江苏龙网

  1. 主页 > 生活百科 > >

网络性能debug参数整理( 二 )

debug参数


nr_open 是单个进程能分配的最大文件 Handle 数量,这个值一定比 file-max 小,并且一定要比 limits.conf 内的 soft nofile, hard nofile 大,不然 soft nofile, hard nofile 设置再大都没用 。

网络性能debug参数整理

文章插图
 
 
  • 自动分配本地端口范围
确定一个连接需要五个元素 Source IP + Source Port + Destination IP + Destination Port + 协议(TCP/UDP),一般客户端在连服务端的时候只要获取到服务端的 Destination IP 和 Destination Port 即可,Source IP 是客户端自己的 IP,客户端系统会自动分配一个 Source Port 来建立连接 。而这个 Source Port 的选择范围是可通过 sysctl net.ipv4.ip_local_port_range 参数来定制的 。可以执行一下这个命令来获取当前系统的设定,例如:
sysctl -w net.ipv4.ip_local_port_range="15000 61000"即表示在与 remote 服务建立连接时,系统只能自动从 15000 至 61000 中选择一个作为 Local Port,也就是 Source Port 。
如果希望压测客户端和服务器建立大量的连接,则需要将该范围设置的大一些,给客户端留足端口数(如 1024 - 65535),如果留的端口不足的话会报错 。
 
  • 端口复用
TCP 连接断开之后主动发起 FIN 的一方最终会进入 TIME_WAIT 状态,处在这个状态时连接之前所占用的端口不能被下一个新的连接使用,必须等待一段时间之后才能使用 。如果是单独测试并发连接峰值,减少 TIME_WAIT 连接数可能用处不大,但如果是连续的测试,每次关闭客户端准备再来下一轮测试时必须等足 TIME_WAIT 时间,如果 TIME_WAIT 时间比较长就比较烦,所以减少 TIME WAIT 对测试有一定好处 。因为一般压测都是内网,所以 TIME WAIT 清理方面能稍微激进一些 。可考虑设置:
Client 开启TCP Timestamps 后开启 net.ipv4.tcp_tw_reuse 或 net.ipv4.tcp_tw_recycle,
将 net.ipv4.tcp_max_tw_buckets 设置的很小,TIME WAIT 连接超过该值后直接清理 。因为一般测试都在内网,没有 NAP 的情况下 Per-Host 的 Timestamp 配合 PAWS 一般能消除跨连接数据包错误到达问题 。
通过如下命令可查看当前TIME_WAIT的数量
netstat -an | grep "TIME_WAIT" | wc -l  
考虑压测结束的时候由 Client 主动断开连接,并且设置 SO_LINGER 为 0,断开连接时候直接发 RST;
sysctl -w net.ipv4.tcp_timestamps=1#开启TCP时间戳
#以一种比重发超时更精确的方法(请参阅 RFC 1323)来启用对 RTT 的计算;为了实现更好的性能应该启用这个选项 。
 sysctl -w net.ipv4.tcp_tw_reuse=1# 1 表示开启重用 。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
 sysctl -w net.ipv4.tcp_tw_recycle=1# 1 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭 。
 sysctl -w net.ipv4.tcp_max_tw_buckets=5000# 5000 表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息
 sysctl -w net.ipv4.tcp_keepalive_time=1200#1200 表示当keepalive起用的时候,TCP发送keepalive消息的频度 。缺省是2小时,改为20分钟,单位为秒 。
 net.ipv4.tcp_fin_timeout=30#30表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间 。单位为秒 。
 
  • tcp syn flood丢弃限制
在测试中,有时需要模拟大量的TCP连接,但并发连接数量多了,就会出现很多连接建立失败,同时在Server会看到如下的一些日志打印
TCP: request_sock_TCP: Possible SYN flooding on port 45000. Sending cookies.  Check SNMP counters所谓的TCP SYN Flood的攻击,其实就是利用TCP协议三次握手过程进行的攻击:如果一个客户端向另一个客户端发起TCP连接时,需要先发送TCP SYN报文,对端收到报文后回应TCP SYN+ACK报文,发起方再发送TCP ACK,这样握手成功,连接也就建立起来了 。
具体实现时,当接收端收到SYN报文,回应SYN+ACK报文前,需要维护一个队列(未连接队列 ---表示收到了SYN, 状态标识为SYN_RECV), 当收到对端的ACK报文时,从队列中移除,进入ESTABLISHED状态 。
[root@centos8 ~]# sysctl -a | grep cookiesnet.ipv4.tcp_syncookies = 1#表示开启CentOS SYN Cookies,这是个bool值 。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量CentOS SYN攻击,默认为0,表示关闭;
【网络性能debug参数整理】


推荐阅读


上一篇:“青红皂白”的“皂”是指什么颜色?

下一篇:Android逆向反编译代码注入APK过程思路分析