抓包整理————tcp 三次握手性能优化[十]
前言
tcp 三次握手性能优化。
正文
服务器三次握手流程示例:
下面就是3次握手的过程:
知道这个有什么用呢?
我举一个我使用到的例子哈。
比如有很多 tcp 连接到一台机器上机器上,那么tcp_max_syn_backlog就需要调大。
服务器设置
net.ipv4.tcp_max_syn_backlog 调大。
net.ipv4.tcp_synack_retries: 被动建立连接时,发syn/ack 重试的次数。
第一个很好理解哈,backlog越大,那么承载越多。
第二个是网络不好的时候syn/ack 重试次数越多,那么连接失败率越低。
客户端syn_sent 状态:
net.ipv4.tcp_syn_retries = 6 主动建立连接时,发syn重试的次数
net.ipv4.ip_local_port_range = 32000 60000 设置端口范围
客户端也好理解哈,就是网络拥堵设置多一些重试,端口范围大一些,这样连接的越多。
然后如果是不断的发送数据然后断开,然后重连的话,那么可以使用tcp fast open来实现。
这个图其实很好理解哈。
左边的是普通情况。就是在最后ack确认的情况下把请求发出去。但是第二次请求的时候还是要建立3次握手。
第二种就是第一次发送syn+ack确认的时候给一个cookie。
这个cookie 有什么作用呢?那就是第二次连接的时候直接发送syn+cookie,那么对方会syn+ack 就连接完成了。
为什么可以这么做呢? 实际上这个cookie 里面存在滑动窗口大小,那么就不用最后的ack确认了。
如何打开这个tcp fast open 呢?
linux 参数:net.ipv4.tcp_fastopen
0 是关闭
1 是作为客户端时可以使用tfo
2 是作为服务器时可以使用tfo
3 无论作为客户端还是服务器,都可以使用tfo
上一节中介绍了syn攻击,那么如何应对呢?
net.core.netdev_max_backlog 接收自网卡、但未被内核协议栈处理的保温队列长度
net.ipv4.tcp_max_syn_backlog syn_rcvd 状态连接的最大个数
net.ipv4.tcp_abor_on_overflow 超出处理能力时,对新来的syn直接回rst,丢弃链接
另外一种 防御sync 攻击的方式是,tcp_syncookies方式。
就是当syn队列满的时候,新的syn不进入队列中,计算出cookie再以syn + ack 中的序列号返回客户端。
正常客户端发报文时,服务器根据报文中携带的cookie 重新恢复连接。
由于 cookie 占用序列号空间,导致此时所有tcp可选功能失效,例如扩充窗口等。
然后还有一个概念,那就是tcp_defer_accept,这种就是只有对方发送数据的时候,那么服务器才会去激活客户端获取连接。
结
下一节看下如何传输数据。