LINUX下解决netstat查看TIME_WAIT状态过多问题

 来源：多3度热爱 的BLOG  

查看连接某服务端口最多的的IP地址

netstat -nat |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20

 

netstat -an|awk '/tcp/ {print $6}'|sort|uniq -c

16 CLOSING

130 ESTABLISHED

298 FIN_WAIT1

13 FIN_WAIT2

9 LAST_ACK

7 LISTEN

103 SYN_RECV

5204 TIME_WAIT

 

状态：描述

CLOSED：无连接是活动的或正在进行

LISTEN：服务器在等待进入呼叫

SYN_RECV：一个连接请求已经到达，等待确认

SYN_SENT：应用已经开始，打开一个连接

ESTABLISHED：正常数据传输状态

FIN_WAIT1：应用说它已经完成

FIN_WAIT2：另一边已同意释放

ITMED_WAIT：等待所有分组死掉

CLOSING：两边同时尝试关闭

TIME_WAIT：另一边已初始化一个释放

LAST_ACK：等待所有分组死掉

  

如发现系统存在大量TIME_WAIT状态的连接，通过调整内核参数解决，

vim /etc/sysctl.conf

编辑文件，加入以下内容：

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_fin_timeout = 30

然后执行 /sbin/sysctl -p 让参数生效。

 

net.ipv4.tcp_syncookies = 1 表示开启SYN cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；

net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；

net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。

net.ipv4.tcp_fin_timeout 修改系統默认的 TIMEOUT 时间

 

下面附上TIME_WAIT状态的意义：

 客户端与服务器端建立TCP/IP连接后关闭SOCKET后，服务器端连接的端口

 状态为TIME_WAIT

 是不是所有执行主动关闭的socket都会进入TIME_WAIT状态呢？

 有没有什么情况使主动关闭的socket直接进入CLOSED状态呢？

 主动关闭的一方在发送最后一个 ack 后就会进入 TIME_WAIT 状态 停留2MSL（max segment lifetime）时间这个是TCP/IP必不可少的，也就是“解决”不了的。

 也就是TCP/IP设计者本来是这么设计的

 主要有两个原因

 1。防止上一次连接中的包，迷路后重新出现，影响新连接（经过2MSL，上一次连接中所有的重复包都会消失）

 2。可靠的关闭TCP连接

 

在主动关闭方发送的最后一个 ack(fin) ，有可能丢失，这时被动方会重新发fin, 如果这时主动方处于 CLOSED 状态 ，就会响应 rst 而不是 ack。所以主动方要处于 TIME_WAIT 状态，而不能是 CLOSED 。

 TIME_WAIT 并不会占用很大资源的，除非受到攻击。

 

还有，如果一方 send 或 recv 超时，就会直接进入 CLOSED 状态