nf_conntrack详解

最新推荐文章于 2025-04-17 12:19:28 发布
最新推荐文章于 2025-04-17 12:19:28 发布
阅读量6.2k 收藏 8
点赞数 2
文章标签: 网络 运维 开发工具
原文链接:https://my.oschina.net/u/232595/blog/1919450
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

(服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536)

症状
CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。

在dmesg或/var/log/messages看到大量以下记录:

kernel: nf_conntrack: table full, dropping packet.

原因
服务器访问量大,内核netfilter模块conntrack相关参数配置不合理,导致新连接被drop掉。

详细
nf_conntrack模块在kernel 2.6.15(2006-01-03发布) 被引入,支持ipv4和ipv6,取代只支持ipv4的ip_connktrack,用于跟踪连接的状态,供其他模块使用。

最常见的使用场景是 iptables 的 nat 和 state 模块:

nat 根据转发规则修改IP包的源/目标地址,靠nf_conntrack的记录才能让返回的包能路由到发请求的机器。
state 直接用 nf_conntrack 记录的连接状态(NEW/ESTABLISHED/RELATED/INVALID)来匹配防火墙过滤规则。
iptables

nf_conntrack用1个哈希表记录已建立的连接,包括其他机器到本机、本机到其他机器、本机到本机(例如 ping 127.0.0.1 也会被跟踪)。

如果连接进来比释放的快,把哈希表塞满了,新连接的数据包会被丢掉,此时netfilter变成了一个黑洞,导致拒绝服务。 这发生在3层(网络层),应用程序毫无办法。

各发行版区别:

CentOS (7.3) 默认加载该模块
Ubuntu (16.10+) 和 Kali Linux (2016.1+) 默认不加载,不会有这问题
查看
netfilter 相关的内核参数:

sudo sysctl -a | grep conntrack

只看超时相关参数(超时时间 = 连接在哈希表里保留的时间)

sudo sysctl -a | grep conntrack | grep timeout
netfilter模块加载时的bucket和max配置:

sudo dmesg | grep conntrack

找类似这样的记录:

nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

哈希表使用情况:

grep conntrack /proc/slabinfo

前4个数字分别为:

当前活动对象数、可用对象总数、每个对象的大小(字节)、包含至少1个活动对象的分页数

当前跟踪的连接数:

sudo sysctl net.netfilter.nf_conntrack_count

或 cat /proc/net/nf_conntrack | wc -l

跟踪的每个连接的详情:

cat /proc/net/nf_conntrack

统计里面的TCP连接的各状态和条数

cat /proc/net/nf_conntrack | awk '/^.tcp.$/ {count[$6]++} END {for(state in count) print state, count[state]}'

记录数最多的10个ip

cat /proc/net/nf_conntrack | awk '{print $7}' | cut -d "=" -f 2 | sort | uniq -c | sort -nr | head -n 10

记录

最低0.47元/天 解锁文章
系统报错:nf_conntrack: 表已满,丢弃数据包
KrbwCoder的博客
09-24 544
在操作系统中,当出现 “nf_conntrack: 表已满,丢弃数据包” 的错误消息时,这意味着系统的连接跟踪表已经达到了其容量限制。您可以通过编辑系统的内核参数来增加连接跟踪表的容量。如果您的系统遭受到大规模的DDoS攻击,您可以考虑限制不必要的连接跟踪。这个错误通常发生在高负载的网络环境中,如服务器上的网络流量较大或遭受到大规模的分布式拒绝服务(DDoS)攻击时。您可以根据您的网络环境和需求,优化系统的连接跟踪设置。在执行任何更改之前,建议您备份重要的配置文件,并在生产环境之前进行适当的测试。
linux内核协议栈 netfilter 之连接跟踪子系统AF_INET钩子函数
11-01 925
1连接跟踪子系统钩子函数概述 如《linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景》中的1.4小结所述,为了支持连接跟踪子系统,AF_INET协议族在4个HOOK点共注册了8个钩子函数,每个HOOK点有两个。这些钩子函数可分为入口(PRE_ROUTING和LOCAL_IN)和出口(LOCAL_OUT和POST_ROUTING)两大类。 1.1数据包流向 在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。 1.1.1 发往本地的数...
nf_conntrack
weixin_34236497的博客
04-11 859
(服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
Netfilter技术深度解析:Linux内核网络过滤的核心框架
最新发布
心若微尘的博客
04-17 940
Netfilter是Linux内核中用于网络数据包处理的框架,自2.4.x内核版本起成为核心组件。它通过在内核协议栈中预定义的钩子点(Hook Points)插入自定义处理逻辑,实现对数据包的过滤、修改和重定向。作为Linux防火墙的基础,Netfilter支持数据包过滤网络地址转换(NAT)连接跟踪等核心功能,广泛应用于网络安全、负载均衡和网络调试等领域。Netfilter作为Linux网络栈的核心,提供了强大的灵活性和控制能力。
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3373
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
Iptables之nf_conntrack模块
u011029104的专栏
02-18 1721
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
浅析 /proc/net/nf_conntrack 文件(转)
weixin_33816946的博客
12-11 2097
/proc/net/nf_contrack 是连接跟踪文件,它里面的内容由 nf_conntrack.ko 模块写入。在 iptables 中使用 -m state 选项时,iptables 不但加载 xt_state.ko 模块,且 nf_conntrack.ko 模块也会被加载进来。一般而言,xt_state.ko 和 nf_conntrack.ko 这两个模块在许多 Linux 发行版里是默...
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
nf_ct_delete_from_list
01-10
### 关于 `nf_ct_delete_from_list` 函数详解 #### 函数定义与作用 `nf_ct_delete_from_list` 是 Linux 内核中的一个重要函数,用于从连接跟踪表中删除指定的连接条目。该操作通常发生在连接超时、主动关闭或其他...
nf_conntrack连接跟踪机制
喝醉酒的小白
08-11 1759
网络数据包到达时,nf_conntrack 会检查该数据包与现有连接之间的关系,以确定它是否属于现有连接,或者是新的连接请求。当进行源地址转换(SNAT)或目标地址转换(DNAT)时,nf_conntrack 可以跟踪转换后的连接状态,并确保返回数据包正确地映射回原始连接。过滤与处理:基于连接状态,nf_conntrack 可以与防火墙系统(如 netfilter/iptables)集成,以实现对连接的过滤和处理。它可以记录连接的源地址、目标地址、端口、协议等信息,并根据这些信息进行连接的管理和跟踪。
Linux nf_conntrack(一)-连接建立
mrtyxr的博客
12-07 1343
网络安全业务正是基于连接展开的,关注的是针对一个连接正反向报文的处理,比如nat,当首包到来时基于报文信息创建连接,并记录针对该连接安全业务处理的相关信息,如nat 原始ip,转换后ip等等,后续同一连接的报文直接查会话进行相关处理,根据连接记录查询针对报文进行的安全业务处理,缩短了后续报文安全业务处理的步骤,提高服务处理的性能,此外连接跟踪也是一种查询定位报文经过哪些安全业务模块处理的手段。本着学习的态度,写下了这篇博客,可能存在误解或不清楚的地方,欢迎大家多提意见,共同学习讨论。
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 6039
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
linux 连接跟踪nf_conntrack 与 NAT和状态防火墙
whatday的专栏
04-01 9945
本文主要记录对于连接跟踪以及其主要应用的NAT和状态iptables的学习内容 连接跟踪 什么是连接跟踪? 连接跟踪是Linux内核中引入的nf_conntrack 模块所实现的功能,同时支持IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用。顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包都会记录其状态...
nf_conntrack: falling back to vmalloc.
weixin_33834075的博客
06-10 1424
System log message file is reporting "kernel: nf_conntrack: falling back to vmalloc". Memory page availability can be further checked from /proc/buddyinfo as below. # cat /proc/buddyinfo Node 0, zone...
Linux下nf_conntrack(最全面)
董明磊
03-12 1万+
总结如下:dmesg |grep nf_conntrack连接跟踪表nf_conntrack:如果输出值中有“nf_conntrack: table full, dropping packet”,说明服务器nf_conntrack表已经被打满如果服务器上跑着iptables,必须使用的情况下:1:高并发服务器内核调整(8核16G为例,不懂请自行百度):net.nf_conntrack_max = ...
nf_conntrack: table full, dropping packet
Be_Nice的博客
05-14 4953
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tables off service iptables stop service ip6tables stop
Linux [踩坑总结] nf_conntrack: table full, dropping packet
houzhizhen的专栏
02-01 5230
背景:之前线上出性能问题了,我们都不知道nf_conntrack的存在,精力都放在nginx-应用-db-第三方服务这块 结果被这东西的默认参数坑了,请求连nginx都到不了…… 恶补了几天资料+拿线上其中一台机测了n轮,总结了一些心得放出来抛砖引玉 希望各位大佬斧正 :) (服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max
Linux系统nf_conntrack连接跟踪机制简介
qq_36382062的博客
05-11 9543
1、前言 前段时间接手的一个连接跟踪表满导致网络不通的问题,因此对linux系统的连接跟踪模块进行了学习。本文梳理一下目前对nf_conntrack模块的一些个人理解。 2、连接跟踪机制 背景知识:netfilter Netfilter是一个内核架构,是集成到linux内核协议栈的一套防火墙系统,可通过用户空间(iptables等)的工具来把相关配置下发给Netfilt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值