Linux默认开启TCP时间戳导致syn-ack不能返回(不能返回响应数据)

已于 2022-10-03 12:13:23 修改
阅读量3.2k 收藏 11
点赞数 2
分类专栏: linux相关 文章标签: linux tcp/ip 服务器
于 2022-08-13 16:21:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hu1010037197/article/details/126320392
版权

问题:TCP时间戳导致syn-ack没有返回(不能返回正常响应数据)

客户端A通过NAT网关访问应用服务成功,而客户端B通过NAT网关访问 应用服务经常性出现connect失败。在服务端抓包发现:服务端已经收到了syn包,但没有回复synack包;客户端A 关闭了tcp_tw_recycle,而客户端B开启了tcp_tw_recycle;据当事人称开启 tcp_tw_recycle 是为了减少tcp的TIME_WAIT状态。

linux默认启用时间戳(/etc/sysctl.conf):
由于net.ipv4.tcp_tw_recycle=1、net.ipv4.tcp_timestamps=1均开启产生的问题(tcp_tw_recycle=1表示:开启TCP连接中TIME-WAIT sockets的快速回收)

net.ipv4.tcp_timestamps=1

tcp_timestamp 是 RFC1323 定义的优化选项,主要用于 TCP 连接中 RTT(Round Trip Time) 的计算,开启 tcp_timestamp 有利于系统计算更加准确的 RTT,也就有利于 TCP 性能的提升。(默认开启)

说明: Linux启用了时间戳导致syn-ack没有返回,原理如下:
tcp 三次握手,如果有一个用户的时间戳大于这个链接发出的syn中的时间戳,服务器上就会忽略掉这个syn,不返会syn-ack消息,表现为用户无法正常完成tcp3次握手,从而不能打开web页面(或不能返回正常响应数据)。 在业务闲时,如果用户的NAT(网络地址与接口号转换NAPT)端口没有被使用过时,就可以正常打开;业务忙时,NAT端口重复使用的频率高,很难分到没有被使用的端口,从而产生这种问题。

通过查阅资料,发现tcp_timestamps默认是开启,如果再把tcp_tw_recycle设置为1,则60s内同一源ip主机的socket connect请求中的timestamp必须是递增的。
也就是说服务器打开了 tcp_tw_reccycle了,就会检查时间戳,如果对方发来的包的时间戳是乱跳的或者说时间戳是滞后的,这样服务器肯定不会回复,所以服务器就把带了“倒退”的时间戳的包当作是“recycle的tw连接的重传数据,不是新的请求”,于是丢掉不回包,就出现了开始说的syn不响应。

只有客户端和服务端都开启时间戳的情况下,才会出现能ping通不能建立tcp三次握手的情况
netstat -s | grep timestamp

在这里插入图片描述

问题分析:

大致可以推测上述问题和tcp_tw_recycle有关,查看linux内核对应的代码

tcp_v4_conn_request()函数:

if (tmp_opt.saw_tstamp &&
     tcp_death_row.sysctl_tw_recycle &&
     (dst = inet_csk_route_req(sk, req)) != NULL &&
     (peer = rt_get_peer((struct rtable *)dst)) != NULL &&
     peer->v4daddr == saddr) {
         if (get_seconds() < peer->tcp_ts_stamp + TCP_PAWS_MSL &&
             (s32)(peer->tcp_ts - req->ts_recent) > TCP_PAWS_WINDOW) {
                 goto drop_and_release;
      }

}

其中:

sysctl_tw_recycle:本机系统开启tcp_tw_recycle选项
TCP_PAWS_MSL:60s,该条件判断表示该源ip的上次tcp通讯发生在60s
TCP_PAWS_WINDOW:1,该条件判断表示该源ip的上次tcp通讯的timestamp 大于 本次tcp。
tmp_opt.saw_tstamp:该socket支持tcp_timestamp

简单说就是在tcp_tw_recycle/tcp_timestamps都开启的条件下,60s内同一源ip主机的tcp 链接请求中的timestamp必须是递增的。

结合问题分析:
主机client1和client2通过NAT网关访问服务时,而client1和client2的timestamp(tcp报文的时间戳与系统时钟有关)不相同; 根据上述syn包处理源码,在tcp_tw_recycle和tcp_timestamps同时开启的条件下,timestamp大的客户端访问服务成功,而timestmap小的主机访问失败。

解决方法分析:
echo 0 > /proc/sys/net/ipv4/tcp_tw_recycle;

tcp_tw_recycle默认是关闭的。 为了解决上述问题,需要建议关闭tcp_tw_recycle选项,而不是timestamp;因为 在tcp timestamp关闭的条件下,开启tcp_tw_recycle是不起作用的; tcp_timestamp选项开启,可以提高TCP RTT的计算精度,提高TCP的性能。linux许多参数调优,需要根据业务场景以及参数背景的工作原理进行综合考虑,不存在一个配置文件搞定所有问题的情况。

进一步深入

上面的代码究竟是处于什么考虑呢?是BUG吗?实际上这个属于TCP协议栈的PAWS机制的逻辑。PAWS (Protection Against Wrapped Sequence numbers),防止序号回绕。

tcp报文头中使用了32位的整数做序号。在高速网络中,一个TCP链接的tcp序号很快就会出现回绕的情况。

例如,下图中之前消息的序号为A的数据包,由于网络路径或其他原因刚好在当前数据流要接收序号为A的数据包时,又被服务端收到, 那么服务端就错误地把这个数据包当做新消息的一部分,从而可能会导致上层业务使用错误数据。

在这里插入图片描述

在通过实际数据计算看一下,感受一下发送回绕需要的网路速度。假设网络带宽为B bytes/s,那么序号回绕的时间为 2^31/B。对于 1Gbps速率(125MBps),计算一下,发现只需要17秒就序号就回绕了,而TCP标准中MSL(Maximum Segment Lifetime)是2分钟。

为了避免这种情况的发送,需要TCP的PAWS机制,而为了说清楚PAWS,就需要说一下tcp timestamp。

如上所示,开启tcp timestamp时,发送端的报文携带时间戳,接受端接受到报文进行应答时,会把发送的时间戳再返回给发送端。这样发送端可以有效计算TCP的RTT值。这是tcp timestamp的一个功能,另一个功能就是用于PAWS。

PAWS如何解决序号回绕问题呢? 由于接收的每个数据包都携带了时间戳,对于一个TCP链接来说,数据包的时间戳是单调递增的,所以若数据包时间戳的数值小于当前链接已处理数据包的时间戳,那么就认定序号发生了回绕,将消息丢弃。

【最终解决方法】:

在默认 /etc/sysctl.conf 文件中添加或修改(只修net.ipv4.tcp_timestamps=0即可)为:

关闭net.ipv4.tcp_tw_recycle=0、net.ipv4.tcp_timestamps=0(两者都关闭,或关闭任意一个即可

net.ipv4.tcp_tw_recycle=0
# 禁用时间戳
net.ipv4.tcp_timestamps=0
#允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000

保存后,执行命令(令修改生效):

sysctl -p

注:修改保存,令配置生效期间,如果系统间存在通信,可能导致期间通信异常!!!

Linux服务器收到SYN请求包没有回应ACK导致客户端无法建立TCP连接
dvlinker的技术专栏
05-18 2万+
问题描述: 最近测试同事反馈一个很奇怪的问题,电子白板客户端加入白板会议后,经常出现下载同步文件失败的问题。下载同步文件使用的是https请求,经抓包得知,在试图建立TCP连接时,客户端发送三次握手申请的SYN包,但是服务器没有回应ACK,然后客户端触发了TCP的丢包重转,重发SYN包,但服务器始终没回ACK导致无法完成建立TCP连接,所以无法下载同步文件。SYN包从本端网卡发出...
linux内核协议栈 connect 系统调用Ⅱ 之收到 SYN+ACK,发送 ACK
10-02 1117
Table of Contents 1 connect阻塞模式概述 2. 客户端收到SYN+ACK报文 2.1 tcp_rcv_state_process() 2.2 SYN_SENT状态输入报文处理 2.2.1 关于同时打开状态迁移 3. 向服务器端发送ACK 1 connect阻塞模式概述 当客户端调用 connect 发送 SYN 之后,会将其状态切换成 SYN_SENT,此时如果如果套接字sock为非阻塞模式,connect系统调用会直接返回,如果sock为阻塞模式,connec..
Linux下防御ddos攻击_公司linux系统中对外暴露的服务需要防止syn洪水攻击及cookie攻击,决定安全加固系
2401_85957787的博客
08-22 767
usr/local/ddos/ddos.sh -k n //杀掉连接数大于n的连接。http://www.inetbase.com/scripts/ddos/install.sh //下载DDoS deflate。IGNORE_IP_LIST=“/usr/local/ddos/ignore.ip.list” //IP地址白名单。/usr/local/ddos/ddos.sh -c //按照配置文件创建一个执行计划。/usr/local/ddos/ddos.sh -h //查看选项。
【软件工程】TCP三次握手中的SYNACK:核心机制详解
最新发布
fans2306的博客
04-25 690
位置:TCP报文头的Flags字段取值:二进制值(0或1)功能标识连接初始化请求(第一次握手)表示序列号同步(第二次握手)TCP三次握手中的SYN和seq各司其职,共同确保连接的可靠性:• SYN是控制标志位,仅标识连接初始化请求(SYN=1)或确认(ACK=1),不携带具体数值。• seq是32位序列号字段,明确数据字节的起始位置,贯穿整个TCP连接生命周期。初始序列号(ISN)随机生成,防止预测攻击。确认号ack始终为对端seq+1,指向期望接收的下一个字节。第三次握手后,
TCP服务端收到syn但是不回复syn ack问题分析
lotusagile的专栏
11-29 8281
客户端在向服务器请求数据是得到的反馈是timeout。 1、在服务器端抓包分析确认数据请求是否已经到达      tcpdump -p -vv -s0 -i eth1 tcp port xxx -w aa.pcap 2、分析数据报文:     tcp.flags.syn == 1 and ip.dst==xx.xx.xx.xx      经过上两步确认tcp的建链已经到达服务器,但并未
linux TCP连接失败(不回复SYN,ACK)问题分析
ywq935的博客
06-10 1万+
问题现象 在某一台服务器无法访问另一台服务器的https服务,telnet检测端口发现端口无法连接: [root@020113 ~]# telnet 192.168.5.27 443 Trying 192.168.5.27... 问题分析 第一步:网络检查 同网段其他主机访问服务端是正常的,因此网络问题可以排除 第二步:查看防火墙 步骤略,这里检查双方iptables规则均无问题 第三步:抓包...
Ubuntu20.04服务器接收SYN,不返回SYN+ACK
qq_21957285的博客
03-14 515
多个网卡时,不能在yaml文件中配置网关
linux内核协议栈 TCP服务器端接收SYN请求段 Ⅱ 之发送SYN+ACK报文
10-03 1951
Table of Contents 1 SYN+ACK报文发送场景概述 2SYN+ACK报文发送tcp_v4_send_synack() 2.1 SYN+ACK报文够造 tcp_make_synack() 2.1.1 SYN+ACK报文内存分配sock_wmalloc 3SYN+ACK报文超时处理tcp_synack_timer 3.1 inet_csk_reqsk_queue_prune() 1 SYN+ACK报文发送场景概述 当 tcp 服务器端收到SYN包后,将会调用 tcp...
【RFC6191 使用 TCP 时间戳减少 TIME-WAIT 状态】(翻译)
PiPiQ_Blog的博客
07-01 542
本文档描述了一种用于处理传入 SYN 段的算法,当传入 SYN 段中存在 TCP 时间戳选项时,该算法允许任何两个 TCP 端点之间的更高连接建立速率。本文档仅修改了对 TIME-WAIT 状态下的连接接收的 SYN 段的处理;所有其他状态的处理没有变化。 目录 1. 简介 2. 改进的对传入连接请求的处理 3. 与各种时间戳生成算法的交互 4. 与各种 ISN 生成算法的交互 5. 安全考虑 6. 致谢 7. 参考文献 7.1.规范参考 ...
linux内核协议栈 TCP数据接收之ACK的处理
10-12 2146
1、ACK响应概述 在TCP输入数据段的处理过程中,如果发现输入段携带了ACK信息,则会调用tcp_ack()进行ACK相关的处理。实际中,ACK信息总是会携带的,因为携带ACK不需要任何的附加开销,所以对于输入的每一个段(除了RST【直接断链 】等特殊段),这个过程总是要执行的,这篇笔记就来看看TCPACK确认的处理过程。 2ACK处理 tcp_ack() 2.1 参数flag tcp_ack()有个非常重要的参数flag,其贯穿整个ACK的处理过程,它记录了从输入段中能够获取到的任何信息(..
linux tcp关闭时间戳,【Shell】30分钟关闭Tcpdump,开启Tcpdump、检测目录大小终止任务...
weixin_39620001的博客
05-04 1122
场景按照一定时间规律运行Tcpdump思路编程思路细化思考查看文件个数file_count_results=`ls -al "C:\\Users\\Windows32\\Desktop\\test" | grep ^- | wc -l`显示文件大小$ du -h --max-depth=02.1G .$ du -bs2177623726 .这样的话,在SHELL里把文件夹大小做为命令输出赋值...
TCP之timestamps选项
redwingz的博客
03-20 1万+
默认情况下内核是开启timestamps选项的,如下tcp_sk_init函数中对sysctl_tcp_timestamps的初始化。 static int __net_init tcp_sk_init(struct net *net) { net->ipv4.sysctl_tcp_timestamps = 1; 也可通过PROC文件tcp_timestamps控制选项行为,tcp...
tcp上报服务器,未收到回复
黄都伟
03-26 416
使用 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 命令发现CLOSE_WAIT过高 再使用 netstat -an 发现8087端口导致 排查相关项目,发现占用8087的项目tcp未释放,修改代码解决了相关问题 ...
服务器TCP握手超时的一种情况(服务器不回SYN ACK
zlzlei的专栏
10-23 9366
近期遇到一个奇怪的问题,客户端到服务器的连接偶发超时,通过抓包,看到服务端收到了客户端的SYN包,但就是不回复SYN ACK,通过网上查找资料,详细原因如下: 服务器同时设置tcp_timestamps=1和tcp_tw_recycle=1,就会缓存每个客户端TCP通信数据包中最新的时间戳,后续请求中如果时间戳小于缓存的时间戳,即视为无效,相应的数据包会被直接丢弃。 启用该功能后,60s内同一...
linux检测tcp延迟,利用TCP时间戳提高延迟位置判断能力
weixin_39756192的博客
05-14 1053
TCP选项字段中为TCP预留有时间戳功能,不管在网络层面还是应用层面,TCP时间戳往往被大家认为是一个系统行为,并忽略其存在。其实在某些环境下,TCP时间戳同样可以成为大家在时延问题troubleshooting定位时的一个利器。首先,让我们先来回顾一下TCP时间戳的理论知识。1) TCP时间戳位于TCP选项中,kind=8;lenth=10;data由timestamp和timestampec...
修复Linux系统内核TCP漏洞,如何修复Linux内核存在的TCP漏洞?
weixin_42402228的博客
04-30 355
描述卡内基梅隆大学的 CERT/CC 发出警告,称 Linux 内核 4.9 及更高版本中有一个 TCP 漏洞,该漏洞可使攻击者通过极小流量对系统发动 DoS (Denial-of-Service,拒绝服务)攻击。该漏洞是由诺基亚贝尔实验室支持的芬兰阿尔托大学网络部门的 Juha-Matti Tilli 发现的,目前已经被编号为 CVE-2018-5390,并且被 Red Hat 称为“Segme...
Jmeter TCP 取样器 上一个请求响应结果参数传个下一个请求,响应结果为空
TD1101的博客
04-12 4176
出现的问题,上一个请求成功,但是下一个请求返回参数是200 ,但是响应结果为空,如图。原因是因为我没有勾选close connection 每个请求结束后关闭连接。 先来了解一下TCP 取样器界面的的详情 Re-use connection:同一个线程执行的所有请求都会使用一个tcp连接,在要求TCP长连接的时候需要用到这个 close connection:每个请求结束后关闭连接 以下这2种情况,返回参数200,响应结果能有值的 ...
如何解决主机发送地址之后 从机没有发出ACK应答信号给主机
热门推荐
学海无涯的专栏
03-19 2万+
1,iic总线从机没有返回应答给主机 我用的一个带有iic接口电量计和我的单片机通讯,我用逻辑分析仪分析数据发现主机写一个字节数据后从机并没有返回一个ack给主机,导致我后面读取从机的数据时全部是ff,请问各位iic大神,我该怎么去查问题呢? 硬件上检查下iic设备有没有虚焊,总线有没有冲突,示波器点下scl和sda线有没有半高电平; 如果你的代码不保证是成熟的,建议示波器触发一下看看时序满不满足iic协议要求; 读出的数据是总线默认状态ff,说明设备没响应,最有可能: 地址不对; 时序不对; 速率不匹
linux ping没有回包,ping不通时,有request包但是没有response包
weixin_39867708的博客
05-13 4473
当ping不通某一台主机时,抓包显示只有request包,没有回包。可能是这台主机设置了关闭icmp的回显功能。以下部分转载自http://www.cnblogs.com/gwxiaoyun/archive/2012/09/14/2684545.html对于WindowsWin NT 5 系列(Winxp、Win2003)控制面板---防火墙---高级---ICMP设置---勾选“允许传入回显请求...
SYN-cookie
12-26
### SYN-cookie 技术原理 SYN-cookie 是一种用于抵御 SYN 泛洪攻击的技术,在不使用额外资源的情况下处理连接请求。当服务器接收到客户端发送的初始 SYN 请求时,并不会立即分配内存空间来保存半开连接的状态,而是通过特定算法计算出一个加密数值作为序列号返回给客户端。 #### 序列号生成机制 为了防止恶意用户猜测到合法的 ACK 响应包中的确认序号,SYN-cookie 使用了一个基于时间戳和其他参数(如源地址、目的端口等)组合而成的秘密函数来生成临时序列号[^1]。 ```c uint32_t make_syn_cookie(uint32_t saddr, uint16_t sport, uint32_t daddr, uint16_t dport, uint8_t *data, int datalen) { struct tcp_opt opt; unsigned long now = jiffies; /* 获取当前内核时间 */ // 计算选项字段 compute_tcpopts(&opt, data, datalen); // 构建并返回合成的cookie值 return secure_tcp_sequence_number(saddr, sport, daddr, dport, &opt, now); } ``` 此方法确保即使在遭受大量伪造的 SYN 数据包冲击期间也能正常工作而不耗尽系统资源。 #### 连接建立流程 一旦客户端回应带有正确 ACK数据包回来之后,服务端会解析其中的信息重新构建原始 TCP 三次握手过程中丢失掉的那个中间状态: - 提取 IP 地址和端口号信息; - 解码嵌入于 ACK 号内的附加信息以恢复 MSS 和其他可能存在的可选参数; - 验证解密后的结果是否合理有效; 只有当上述验证成功后才会正式创建新的套接字对象完成整个连接初始化过程[^2]。 ### 实现方式差异 值得注意的是不同操作系统对于 SYN-cookie 的具体实现存在细微差别。例如 Linux 内核版本间可能存在不同的优化策略或默认配置项影响实际效果。而在某些高性能网络设备上可能会有更复杂高效的变种形式比如 LVS 中提到的 syn-proxy 或者 XDP 层面的支持[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值