今天帮 @urcyanide 查了很教科书的一个问题
首先,下午的时候,网友求助我说某个客户的服务出现一个很奇怪的情况。具体现象为服务访问超时。抓包发现,一直在发送 SYN,但是服务侧没有响应(即三次握手没法建立),tcpdump 的抓包结果也验证了这点。我们能看到一直在发 SYN 包,但是没响应
首先,下午的时候,网友求助我说某个客户的服务出现一个很奇怪的情况。具体现象为服务访问超时。抓包发现,一直在发送 SYN,但是服务侧没有响应(即三次握手没法建立),tcpdump 的抓包结果也验证了这点。我们能看到一直在发 SYN 包,但是没响应
因为这个服务跑在容器里,那么第一反应是看 iptables ,看下 chain 中是否有 drop 掉回包的情况。经过排查没有。且得知服务是 --network=host 启动的。那么大概率不是 iptables 的问题了。
由于三次握手的操作是纯内核操作,所以有可能是内核里有奇怪的设置。按照“先止血,再查问题”的原则,我建议先摘掉这个节点的流量,然后重启服务看是否能先止血。
这个时候网友提供了一个很关键的信息。
这个时候网友提供了一个很关键的信息。
这个服务是启动之后接入一段时间流量后出现这样的问题。重启也会稳定复现,那我心里有谱了(要是第一时间能提供这个信息就能一眼丁真了(逃
这个问题大概率出在全链接队列和半连接队列上
这个问题大概率出在全链接队列和半连接队列上
众所周知,Linux 内部的链接处理逻辑是这样。首先接到 syn 后,创立一个 sock,放入半连接队列,然后回复 syn+ack ,三次握手完毕后,放入全链接队列,accept 后,从全链接队列里移除。这两个队列满了都会导致 sock 被 drop 掉。鉴于一直没有回复 ack,那么大概率是半连接队列满了
让他们执行下 netstat -s | egrep “listen|LISTEN” 命令
第二条就能得到很明确的结果,在半连接阶段,sock 就被 drop 了
在 Linux 6.2.5 下,处理这段代码的逻辑在 elixir.bootlin.com/linux/v6.2.5/s…
第二条就能得到很明确的结果,在半连接阶段,sock 就被 drop 了
在 Linux 6.2.5 下,处理这段代码的逻辑在 elixir.bootlin.com/linux/v6.2.5/s…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
