tcp_tw_recycle和tcp_timestamps导致connect失败问题

最新推荐文章于 2025-07-20 03:05:28 发布
转载 最新推荐文章于 2025-07-20 03:05:28 发布 · 531 阅读 · 0
文章标签:

#recycle #timestamps #sysctl #tcp握手失败

本文分析了线上出现的connect失败问题,发现与proc参数tcp_tw_recycle/tcp_timestamps相关。通过对Linux内核源码的深入研究,明确了问题原因,并提出了关闭tcp_tw_recycle的解决方案。

近来线上陆续出现了一些connect失败的问题,经过分析试验,最终确认和proc参数tcp_tw_recycle/tcp_timestamps相关;

1. 现象

第一个现象:

模块A通过NAT网关访问服务S成功,而模块B通过NAT网关访问服务S经常性出现connect失败,抓包发现:服务S端已经收到了syn包,但没有回复synack;另外,模块A关闭了tcp timestamp,而模块B开启了tcp timestamp;

第二个现象:

不同主机上的模块C(开启timestamp),通过NAT网关(1个出口ip)访问同一服务S,主机C1 connect成功,而主机C2 connect失败;

2. 分析

根据现象上述问题明显和tcp timestmap有关;查看linux 2.6.32内核源码,发现tcp_tw_recycle/tcp_timestamps都开启的条件下,60s内同一源ip主机的socket connect请求中的timestamp必须是递增的。
源码函数:tcp_v4_conn_request(),该函数是tcp层三次握手syn包的处理函数(服务端);
源码片段: 

if (tmp_opt.saw_tstamp &&
        tcp_death_row.sysctl_tw_recycle &&
        (dst = inet_csk_route_req(sk, req)) != NULL &&
        (peer = rt_get_peer((struct rtable *)dst)) != NULL &&
        peer->v4daddr == saddr) {
        if (get_seconds() < peer->tcp_ts_stamp + TCP_PAWS_MSL &&
            (s32)(peer->tcp_ts - req->ts_recent) >
                        TCP_PAWS_WINDOW) {
            NET_INC_STATS_BH(sock_net(sk), LINUX_MIB_PAWSPASSIVEREJECTED);
            goto drop_and_release;
        }
    }
    tmp_opt.saw_tstamp:该socket支持tcp_timestamp
    sysctl_tw_recycle:本机系统开启tcp_tw_recycle选项
    TCP_PAWS_MSL:60s,该条件判断表示该源ip的上次tcp通讯发生在60s内
    TCP_PAWS_WINDOW:1,该条件判断表示该源ip的上次tcp通讯的timestamp 大于 本次tcp

分析:主机client1和client2通过NAT网关(1个ip地址)访问serverN,由于timestamp时间为系统启动到当前的时间,因此,client1和client2的timestamp不相同;根据上述syn包处理源码,在tcp_tw_recycle和tcp_timestamps同时开启的条件下,timestamp大的主机访问serverN成功,而timestmap小的主机访问失败;

参数:

  • /proc/sys/net/ipv4/tcp_timestamps - 控制timestamp选项开启/关闭
  • /proc/sys/net/ipv4/tcp_tw_recycle - 减少timewait socket释放的超时时间

3. 解决方法

echo 0 > /proc/sys/net/ipv4/tcp_tw_recycle;

tcp_tw_recycle默认是关闭的,有不少服务器,为了提高性能,开启了该选项;
为了解决上述问题,个人建议关闭tcp_tw_recycle选项,而不是timestamp;因为 在tcp timestamp关闭的条件下,开启tcp_tw_recycle是不起作用的;而tcp timestamp可以独立开启并起作用。

源码函数: tcp_time_wait()
源码片段:

if (tcp_death_row.sysctl_tw_recycle && tp->rx_opt.ts_recent_stamp)
    recycle_ok = icsk->icsk_af_ops->remember_stamp(sk);
......

if (timeo < rto)
    timeo = rto;

if (recycle_ok) {
    tw->tw_timeout = rto;
} else {
    tw->tw_timeout = TCP_TIMEWAIT_LEN;
    if (state == TCP_TIME_WAIT)
        timeo = TCP_TIMEWAIT_LEN;
}

inet_twsk_schedule(tw, &tcp_death_row, timeo,
           TCP_TIMEWAIT_LEN);

timestamp和tw_recycle同时开启的条件下,timewait状态socket释放的超时时间和rto相关;否则,超时时间为TCP_TIMEWAIT_LEN,即60s;

内核说明文档 对该参数的介绍如下:
tcp_tw_recycle - BOOLEAN
Enable fast recycling TIME-WAIT sockets. Default value is 0.
It should not be changed without advice/request of technical
experts.

转载地址:http://blog.sina.com.cn/s/blog_781b0c850100znjd.html

网络优化之net.ipv4.tcp_tw_recycletcp_tw_reuse参数
weixin_30764771的博客
05-10 1万+
linux TIME_WAIT 相关参数: net.ipv4.tcp_tw_reuse = 0 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭 net.ipv4.tcp_tw_recycle = 0 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭 net.ipv4.tcp_fi...
深入TCP协议——tcp_tw_reusetcp_tw_recycle
qq_25046827的博客
07-20 7098
我们已经知道TCP四次挥手中,主动方在收到被动方的FIN数据包之后会进入TIME_WAIT状态等待2MSL的时间后才进入CLOSED。在 Linux 操作系统下,TIME_WAIT 状态的持续时间是 60 秒,这意味着这 60 秒内,客户端一直会占用着这个端口,这是有一定的开销的。如果如果主动关闭连接方的 TIME_WAIT 状态过多,占满了所有端口资源,则会导致无法创建新连接。
tcp_tw_recycle+tcp_timestamp+NAT问题
貓的博客
10-12 4945
在排查一个超时问题的时候,又再一次遇到了 tcp_tw_recycle 在遇到 NAT 的场景下,可能导致丢包的问题, 掉进同一个坑两次,因此做一次记录;特别是手抽改过系统tcp参数的应用,需要注意   现象 不同主机C1,C2上的相同模块(开启timestamp),通过NAT网关(1个出口ip)访问同一服务S,主机C1 connect成功,而主机C2 connect失败   故障模型 ...
tcp_tw_reuse 为什么默认是关闭的?
smart_an的专栏
05-23 1100
TCP 四次挥手过程,如下图:图片客户端打算关闭连接,此时会发送一个 TCP 首部FIN标志位被置为1的报文,也即FIN报文,之后客户端进入FIN_WAIT_1状态。服务端收到该报文后,就向客户端发送ACK应答报文,接着服务端进入状态。客户端收到服务端的ACK应答报文后,之后进入FIN_WAIT_2状态。等待服务端处理完数据后,也向客户端发送FIN报文,之后服务端进入LAST_ACK状态。客户端收到服务端的FIN报文后,回一个ACK应答报文,之后进入TIME_WAIT状态服务器收到了。
浅谈tcp协议与tcp_tw
果子哥丶的博客
01-02 6364
既然打开 net.ipv4.tcp_tw_reuse 参数可以快速复用处于 TIME_WAIT 状态的 TCP 连接,那为什么 Linux 内核默认是关闭状态呢? tcp_tw_reuse 的作用是让客户端很快的复用 time_wait 的端口,相当于跳过了这个状态,所以默认关闭 【如果 TIME_WAIT 状态持续时间过短或者没有,会有什么问题?】 因为开启 tcp_tw_reuse 参数可以快速复用处于 TIME_WAIT 状态的 TCP 连接时,相当于缩短了 TIME_WAIT 状态的持续时间。 使用
解决阿里云服务器偶尔连接不上的问题(由tcp_tw_recycle参数引发的)
weixin_43192403的博客
03-14 2371
解决阿里云服务器偶尔连接不上的问题(由tcp_tw_recycle参数引发的) 阿里云服务器偶尔连接不上的问题在公司办公室中,出现了公司内网偶尔会出现连接不上服务器的问题,但是切换其他的网络就可以正常连接。 一、问题描述 在公司办公室内的所有小伙伴几乎都出现过连接线上环境包括(测试线上环境,后端开发连接线上数据库,前端开发连接线上后端,访问公司所有中间件jenkins、gitlab、graylog服务延迟严重!延迟严重影响开发效率) 一开始初步怀疑是否是阿里云服务器购买带宽过低导致,后升级带宽无法解决该
不要在linux上启用net.ipv4.tcp_tw_recycle参数
zhaixing
10-21 2374
最近发现一个奇怪的问题,一台服务器上部署的网站,用外网访问是正常的,但是使用公司内网访问就访问不上,不仅网站访问不上,连服务器有时候都连接不上。 原因是在内核优化时启用了net.ipv4.tcp_tw_recycle参数 这个参数是默认关闭的,之所以打开是由于这个参数开启后,可以使TCP连接中TIME-WAIT sockets的快速回收,但是在NAT网络下,导致大量的TCP连接建立错误、 所以在公司内部有时候能访问,有时候访问不上 1.先确定参数 依次执行如下命令,查看当前内核配置,确认该参数值为“1”。
TCP参数tcp_tw_recycle调整
weixin_33709364的博客
09-15 1088
最近一直在开发移动端的接口,在内部测试的时候发现这么个奇怪现象: 现象: 一部Android手机访问服务器响应没什么问题,当使用两部Android手机同时访问的时候会出现有一部手机访问不了接口的现象。 解决思路: 遇到这种问题首先想到的是使用linux命令查看下TCP连接数量,netstat -n|grep 8888发现每当两部手机同时打开APP时...
修改目录proc下的tcp_tw_recycle报“只读文件系统”
一见
01-13 765
试图修改tcp_tw_recycle的值时,遇到错误: # echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle -bash: /proc/sys/net/ipv4/tcp_tw_recycle: 只读文件系统 该错误的原因是因为以只读(ro)方式mount了tcp_tw_recycle所在目录,比如因为目录“/pro...
NAT网络下TCP连接建立时可能SYN包被服务器忽略-tcp_tw_recycle
为梦想奋斗
05-09 1906
现象:有某种上网方式的用户经常不能连接到服务器。简单来说,tcp_tw_recycle 机制允许协议不需要真的等待2个最大段生存时间MSL 那么长,就可以关闭一个连接了,只需要等待2个数据包来回时间,这个相对很短,所以TIME_WAIT状态的连接就可以及时回收了,免得占用系统资源。但2*MSL改为了2*RTT, 那么问题很明显,可能出现数据包错乱,比如被动关闭一方的FIN迟迟没有到来,服务器这边会
Linux 网络调优指南:废弃的 tcp_tw_recycle 与安全替代方案
最新发布
数字人生
07-20 440
摘要:Linux 4.12+内核已移除tcp_tw_recycle参数,Debian10默认使用4.19内核因此报错。该参数原用于加速回收TIME-WAIT连接,但在NAT环境下会导致时间戳冲突引发连接失败。推荐替代方案是启用tcp_tw_reuse=1配合tcp_timestamps=1,既能解决端口耗尽问题,又兼容NAT网络。优化步骤包括:删除废弃参数配置、启用安全替代方案、调整端口范围等参数,并通过ss/netstat监控TIME-WAIT状态。建议结合应用层优化(连接池、Keep-Alive)实现最
已经被废弃的 tcp_tw_recycle
papaya的博客
09-20 5973
如果TIME-WAIT的条目已经被新连接所复用,则新连接的SYN包会被忽略掉,并且会收到FIN包的重传,本地会回复一个RST包(因为此时本地连接为SYN-SENT状态),这会让远程端跳出LAST-ACK状态,最初的SYN包也会在1秒后重新发送,然后完成连接的建立,整个过程不会中断,只是有轻微的延迟。又回到了上面说到的 IP 网络本身尽力而为的传输机制,并不保证数据包在底层传输的时候,接收方收到的数据包的数据顺序不一定是按照发送方的顺序,再加上数据传输延迟,就让上图的问题发生的情况成为了大概率事件。
/proc/sys/net/ipv4/
weixin_33881041的博客
10-27 153
/proc/sys/net/ipv4/icmp_timeexceed_rate这个在traceroute时导致著名的“Solaris middle star”。这个文件控制发送ICMP Time Exceeded消息的比率。 /proc/sys/net/ipv4/igmp_max_memberships主机上最多有多少个igmp (多播)套接字进行监听。 /proc/sys/net/ipv4/in...
tcp_tw_reuse tcp_tw_recycle 之间有何区别?
07-16
### `tcp_tw_reuse` `tcp_tw_recycle` 的区别 `tcp_tw_reuse` 允许将处于 `TIME_WAIT` 状态的套接字重新用于新的 TCP 连接,前提是该连接的四元组(源IP、源端口、目的IP、目的端口)未发生变化,并且新连接的时间戳大于旧连接的最后时间戳。这种机制特别适用于客户端频繁发起短连接的场景,可以有效减少因大量 `TIME_WAIT` 状态连接导致的资源占用问题。此功能在启用时不需要依赖于对端 IP 的时间戳单调性[^3]。 而 `tcp_tw_recycle` 则是通过更激进的方式快速回收 `TIME_WAIT` 状态的连接。它基于 per-host 的 PAWS(Protect Against Wrapped Sequence)机制,即服务端会缓存每个远程 IP 地址的最新时间戳值。当收到同一 IP 的新数据包时,如果其携带的时间戳小于之前记录的值,则认为这是一个过期的数据包并将其丢弃,从而提前终止 `TIME_WAIT` 状态[^2]。这种方式可以在一定程度上加速连接的关闭过程,但存在一定的使用限制。 两者的主要区别在于: - **作用粒度不同**:`tcp_tw_reuse` 是针对连接的四元组进行检查复用;而 `tcp_tw_recycle` 是基于对端 IP 地址级别的检查[^2]。 - **适用环境不同**:`tcp_tw_reuse` 更加通用,适合大多数网络环境;相比之下,`tcp_tw_recycle` 在 NAT 环境下可能会出现问题,因为多个客户端共享相同的公网 IP 地址,它们之间的时间戳可能不一致,这会导致服务器错误地丢弃合法的新连接请求[^2]。 - **安全性与稳定性考虑**:由于 `tcp_tw_recycle` 对时间戳的要求更为严格,在某些情况下可能导致连接失败率上升,尤其是在客户端设备时间不同步的情况下。因此,在实际部署中通常建议优先使用 `tcp_tw_reuse` 而谨慎对待 `tcp_tw_recycle`[^1]。 ### 配置方法 要临时开启或关闭这些功能,可以通过修改对应的内核参数文件实现: ```bash # 开启 tcp_tw_reuse echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse # 关闭 tcp_tw_reuse echo 0 > /proc/sys/net/ipv4/tcp_tw_reuse # 开启 tcp_tw_recycle echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle # 关闭 tcp_tw_recycle echo 0 > /proc/sys/net/ipv4/tcp_tw_recycle ``` 为了使配置永久生效,应将相应的设置写入 `/etc/sysctl.conf` 文件中,并执行 `sysctl -p` 命令加载新的配置。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值