无状态TCP的ip_conntrack

优化Linux TCP Conntrack
最新推荐文章于 2024-02-18 10:31:25 发布
最新推荐文章于 2024-02-18 10:31:25 发布 · 551 阅读 · 0
文章标签:

#网络

本文探讨了Linux系统中TCP conntrack机制存在的问题及其优化方法。通过调整sysctl参数nf_conntrack_tcp_loose和nf_conntrack_tcp_be_liberal,可以简化TCP状态跟踪,使TCP更接近UDP的行为。此外,还介绍了如何通过更改nf_conntrack_l4proto进一步优化TCP处理流程。
Linux的ip_conntrack实现得过于沉重和精细。而实际上有时候,根本不需要在conntrack中对TCP的状态进行跟踪,只把它当UDP好了,我们的需求就是让系统可以将一个数据包和一个五元组标示的流相关联,因为很多的基于流的策略都设置在conntrack结构中,所以当关联好之后,就可以直接取出策略来作用于数据包了,不再需要为每一个数据包都来一次策略匹配。
TCP的状态本就不应该在途中被检测,这也是TCP/IP的设计者的中心思想。还好,Linux提供了两个sysctl参数可以在一定程度上放弃对TCP状态的精细化监控,它们是:
net.netfilter.nf_conntrack_tcp_loose = 1
net.netfilter.ip_conntrack_tcp_be_liberal = 1
相关的代码解释是: 
/* "Be conservative in what you do,
    be liberal in what you accept from others."
    If it's non-zero, we mark only out of window RST segments as INVALID. */
static int nf_ct_tcp_be_liberal __read_mostly = 0;

/* If it is set to zero, we disable picking up already established
   connections. */
static int nf_ct_tcp_loose __read_mostly = 1;

在ip_conntrack的逻辑中,如果一个包没有在conntrack哈希中找到对应的流,就会被认为是一个流的头包,流程如下:

TCP对数据包的要求太高了,在上述的loose参数不为1的情况下,tcp_new要求新到来的第一个包必然要有SYN标志,否则不予创建conntrack,数据包将成为游离数据包,NAT等都将失去作用,即便是中间的数据包,be_liberal不为1时,tcp_packet要求数据包必须in_window。这就是为何TCP的establish conntrack超时时间设置5天那么久的原因,还好,有上述两个参数,我们可以避开这个,将TCP尽可能地和UDP同等对待。我的方式更猛,索性将TCP的nf_conntrack_l4proto换成了nf_conntrack_l4proto_udp4,这样连sysctl参数都不用设置了。
NAT问题的解释
一条TCP连接,经过Linux Box,被NAT,过了120秒+之后,连接断开!这个解释很简单,我将net.netfilter.nf_conntrack_tcp_timeout_established设置成了120秒,此后conntrack超时被删除!再有数据时,按照上面的tcp_new流程,数据包将成为游离数据包,NAT依赖conntrack,故失效,连接依赖NAT,故而连接失效!
iteye_3759
关注
kubernetes节点报nf_conntrack: table full, dropping packet的故障处理
rendongxingzhe的博客
10-11 1717
Linux高并发报错, nf_conntrack: table full, dropping packet
linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2679
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
连接跟踪nf_conntrack_tcp_loose设置
redwingz的博客
02-28 2418
nf_conntrack_tcp_loose选项如果设置为0,对于未完成三次握手的流,内核连接跟踪模块将不会为其创建conntrack结构。反之,值为0的话,将为任意收到的tcp报文创建conntrack结构。默认值为一,如下可通过proc文件nf_conntrack_tcp_loose,获取其当前值。 $ sudo modprobe nf_conntrack_ipv4 ...
TCP断开时的状态与Linux nf_conntrack
TCP/IP
07-04 7957
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我便气扬了!       很多人觉得我是下三层网络的专家,对于TCP之类的无权问津,但是我对TCP除了辱骂还是辱骂!因为它太复杂了,作为一个低层的
HTTP与TCP的关系,无连接、无状态详解
weixin_45272928的博客
10-25 1216
Google了HTTP、TCP无状态三个关键词,将首屏讲得比较好的几个博客内容做了一下整合,最主要引用:如何理解HTTP协议的 “无连接,无状态” 特点? HTTP与TCP的关系 TCP协议对应于传输层,而HTTP协议对应于应用层,从本质上来说,二者没有可比性。HTTP协议是建立在TCP协议基础之上的,当浏览器需要从服务器获取网页数据的时候,会发出一次HTTP请求。HTTP会通过TCP建立起一个...
connection长时间连接失效_当 kubeproxy 遇到连接重置
weixin_33603377的博客
12-28 900
原文链接:https://kubernetes.io/blog/2019/03/29/kube-proxy-subtleties-debugging-an-intermittent-connection-reset/最近我一直被一个间歇性连接重置的 bug 所困扰,经过一段时间的调试之后,发现该 bug 是由几个不同的网络子系统联合导致的。通过这几天的深入挖掘和调试,我对 Kuberne...
net.nf_conntrack_max 设置异常问题
砚墨
01-17 1万+
故障原因 内核参数 net.nf_conntrack_max 系统默认值为”65536”,当nf_conntrack模块被装置且服务器上连接超过这个设定的值时,系统会主动丢掉新连接包,直到连接小于此设置值才会恢复。同时内核参数“net.netfilter.nf_conntrack_tcp_timeout_established”系统默认值为”432000”,代表nf_conntrackTCP连接记录时间默认是5天,致使nf_conntrack的值减不下来,丢包持续时间长。 nf_conntrack模块在首
libnetfilter_conntrack-1.0.7.tar.bz2
11-18
认识和熟悉过iptables之后,更加感叹netfilter...而且conntrack不仅可以对TCP这种有状态的会话进行状态跟踪,还可以对UDP进行状态跟踪。 conntrack本身并不会对包进行过滤,而是提供一种基于状态和关系的过滤依据。
Linux nf_conntrack(二)-连接确认
mrtyxr的博客
12-08 1068
最近走读学习Linux内核关于连接跟踪相关处理,上一篇中记录了连接建立的过程,感兴趣的同学可以参考:;一个连接的完整性需要经过确认才能建立,因此这里学习连接确认相关处理;从上述nf_hook_ops的定义来看,涉及连接确认的HOOK点有两个:NF_INET_LOCAL_IN和NF_INET_POST_ROUTING;分别对应对到本机报文建立连接的确认处理和转发报文建立的连接的确认处理,后面分别简称为本地会话和转发会话,但对应的处理函数均为nf_confirm,我们稍后讨论。
性能常识 [踩坑总结] nf_conntrack: table full, dropping packet [新]
weixin_67553250的博客
03-20 4599
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个 “新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该 “足够好”,其实不是。默认参数面向 “通用” 服务器,不适用于连接数和访问量比较多的场景。 症状 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dm.
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3533
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
Kubernetes集群内核参数优化
Vic的博客
06-02 892
另外,直接修改net.netfilter.nf_conntrack_buckets内核参数会报错,需要。sysctl -w net.ipv4.tcp_tw_reuse=1 # 仅作用于客户端,允许复用TIME_WAIT端口(与tcp_rw_recycle不同,该选项不受NAT场景下时间戳不一致问题影响)网络参数,分别套用到Node和Pod,其中Pod级通过服务发布时候注入init-container生效,Node级通过运维初始化机器脚本或者编辑sysctl.conf配置文件生效到内存。
linux网络全景指南
极客重生
01-19 1701
自我介绍:腾讯云网络高级工程师,腾讯云网络核心开发人员。 欢迎微信搜索「职场重生」,关注公众号「职场重生」,后续更多精彩内容发布; 万字长文建议收藏 引言 本期分享一个比较常见的⽹络问题--丢包。例如我们去ping⼀个⽹站,如果能ping通,且⽹站返回信息全⾯,则说明与⽹站服务器的通信是畅通的,如果ping不通,或者⽹站返回的信息不全等,则很可能是数据被丢包了,类似情况想必⼤家都不陌⽣。针对⽹络丢包,本⽂提供⼀些常见的丢包故障定位...
Iptables之nf_conntrack模块
u011029104的专栏
02-18 2070
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
一次有趣的 Docker 网络问题排查经历
云原生实验室
07-02 594
前段时间公司的安卓打包服务出现问题,现象是在上传 360 服务器进行加固的时候,非常大概率会卡在上传阶段,长时间重试最后失败。我对这个情况进行了一些排查分析,解决了这个问题,写了这篇长文复...
k8s业务故障集锦
weixin_42323738的博客
07-06 715
通过观察问题主机的参数,发现net.netfilter.nf_conntrack_tcp_timeout_established的阈值为300,即5分钟后tcp_established的信息将不在记录,从而被nf_conntrack回收。2)当建立的tcp链接,在等待8分钟之后,再发送数据,却迟迟没有收到数据库的返回包,导致java服务端一直在进行包的重传,重传多次,也没有收到数据库的回包。1)数据库在于java服务端建立了tcp链接之后,在立即发送数据包的情况下,可以收到从java服务端发送来的数据包。
linux改参数用重启,Linux中系统参数修改命令sysctl的使用讲解
weixin_42356139的博客
05-12 957
sysctl配置与显示在/proc/sys目录中的内核参数.可以用sysctl来设置或重新设置联网功能,如IP转发、IP碎片去除以及源路由检查等。用户只需要编辑/etc/sysctl.conf文件,即可手工或自动执行由sysctl控制的功能。命令格式: sysctl [-n] [-e] -w variable=valuesysctl [-n] [-e] -p (default /etc/s...
ip_conntrack_in
最新发布
12-31
### 配置 `ip_conntrack` 参数 为了优化和调整 Linux 系统中的网络连接跟踪功能,可以修改内核参数来适应不同的需求。对于 `ip_conntrack_in` 相关的配置,主要涉及以下几个方面: #### 增大跟踪的最大条目数量 通过设置 `net.netfilter.nf_conntrack_max` 可以增加系统能够追踪的最大并发连接数。这有助于防止因连接表溢出而导致丢包或其他性能问题。 ```bash echo "3276800" > /proc/sys/net/netfilter/nf_conntrack_max ``` 或者永久化此更改到 `/etc/sysctl.conf` 文件中并应用: ```bash sysctl -w net.netfilter.nf_conntrack_max=3276800 ``` #### 调整协议超时时间 减少某些类型的连接在建立后的最大存活期限可以帮助释放不再活跃的会话记录,从而提高资源利用率。例如,TCP 已建立状态下的默认超时时长可以从常规值缩短至更短的时间间隔。 ```bash sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1200 ``` 同样适用于 UDP 和 ICMP 协议: ```bash sysctl -w net.netfilter.nf_conntrack_udp_timeout_stream=180 sysctl -w net.netfilter.nf_conntrack_icmp_timeout=30 ``` 这些操作可以通过编辑 `/etc/sysctl.conf` 来实现持久化的效果[^1]。 #### 故障排查技巧 当遇到与 `ip_conntrack` 相关的问题时,可采取如下措施进行诊断: ##### 查看系统统计信息 利用 `netstat` 或者更为现代的替代品如 `ss` 命令来获取有关当前活动连接的信息,并过滤掉特定错误条件的数据。 ```bash netstat -s | grep "dropped because of missing route" ``` ##### 使用 dmesg 日志分析 结合管道命令 (`|`) 对 `dmesg` 输出的日志消息进行筛选,以便快速定位可能存在的警告或错误提示。 ```bash dmesg | less ``` 也可以直接使用 `grep` 结合关键词搜索具体的异常情况。 ##### 安装必要的工具集 如果发现缺少一些常用的网络调试工具,则可通过软件包管理器安装它们,比如 `traceroute`, `ifconfig`, `netstat` 等等。 ```bash yum -y install traceroute net-tools lrzsz ``` 以上步骤能帮助更好地理解和解决与 `ip_conntrack` 机制相关的各种挑战[^3][^4].
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值