1. linux下tcp的TIME_WAIT參數調整

?

netstat -na|awk '/^tcp/ {++S[$NF]} END {for(i in S) print i,S[i]}'

查看網絡節點的tcp連接狀態，如果發現系統存在大量的TIME_WAIT狀態的連接，通過調整內核參數解決：

?

vi /etc/sysctl.conf

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000

?

然后執行以下命令讓參數生效

/sbin/sysctl -p

?

說明：

?

? ? ? net.ipv4.tcp_syncookies = 1 表示開啟 SYN Cookies 。當出現 SYN 等待隊列溢出時，啟用 cookies 來處理，可防范少量 SYN 攻擊，默認為 0 ，表示關閉；

net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將 TIME-WAIT sockets 重新用于新的 TCP 連接，默認為 0 ，表示關閉；

net.ipv4.tcp_tw_recycle = 1 表示開啟 TCP 連接中 TIME-WAIT sockets 的快速回收，默認為 0 ，表示關閉。

net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求關閉，這個參數決定了它保持在 FIN-WAIT-2 狀態的時間。

net.ipv4.tcp_keepalive_time = 1200 表示當 keepalive 起用的時候， TCP 發送 keepalive 消息的頻度。缺省是 2 小時，改為 20 分鐘。

net.ipv4.ip_local_port_range = 1024 65000 表示用于向外連接的端口范圍。缺省情況下很小： 32768 到 61000 ，改為 1024 到 65000 。

net.ipv4.tcp_max_syn_backlog = 8192 表示 SYN 隊列的長度，默認為 1024 ，加大隊列長度為 8192 ，可以容納更多等待連接的網絡連接數。

net.ipv4.tcp_max_tw_buckets = 5000 表示系統同時保持 TIME_WAIT 套接字的最大數量，如果超過這個數字， TIME_WAIT 套接字將立刻被清除并打印警告信息。默認為 180000 ，改為 5000 。對于 Apache 、 Nginx 等服務器，上幾行的參數可以很好地減少 TIME_WAIT 套接字數量，但是對于 Squid ，效果卻不大。此項參數可以控制 TIME_WAIT 套接字的最大數量，避免 Squid 服務器被大量的 TIME_WAIT 套接字拖死。

?

?

?

注：TCP連接中TIME_WAIT狀態

?

?

上述四次握手描述的是客戶段主動關閉，服務器被動關閉的流程，其一般過程如下：

1 、 客戶端發送 FIN 報文段，進入 FIN_WAIT_1 狀態。

2 、 服務器端收到 FIN 報文段，發送 ACK 表示確認，進入 CLOSE_WAIT 狀態。

3 、 客戶端收到 FIN 的確認報文段，進入 FIN_WAIT_2 狀態。

4 、 服務器端發送 FIN 報文端，進入 LAST_ACK 狀態。

5 、 客戶端收到 FIN 報文端，發送 FIN 的 ACK ，同時進入 TIME_WAIT 狀態，啟動 TIME_WAIT 定時器，超時時間設為 2MSL 。

6 、 服務器端收到 FIN 的 ACK ，進入 CLOSED 狀態。

7 、 客戶端在 2MSL 時間內沒收到對端的任何響應， TIME_WAIT 超時，進入 CLOSED 狀態。

?

?

2. linux下ulimit參數調整

vi /etc/security/limits.conf

work soft nofile 65535

work hard nofile 65535

?

?

ulimit -SHn 65536

?

ulimit -n

修改ulimit參數和tcp的time wait參數