inx+php产生大量TIME_WAIT连接解决办法

问题&＃xff1a;当启动nginx和php-fpm时&＃xff0c;使用netstat -tunap查看到大量TIME_WAIT连接

由于不知道原因&＃xff0c;害怕是受到攻击&＃xff0c;马上killall nginx 和php-fpm

会不会是80端口被攻击造成的&＃xff1f;尝试修改nginx的80端口为8081&＃xff0c;但结果同样是产生大量TIME_WAIT连接

无法知道问题&＃xff0c;百度寻找办法

参考链接&＃xff1a;http://www.heminjie.com/wordpress/3322.html

还没有解决

到晚上回到家自己重新测试才有所改善&＃xff0c;并发现了某些问题

netstat -tunap   与   netstat -tunlp     导致以前没看到这种情况

最后参考各个博客&＃xff0c;完成优化

vim /etc/sysctl.conf

在最后增加下列参数&＃xff1a;

net.ipv4.tcp_synCOOKIEs &＃61; 1
net.ipv4.tcp_tw_reuse &＃61; 1
net.ipv4.tcp_tw_recycle &＃61; 1
net.ipv4.tcp_fin_timeout &＃61; 30
net.ipv4.tcp_syn_retries &＃61; 5
net.ipv4.tcp_synack_retries &＃61; 5
net.ipv4.tcp_keepalive_time &＃61; 1200
net.ipv4.ip_local_port_range &＃61; 1024 65000
net.ipv4.tcp_max_syn_backlog &＃61; 8192
net.ipv4.tcp_max_tw_buckets &＃61; 5000

详细参考链接:http://leven.blog.51cto.com/1675811/382097

一 TIME_WAIT产生原因&＃xff1a;

1、nginx现有的负载均衡模块实现php fastcgi负载均衡&＃xff0c;nginx使用了短连接方式&＃xff0c;所以会造成大量处于TIME_WAIT状态的连接。

2、TCP/IP设计者本来是这么设计的
主要有两个原因
(1) 防止上一次连接中的包&＃xff0c;迷路后重新出现&＃xff0c;影响新连接
&＃xff08;经过2MSL&＃xff0c;上一次连接中所有的重复包都会消失&＃xff09;
(2) 可靠的关闭TCP连接
在主动关闭方发送的最后一个 ack(fin) &＃xff0c;有可能丢失&＃xff0c;这时被动方会重新发
fin, 如果这时主动方处于 CLOSED 状态 &＃xff0c;就会响应 rst 而不是 ack。所以
主动方要处于 TIME_WAIT 状态&＃xff0c;而不能是 CLOSED 。

二 过多TIME_WAIT危害

TIME_WAIT 并不会占用很大资源的&＃xff0c;除非受到攻击。只要把TIME_WAIT所占用内存控制在一定范围。一般默认最大是35600条TIME_WAIT。

三 解决方法

net.ipv4.tcp_synCOOKIEs &＃61; 1 表示开启SYN COOKIEs。当出现SYN等待队列溢出时&＃xff0c;启用COOKIEs来处理&＃xff0c;可防范少量SYN攻击&＃xff0c;默认为0&＃xff0c;表示关闭&＃xff1b;
net.ipv4.tcp_tw_reuse &＃61; 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接&＃xff0c;默认为0&＃xff0c;表示关闭&＃xff1b;
net.ipv4.tcp_tw_recycle &＃61; 1 表示开启TCP连接中TIME-WAIT sockets的快速回收&＃xff0c;默认为0&＃xff0c;表示关闭。
net.ipv4.tcp_fin_timeout &＃61; 30 表示如果套接字由本端要求关闭&＃xff0c;这个参数决定了它保持在FIN-WAIT-2状态的时间。
net.ipv4.tcp_keepalive_time &＃61; 1200 表示当keepalive起用的时候&＃xff0c;TCP发送keepalive消息的频度。缺省是2小时&＃xff0c;改为20分钟。
net.ipv4.ip_local_port_range &＃61; 1024 65000 表示用于向外连接的端口范围。缺省情况下很小&＃xff1a;32768到61000&＃xff0c;改为1024到65000。
net.ipv4.tcp_max_syn_backlog &＃61; 8192 表示SYN队列的长度&＃xff0c;默认为1024&＃xff0c;加大队列长度为8192&＃xff0c;可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_tw_buckets &＃61; 5000 表示系统同时保持TIME_WAIT套接字的最大数量&＃xff0c;如果超过这个数字&＃xff0c;TIME_WAIT套接字将立刻被清除并打印警告信息。
默  认为180000&＃xff0c;改为5000。对于Apache、Nginx等服务器&＃xff0c;上几行的参数可以很好地减少TIME_WAIT套接字数量&＃xff0c;但是对于Squid&＃xff0c;效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量&＃xff0c;避免Squid服务器被大量的TIME_WAIT套接字拖死。

注:
net.ipv4.tcp_tw_reuse &＃61; 1
net.ipv4.tcp_tw_recycle &＃61; 1
设置这两个参数&＃xff1a; reuse是表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接&＃xff1b; recyse是加速TIME-WAIT sockets回收