在 TCP 三次握手的时候,Linux 内核会维护两个队列,分别是:
- 半连接队列,SYN Queue
- 全连接队列,Accept Queue
服务端接收到客户端发起的 SYN 请求后,内核会把该连接存储到半连接队列中,并向客户端响应 ACK+SYN 包,接着客户端会返回 ACK,服务端收到第三次握手的 ACK 后,内核会把连接从半连接队列移除,然后创建新的完全的连接,并将其添加到 accept 队列,等待进程调用 accept 函数时把连接取出来。
不管是半连接队列还是全连接队列,都有最大长度限制,超过限制时,内核会直接丢弃,或返回 RST 包。
TCP 全连接队列满了怎么办?
当服务端并发处理大量请求时,如果 TCP 全连接队列过小,就容易溢出。发生 TCP 全连接队溢出的时候,后续的请求就会被丢弃,这样就会导致服务端请求数量上不去。
TCP 全连接队列的最大值取决于 somaxconn 和 backlog 之间的最小值,如果持续不断地有连接因为 TCP 全连接队列溢出被丢弃,就应该调大 backlog 以及 somaxconn 参数。
somaxconn是 Linux 内核的参数,默认值是 128,可以通过/proc/sys/net/core/somaxconn来设置其值;backlog是listen(int sockfd, int backlog)函数中的 backlog 大小,Nginx 默认值是 511,可以通过修改配置文件设置其长度。
TCP 半连接队列满了怎么办?
可以开启 syncookies 功能,这样就可以在不使用 SYN 半连接队列的情况下成功建立连接。
syncookies 的原理:服务器根据当前状态计算出一个值,放在己方发出的 SYN+ACK 报文中发出,当客户端返回 ACK 报文时,取出该值验证,如果合法,就认为连接建立成功,如下图所示。
如何预防 SYN 攻击?
方法:
- 增大半连接队列;
- 开启 tcp_syncookies 功能;
- 减少 SYN+ACK 重传次数。