Linux网络编程系列-常见疑惑

1.并发TCP最大连接数

一个TCP连接有一个四元组唯一标识{local_ip, local_port, remote_ip, remote_port}

client端建立连接请求时，通常让系统分配一个空闲的本地端口，该端口是独占不共享的，端口类型是unsigned short，共65535个可用，所以client最大连接数为65535个。

server端固定绑定一个端口来等待client的连接请求，四元组中rempote_ip/remote_port是可变不受控制的，共2^32 * 2^16组合。

但并不代表一个server可以支持那么多连接，因为有系统上的限制。

每个socket都占用一个文件描述符，而一个进程能打开的描述符数目是有限制的，而且整个系统允许打开的文件数也是有限制的。另外TCP连接数也受服务器资源限制(内存/带宽)。

单进程文件数

ulimit -n//查看单进程允许打开的最大文件数
//修改一个进程文件数限制
修改/etc/security/limits.conf
soft nofile xxx
hard nofile xxx

全局(系统)文件数

cat /proc/sys/fs/file-nr  //显示已经分配的文件handle数、已分配但未使用的handle数、允许的最大handle数
修改/etc/sysctl.conf
fs.file-max=xxx
net.ipv4.ip_conntrack_max=xxx
net.ipv4.netfilter.ip_conntrack_max=xxx

考虑到文件描述符、系统资源、1024以下端口不能使用的限制，server端单机TCP连接数可以超过10w。

2.SYN Flood处理(TCP洪水攻击)

TCP攻击，利用众多的伪IP与服务发起TCP连接，当服务端向伪IP发送SYN/ACK时，一直收不到响应，会重试。导致半连接队列溢出，正常连接请求进不来。

• 找到处于半连接状态(SYN_RECV)的IP，封掉持半连接多的IP
• 关掉SYN+ACK的重发，默认是发送5次

tcp_synack_retries=0

• 增大半连接队列长度

net.ipv4.tcp_max_syn_backlog = 200000

• 开启SYN cookies。服务端不保存半连接，根据SYN计算出一个cookie值并作为SYN ACK包的初始序列号返回；当收到ACK（第三次握手）时从包头信息计算上次发送SYN ACK包时的cookie值，与该ACK对比，如果ACK==cookie+1，则分配资源建立连接。

net.ipv4.tcp_syncookies = 1

3.查看TCP连接状态

netstat -an | awk '/^tcp/{++S[$NF]}END{for (a in S)print a, S[a]}'

4.TCP端口号最大值

tcp/udp报文首部的原端口和目的端口都只有16位，所以最大是2^16 - 1 = 65535