第14章 TCP超时与重传:RTT与RTO概念;RTO计算的经典方法;RTO计算的标准方法;超时重传;快速重传;SACK;DSACK

TCP的2种重传机制:
  1.基于RTO的超时重传
  2.快速重传:当接收到失序报文时,接收端立即回复重复ACK,且不会被延时发送;发送端收到3次重复ACK后,立即发送时序的报文。(3次是因为无法判断该时序报文是真的失序,还是丢失;只有真的丢失,重传才有意义;失序其实影响不大)

 

linux关于重传的参数配置
======================================================================================
TCP有2个阈值来决定是否重传同一个报文:
    [root@centos7 ~]# cat /proc/sys/net/ipv4/tcp_retries1       #3    #表示TCP愿意尝试重传数据的次数,FRC1122建议至少3次  
    [root@centos7 ~]# cat /proc/sys/net/ipv4/tcp_retries2       #15----15次,对应约为13-30分钟,根据具体连接的RTO而定    
        #表示TCP重传数据的超时时间,FRC1122建议至少100秒;实际实现中,linux设置15次,对应约为13-30分钟,根据具体连接的RTO而定
        
    [root@centos7 ~]# cat /proc/sys/net/ipv4/tcp_syn_retries    #6      #默认值5次,约180秒;一个新连接最多尝试6次
    [root@centos7 ~]# cat /proc/sys/net/ipv4/tcp_synack_retries #2
    
linux关于重传的参数配置

 

RTT与RTO概念;RTT的测量;
=======================================================================================
RTT(Round Trip Time):一个连接的往返时间,即数据发送时刻到接收到确认的时刻的差值;
RTO(Retransmission Time Out):重传超时时间,即从数据发送时刻算起,超过这个时间便执行重传。
        https://blog.csdn.net/whgtheone/article/details/80970292        TCP的超时重传之深入了解RTT与RTO

--------------------------------------------------------------------------------------------
RTT的测量可以采用两种方法:     https://blog.csdn.net/zhangskd/article/details/71967071)TCP Timestamp选项-----这种方法相对比较准确
(2)重传队列中数据包的TCP控制块----接收报文时,还需要计算才能进行对比;如果cpu繁忙的话,那么结果就相差比较大了。。

重传的数据,是不会对相应ack进行RTT测试的,避免了重传的二义性
RTT与RTO概念;RTT的测量;

 

RTO计算的经典方法;RTO计算的标准方法;TCP时钟粒度;RTO、srtt、rttvar初始化;linux的RTT与RTO计算
=======================================================================================
经典方法【RFC0793】
SRTT <- α*SRTT +(1 - α)*RTT
    估算方法:指数加权移动平均、低通过滤器
    原理:利用现存的 SRTT 值和最新测量到的 RTT 值取一个加权平均
    α为平滑因子,推荐值为0.8-0.9

RTO = min(ubound, max(lbound, (SRTT)*β))
    ubound是 RTO 的上边界,建议1分钟
    lbound 为 RTO 的下边界,建议1秒钟
    β 称为时延离散因子,推荐值为 1.3 ~ 2.0###这个计算公式就是将 (SRTT)*β 的值作为 RTO,只不过另外限制了 RTO 的上下限。

经典方法的问题1:计时器无法适应RTT的大规模变动,特别是RTT突然急剧增大,因为新测量的RTT值权重较小,所以RTO增加缓慢,造成了不必要的重传(RTT急剧增加说明网络已经过载,此时不必要的重传加重了网络的负担)
经典方法的问题2:因为重传二义性,客户端不清楚真实情况如何,所以计算错误时,RTT值不是偏大就是偏小,进而影响了RTO的计算。而忽略重传报文的RTT计算,也会导致其他问题。
        重传二义性(数据发生重传后收到ack,那么这个ack到底是对第一次发送报文的确认,还是对第二次发送报文的确认呢)

---------------------------------------------------------------------------------------------
标准方法【J88】【RFC6298】

srtt <- (1-g)*srtt + g*M                #srtt其实就是经典方法的SRTT;M就是经典方法的RTT;g是权重值,g=1/8;#所以这个公式其实和经典方法的公式一样,只是换了皮。。。
rttvar <- (1-h)*rttvar + h*|M-srtt|     #增量h为新平均偏差样本,h=1/4;//计算 SRTT 与真实值的差距(称之为绝对误差|Err|),同样用到加权平均
RTO = srtt + 4*rttvar                   #估算出来的新的 RTO,rttvar 的系数 4 是调参调出来的
    ###当RTT(M)变化时,偏差的增量越大,RTO增长越快
    #这个算法的整体思想:结合平均值(就是基本方法)和平均偏差来进行估算,一波玄学调参得到不错的效果。

RTO边界
【RFC6298】在上面公式的基础上,基于TCP时钟粒度,将最终公式优化如下:
RTO = max(srtt + max(G,4*rttvar),1000)  #RTO的下限为1000ms,即1s;上限值也可以设置,无默认值;
    #G为计时器粒度,一般为500ms,但是新的linux实现采用1ms

---------------------------------------------------------------------------------------------
TCP时钟是一个变量,随着系统时钟做出更新,但不是一对一地同步更新;
粒度:TCP时钟一个“滴答”的时间长度

---------------------------------------------------------------------------------------------
【RFC6298】RTO初始值= 1s
初始SYN报文段采用的RTO为3s
srtt初始化:srtt <- M
rttvar初始化:rttvar <- M/2

------------------------------------------------------------------------------------------
linux的RTT与RTO计算---P469
RTO计算的经典方法;RTO计算的标准方法;TCP时钟粒度;RTO、srtt、rttvar初始化;linux的RTT与RTO计算

 

基于计时器的重传;二进制指数退避
------------------------------------------------------------------------------------------
基于计时器的重传

每个数据包都有相应的计时器,一旦超过 RTO 而没有收到 ACK,就重发该数据包。没收到 ACK 的数据包都会存在重传缓冲区里,等到 ACK 后,就从缓冲区里删除。
首先明确一点,对 TCP 来说,超时重传是相当重要的事件(RTO 往往大于两倍的 RTT,超时往往意味着拥塞),一旦发生这种情况,TCP 不仅会重传对应数据段,还会降低当前的数据发送速率,因为TCP 会认为当前网络发生了拥塞。

------------------------------------------------------------------------------------------
二进制指数退避:每次重传间隔时间加倍
    注意:第1次重传和第2次重传的间隔看起来不是严格的时间加倍,而后续的都是严格的时间加倍
        原因:重传机制是基于时钟的,每500ms进行一次计时,所以是基于时钟间隔来进行重传的;但是发包并不是基于时钟,不是基于500ms的,所以第1次的重传往往看起来会小一点



TCP的重传将会伴随着发生2件事:
    1.基于拥塞机制,减小发送窗口大小
    2.每次重传,增大RTO的退避因子,即退避因子翻倍,初始为1,后续为2,4,8,...
基于计时器的重传;二进制指数退避

 

快速重传
------------------------------------------------------------------------------------------
快速重传机制【RFC5681】基于接收端的反馈信息来引发重传,而非重传计时器超时。

当接收到失序报文时,接收端立即回复重复ACK,且不会被延时发送;发送端收到3次重复ACK后,立即发送时序的报文,而不需要等到计时器超时。(3次是因为无法判断该时序报文是真的失序,还是丢失;只有真的丢失,重传才有意义;失序其实影响不大)
但快速重传仍然没有解决一个问题:到底该重传多少个包?
快速重传
带选择确认的重传SACK
------------------------------------------------------------------------------------------
带选择确认的重传

SACK(Selective Acknowledgment),简单来讲就是在快速重传的基础上,返回最近收到的报文段的序列号范围,这样客户端就知道,哪些数据包已经到达服务器了。
带选择确认的重传SACK
伪重传(TCP Spurious Retransmission);DSACK 重复SACK
------------------------------------------------------------------------------------------
伪重传,虚假重传(TCP Spurious Retransmission):tcp发送端进行了超时重传,而实际上tcp发送端已经接受到报文,并回复了ack,只不过因为该ack因为某些原因延迟到达,超出了RTO时间,导致发送端进行了超时重传
    这可能会导致问题:触发发送端的快速重传。。。好像有点道理,但又是不常见的情况,因为触发这个问题需要的条件比较多。。。

DSACK,即重复SACK,这个机制是在 SACK 的基础上,额外携带信息,告知发送方有哪些数据包自己重复接收了。DSACK 的目的是帮助发送方判断,是否发生了包失序、ACK 丢失、包重复或伪重传。让 TCP 可以更好的做网络流控。
伪重传(TCP Spurious Retransmission);DSACK 重复SACK

 

4000 字详解TCP超时与重传

==============================================================================================================================

《网络排查案例课》12 | 重传的认识:重传到底是怎么回事?

虚假重传;超时重传;快速重传
==================================================================================================================
虚假重传
    有可能也是超时重传的,例如本案例的虚假重传,wireshark认为client已经回复ack(搭车数据报文),所以认为是虚假重传,但本质上应该是server端没有接收到client的数据报文导致了超时重传
    对于虚假重传,一般不用特别处理,集中关注超时重传和快速重传就好了
    
----------------------------------------------------------------------------------------------
超时重传,Timeout Retransmission,简称 RTO
    Timeout 其实是基于一个计时器,在报文发送出去后就开始计时,在时限内对方回复 ACK 的话,计时器就清零;而如果达到时限对方还没回复 ACK 的话,重传操作就被触发。
    对于超时重传:
        TCP 对于每条连接都维护了一个超时计时器,当数据发送出去后一定时限内还没有收到确认,就认为是发生了超时,然后重传这部分数据。
        RTO 的初始值是 1 秒(在发送 SYN 但未收到 SYN+ACK 阶段)。(RFC6298规定:在一条 TCP 连接刚刚开始,还没有收到任何回复的时候,这时的超时 RTO 为 1 秒。在更早以前的规范里,这个值是 3 秒。)
        在连接成功建立后,Linux 会根据 RTT 的实际情况,动态计算出 RTO。实际场景中,RTO 为 200ms 出头最为常见。
            RTO 有上限值和下限值,常见值分别为 2 分钟和 200ms。(这2个值不能修改)
        注意:3次握手和正常传输阶段的RTO是不一样的,3次握手RTO为1秒,而其他时间RTO一般为200ms

----------------------------------------------------------------------------------------------
快速重传
    如果对端回复连续 3 个 DupAck 即重复确认,我就把序列号等于这个 ACK 号的包重传。
    对于快速重传:
        快速重传的触发条件是:收到 3 个或者 3 个以上的重复确认报文(DupAck)。
        在快速重传中,SACK(选择性确认)也起到了避免一部分已经到达的数据被重传。不过,也由于 TCP 头部长度的限制,SACK 只能放置 4 个块,再多也不行了。
        快速重传只要 3 个 DupAck 就可以触发,实际上我们还可能观察到远多于 3 个 DupAck 的情况,这也是正常现象。
        Spurious 重传对 TCP 传输的影响比快速重传和超时重传小很多,总体来说是一种影响不大的重传。
虚假重传;超时重传;快速重传
wireshark关于重传的提示
==================================================================================================================
New fragment overlaps old data (retransmission?)。这是说,这个报文跟前面的报文有重合。这里的“重合”如何理解呢?比如,前面的报文是字节 100 到 200,新的报文是字节 150 到 250,那么两者在 150 到 200 字节之间就是重合的。这也不是很大的问题。
This frame is a (suspected) fast retransmission:这是快速重传报文,这个信息一般都比较准确,很少有错的时候,用 suspected 这个词,更多地体现了 Wireshark 开发人员的谦虚和严谨。
This frame is a (suspected) retransmission:这里就是超时重传了,Wireshark 发现抓包文件中没有相关的 DupAck,就推断出这个是超时重传。
Duplicate ACK (#1):这里有 28 个重复确认报文

如果在专家信息里看到 New fragment overlaps old data (retransmission?),这意味着多个报文之间的数据有重叠,但一般不是严重的问题。
Wireshark 提示的 (suspected) fast retransmission 就是快速重传报文。
Wireshark 提示的 (suspected) retransmission 就是超时重传报文。
如果发现有数据报文和 DupAck 数量不对等的情况,可以看一下是否有 TSO 的存在。
wireshark关于重传的提示
SACK
==================================================================================================================
SACK是tcp option选项,接收端通过ack告诉发送端已经接收的连续报文数量,通过SACK告诉发送端后续已经接收到的另一段连续报文,但是由于中间有一段报文未收到,所以这些已经收到的报文无法进行处理,需要通过SACK的方式告知发送端
    SACK避免了重传后续的所有报文,发送端只需要重传未到达的那一个报文即可
SACK 全称是 Selective Acknowlegement,中文叫“选择性确认” 

SACK 要能工作,还需要 SACK permitted 这个 TCP 扩展属性的支持。这个字段只有在 TCP 握手的 SYN 和 SYN+ACK 报文中出现,表示自己是否支持 SACK 特性。

受限于 TCP Option 长度,SACK 部分最多只能容纳 4 个块。
SACK
超时重传案例;快速重传案例
----------------------------------------------------------------
超时重传案例
    看起来client进行了8次重传,然后就继续发后续的seq 进行断开连接了;server侧则从始至终都没有收到那个被重传的报文,相应的ack也是旧的

-------------------------------------------------------------------
快速重传案例
抓包分析:
    知道了,为什么看起来没有发送报文,却一直有ack。是因为前面一直在发送报文呀。。。seq 39257发送到81317,所以接收端的接收窗口应该比较大,发送端可以一直发送;但是呢,处理比较慢,相应的ack滞后了。。
    其实这个现象就是需要稍微有点延迟,同时接受窗口比较大,所以就出现现象:ack报文和该ack确认的数据报文中间间隔了很多其他报文

    服务端从 32 号报文之后,发送的数据报文一共是 14 个,为啥客户端要回复的 DupAck 有 28 个呢?
        TSO,操作系统就可以把大于 MSS 的 TCP 段,比如 2 个 MSS 或更大尺寸的段,交给网卡驱动来处理,后者会利用其硬件芯片做分段工作,重新组装成新的符合 MTU 的报文后发送出去。
        因为 tcpdump 在内核里靠近网卡这一侧,所以 tcpdump 抓取到的还是 TSO 处理之前的大报文,只有到达了网卡并且被 TSO 机制做了分段处理后,才变成小报文。我们抓包文件里看到 14 个报文,实际发送出去的是 28 个报文,也就触发了 28 次 DupAck。
超时重传案例;快速重传案例

 ==============================================================================================================================

《网络排查案例课》13 | 重传的再认识:没有任何丢包却也一直重传?

ack对某个报文的局部确认
================================================================
ack确认号是确认到字节数的,并不是确认某个报文,所以一些特殊场景是会出现对某个报文的局部确认   
关键点:确认号本身代表字节数,所以它是字节级别的,而不是报文级别。也就是说,确认号是精确到某个字节的,而不是某个报文。
ack对某个报文的局部确认
案例: 应用为什么变慢了?
----------------------------------------------------------------------------
本次案例的根因为LB厂商的BUG,在数据包较大时,会触发bug,***会对报文进行部分确认***(这不是应该RS来确认吗?但抓包的现象确实如此)
    正式因为对一个报文的部分确认,导致了发送端发送的连续数据都要重新发送,同时还需要对这些数据先进行重组,再发送(因为部分确认,导致部分确认的那个报文有948字节没有确认,而每次发送都是1460字节,所以需要进行重组)
    ***这个重组需要消耗大量的CPU资源,增加了耗时;时间都花费在了各种包的分拆、重组上面了。***
    
    同时对抓包中出现的大量的dup ack存疑,不清楚为什么这么多。因为发送端发送的报文数量远远小于dup ack

    本次案例的重传包具有“规律性现象”。
        如果是网络设备问题导致丢包,那么丢包会是随机现象,不太可能像这样有规律(70 个 DupAck 加一个快速重传,不断循环)。而往往规律的背后,一般潜藏着某种未知的机制。



    实际上,在 Bug 修复之前,我们通过扩大 TCP receive buffer size,使得缓冲区足够大(你 HTTP POST 请求大,我缓冲区更大),也做到了对 Bug 的规避。
    根据滑动窗口定义:左边界不会左移只会右移(推进),收到左边已确认的重复确认包会直接丢弃。
案例: 应用为什么变慢了?

 

posted @ 2022-04-19 17:06  雲淡風輕333  阅读(1031)  评论(0编辑  收藏  举报