端发送的ACK会被服务端正常接收,但服务端会丢弃该连接(如果全连接队列)。-同样可以用`netstat-s`查看全连接队列溢出:```netstat-s|grep-i"timesthelistenqueueofasocketoverflowed"```或者```netstat-s|grep"overflowed"```如果有非零的计数,说明全连接队列曾经过。3.抓包分析:-半连接队列时,服务端不会回复SYN+ACK(客户端发送SYN后没有响应)。-全连接队列时,服务端会回复SYN+ACK,并完成三次握手,但在完成握手后,如果队列,服务端可能会直接丢弃该连接(客户端会认为连接建立,但服务端不会处理,因此客户端发送数据后可能会收到RST)。4.客户端表现:-半连接队列:客户端连接超时,重传SYN包(典型表现为连接时间较长,最终失败)。-全连接队列:客户端连接很快建立(因为完成了三次握手),但当客户端发送数据时,可能会收到RST(连接重置)或者服务端无响应(取决于具体实现)。5.服务端监控:-半连接队列长度:通过`ss-lnt`可以查看Send-Q(全连接队列最大长度Recv-Q(当前全连接队列长度)。但半连接队列长度需要从内核统计信息中获取(如`/proc/net/netstat`中的`ListenOverflows``ListenDrops`)。-全连接队列:使用`ss-lnt`可以查看每个监听端口的Recv-Q(当前全连接队列中的连接数)Send-Q(全连接队列的最大长度)。总结:-半连接队列:服务端不响应SYN,客户端SYN重传。-全连接队列:服务端完成三次握手,但连接被丢弃,客户端在发送数据时可能遇到错误。因此,通过查看`netstat-s`中的丢弃统计、抓包观察握手过程以及客户端的表现,可以区分是半连接队列还是全连接队列。</think> ### 如何区分 TCP 半连接队列应用层连接队列 #### 1. 监控队列溢出指标 | **队列类型** | **监控命令** | **关键指标** | **溢出表现** | |------------|-------------|-------------|-------------| | **TCP半连接队列** | `netstat -s \| grep -i "SYNs to LISTEN"` | `SYNs to LISTEN sockets dropped` > 0<br> `TCPListenOverflows` 增加[^1] | 客户端SYN重传增加<br>服务端无SYN+ACK响应 | | **应用层连接队列** | `ss -lnt \| grep <端口>` | `Recv-Q` = `Send-Q` 持续状态<br> `times the listen queue overflowed` > 0 | 连接建立后无响应<br>应用日志显示"accept queue full" | #### 2. 队列建立时机差异(图示) ```mermaid sequenceDiagram participant C as Client participant S as Server C->>S: SYN (seq=x) Note right of S: SYN进入半连接队列 S->>C: SYN+ACK (seq=y, ack=x+1) C->>S: ACK (ack=y+1) Note right of S: 连接移入应用层队列 S->>应用进程: accept()调用 Note right of S: 应用层取出连接 ``` #### 3. 队列的根本原因 - **半连接队列** $Queue_{syn} = min(backlog, net.core.somaxconn, tcp\_max\_syn\_backlog)$[^2] 典型触发场景: - SYN洪水攻击 - `tcp_max_syn_backlog`设置过低 - 大量并发连接请求(如系统启动瞬间) - **应用层队列** $Queue_{accept} = min(backlog, net.core.somaxconn)$ 典型触发场景: - 应用未及时调用accept() - 工作线程阻塞(死锁/资源不足) - `backlog`参数配置过小 #### 4. 诊断流程 ```mermaid graph TD A[连接超时/失败] --> B{查看 netstat -s} B -- SYN dropped >0 --> C[半连接队列] B -- overflowed >0 --> D[应用层队列] C --> E[检查 tcp_max_syn_backlog] C --> F[启用 tcp_syncookies] D --> G[检查应用 accept 效率] D --> H[增加 backlog 值] E --> I[调整值 > 预期并发数*1.5] G --> J[使用 strace 跟踪系统调用] J -- accept阻塞 --> K[优化线程池/修复死锁] ``` #### 5. 实际案例验证方法 1. **强制半连接队列溢出** ```bash # 临时减小队列触发溢出 sysctl -w net.ipv4.tcp_max_syn_backlog=10 hping3 -S -p 80 --flood 目标IP ``` 观测:`netstat -s`显示SYN dropped增加 2. **模拟应用层队列** ```python # Python模拟阻塞accept import socket s = socket.socket() s.bind(('0.0.0.0', 8080)) s.listen(1) # 设置极小backlog while True: time.sleep(1000) # 模拟不调用accept ``` 观测:`ss -lnt`显示Recv-Q=Send-Q持续相等 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值