搜索结果: "tcp"

title: TCP 连接数爆表：攻击还是 Bug 排查指南

tags: [networking, tcp, troubleshooting, linux, security, case-study]

- raw/articles/TCP连接数爆表-是攻击还是Bug.md

# TCP 连接数爆表：攻击还是 Bug 排查指南

当服务器 TCP 连接数飙升（如 10 万+）时，快速分辨是 **DDoS/CC 攻击** 还是 **代码 Bug/配置错误**，是应急响应的核心能力。

firewall-cmd --add-port=8080/tcp --permanent

### ⑥ 向外追踪：ping / traceroute / tcpdump

traceroute -T -p 80 www.baidu.com # TCP（绕过 ICMP 过滤）

**tcpdump 终极抓包：**

tcpdump -i eth0 port 8080 -nn # 实时监控

tcpdump -i eth0 tcp -w /tmp/capture.cap

tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

出现 `Connection reset by peer` 用 tcpdump 抓包验证 RST：

tcpdump -i eth0 tcp -w rst.cap

| [[tcp-connection-attack-vs-bug]] | TCP 连接数爆表排查：攻击 vs Bug |

| **TCP Socket** | 无 HTTP 接口的服务（Nginx、Redis） | 检查端口是否开放 |

### 场景 2：Nginx TCP 探测

tcpSocket:

tcpSocket:

tcpSocket:

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_max_tw_buckets = 5000

net.ipv4.tcp_max_syn_backlog = 65535

net.ipv4.tcp_tw_reuse = 1

netstat -tunlp # 所有 TCP/UDP 监听端口 + 进程

### 24. tcpdump — 网络抓包

tcpdump -i eth0 port 80 # 抓 HTTP 流量

tcpdump -i any host 10.0.0.1 -w dump.pcap # 保存到文件

tcpdump -r dump.pcap # 读取 pcap

tags: [linux, performance, networking, security, tcp, memory, scheduling]

net.ipv4.tcp_tw_reuse = 1 # 允许复用 TIME_WAIT 端口

net.ipv4.tcp_tw_recycle = 0 # 关闭 TIME_WAIT 快速回收（NAT 场景必须关）

net.ipv4.tcp_max_tw_buckets = 50000 # 防止 TIME_WAIT 占满端口和内存

net.ipv4.tcp_syncookies = 1 # 开启 SYN 防攻击

## ② net.core.somaxconn — TCP 全连接队列

**作用：** 限制已完成 TCP 三次握手、等待 `accept()` 处理的全连接队列长度。

**调优原因：** 默认仅 **128**，是高并发 TCP 服务最常见的隐性瓶颈。应用内设置再大也被此参数截断。队列溢出时内核直接丢弃新连接，客户端出现 `connection refused` 或超时。

**调优原因：** 默认仅 ~**212KB**，远不能满足高带宽要求。缓冲区不足会压制 TCP 吞吐，导致物理网卡带宽无法跑满。

## ⑤ net.ipv4.tcp_max_syn_backlog — TCP 半连接队列

# 统计各 TCP 状态连接数

netstat -an | awk '/^tcp/{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -10

# TCP 优化

net.ipv4.tcp_syncookies = 1 # 防 SYN Flood

net.ipv4.tcp_tw_reuse = 1 # TIME_WAIT 复用

# 所有 TCP/UDP 连接（含 ESTABLISHED）

# 只显示 TCP 监听端口

tcp LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=845,fd=3))

| Netid | 协议类型（tcp/udp/tcp6/udp6） |

### TCP 状态诊断

# 第 36~45s: sar -n DEV 1 3 + sar -n TCP,ETCP 1 3

| `sar -n TCP,ETCP 1 3` | TCP 连接状态 | 重传率 | 重传异常升高 → 网络质量问题 |

### 生产验证的 TCP 参数

net.ipv4.tcp_max_syn_backlog = 65535

net.ipv4.tcp_fin_timeout = 15 # FIN_WAIT2 超时（默认 60）

sudo firewall-cmd --add-port=22/tcp --permanent # 先放行 SSH

sudo firewall-cmd --add-port=80/tcp --permanent # 按需添加

sudo ufw allow 22/tcp

net.ipv4.tcp_syncookies = 1

sudo firewall-cmd --add-port=2222/tcp --permanent

**根因：** 每个请求都新建 TCP 连接到 upstream，未使用长连接。

### 误区一：sendfile / tcp_nopush / tcp_nodelay 三选一

tcp_nopush on; # 等到数据包足够大再发，配合 sendfile 减少小包

tcp_nodelay on; # 禁用 Nagle 算法，小包立即发送（对交互式 API 重要）

**策略：** 对大文件下载（静态资源）用 `sendfile on + tcp_nopush on` 提升吞吐；对 API 代理用 `tcp_nodelay on` 降低延迟。三者可以同时开启——`tcp_nopush` 确保缓冲区满再发，`tcp_nodelay` 对个别小包突破此规则立即发送，互不矛盾。

第一道防线：OS 内核调优（文件句柄 + TCP 协议栈）

### TCP 协议栈压榨

net.ipv4.tcp_tw_reuse = 1

# ⚠️ 绝对不要开启 tcp_tw_recycle（新内核已废弃，NAT 下严重丢包）

net.ipv4.tcp_fin_timeout = 15

net.ipv4.tcp_max_syn_backlog = 65535

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_keepalive_time = 300

net.ipv4.tcp_keepalive_intvl = 30

net.ipv4.tcp_keepalive_probes = 3

- 说明：Linux 网络排障三工具实操指南（ss/netstat/lsof），TCP 状态诊断、实战场景、命令速查

| 2026-05-26 11:12 | create | tcp-connection-attack-vs-bug | tags: networking,tcp,troubleshooting,linux,security,case-study | source: 王璐宇 2025-08-29 | 5 cross-refs, tcp tag registered |

| 2026-05-26 11:24 | create | tcp-connection-attack-vs-bug | tags: networking,tcp,troubleshooting,linux,security,case-study | source: 王璐宇 2025-08-29 | P2 auto-publish, 5 cross-refs |

| 2026-05-28 10:22 | create | linux-kernel-tuning-guide | tags: linux,performance,networking,security,tcp | source: Linux沐风 2026-05-11 | P2 auto-publish, 4 cross-refs |

| 2026-05-29 11:25 | create | k8s-capacity-planning-qos-cost-optimization | tags: kubernetes,architecture,performance,monitoring,java,golang,messaging,tcp | source: 小随小看 2026-05-23 | P2 auto-publish, 8 cross-refs |

**现象：** 服务器被入侵，挖矿程序通过 Docker 逃逸到宿主机；公网任何人可通过 `docker -H tcp://server:2375 ps` 操作远程容器。

**原理：** Docker daemon 默认不开放 TCP 端口。若管理员暴露到公网，任何能访问该端口的人都能以 root 权限运行任意容器→读取所有文件→通过逃逸获宿主机 root。

# 修改 systemd unit，不要加 -H tcp://0.0.0.0:2375

| [[tcp-connection-attack-vs-bug]] | TCP 连接数爆表排查：攻击 vs Bug |

| 4 | 传输层 | 端到端传输 | TCP, UDP |

### 3. TCP 三次握手与四次挥手

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

| tcpdump | 抓包分析 | L2-L7 |

| 协议支持 | HTTP/HTTPS/gRPC/TCP | HTTP/HTTPS/gRPC/TCP/ UDP | HTTP/HTTPS/TCP | HTTP/HTTPS |

2. 缩短 `net.netfilter.nf_conntrack_tcp_timeout_time_wait`（默认 120s → 建议 30s）

6. 抓包确认：`tcpdump -i any port `

4. 抓包分析长尾连接：`tcpdump -i any -s 0 -w capture.pcap`

# KUBE-SVC-XXXXXXXX tcp -- anywhere 10.109.12.34 tcp dpt:80

# KUBE-SEP-XXXXXXXX tcp -- anywhere 10.244.1.15 tcp dpt:8080

# TCP :80 rr

tcpSocket:

- [[linux-essential-commands-reference]] — Linux 运维工程师 30 个高频命令速查手册（ls/cd/grep/find/top/ss/tcpdump 等全覆盖）

- [[network-troubleshooting-order]] — 服务器网络排障方法论：分层定位七步法（IP/路由/防火墙/tcpdump）

- [[online-troubleshooting-checklist]] — 线上故障排查速查清单：CPU/磁盘/内存/GC/网络 四维快速参考（含 jstack/jmap/jstat/tcpdump）

- [[tcp-connection-attack-vs-bug]] — TCP 连接数爆表时快速分辨是 DDoS/CC 攻击还是代码 Bug — 连接状态分析、源 IP 分析、攻防鉴别表、应急与根因治理

| 9 | TCP/IP 协议栈分层？ | 应用层(HTTP) → 传输层(TCP/UDP) → 网络层(IP) → 链路层(以太网) | — |

| 10 | 网络故障排查？ | ping(连通) → traceroute(路由) → netstat(连接) → tcpdump(抓包) → 防火墙 | [[network-troubleshooting-order]] |

| 52 | TCP 协议栈优化+Pod 网络？ | 缓冲区增大 + tcp_fastopen + BBR + Calico DSR + MTU 调整 + eBPF + SR-IOV | [[linux-kernel-tuning-production]] |

resourceRequestCpu: "500m"

resourceLimitCpu: "1"

resourceRequestCpu: "100m"

sar -n DEV,EDEV,TCP,ETCP 1 5

| `SYN-RECV` 很多 | 连接风暴、半连接队列不足 | 调大 `somaxconn`、`tcp_max_syn_backlog` |

| [[online-troubleshooting-checklist]] | 四维排查速查清单（CPU/磁盘/内存/网络 + Java 工具 jstack/jmap/jstat/tcpdump） |

| `proto=tcp/udp` | NFSv3 | 传输协议（v4 强制 TCP） |

| `nconnect` | NFSv4.1+ | 多 TCP 连接数，提升并发吞吐 |

- [[network-troubleshooting-order]] — 网络排障（NFS 依赖 TCP 网络层）

mount -t nfs -v -o vers=4.2,tcp,hard,intr,rsize=1048576,wsize=1048576 \

tcpdump -i any port 2049 -w nfs_trace.pcap &

| 挂载参数 | vers=4.2,tcp,hard,intr,rsize=1048576,wsize=1048576,timeo=14,retrans=3,\_netdev,noatime |

iptables -A INPUT -p tcp -s <运维IP> --dport 2222 -j ACCEPT

# 修改 listen_endpoints = tcp:2222:interface=0.0.0.0

AllowTcpForwarding no

| 基础存活 | 进程存活 | `/healthz` 或 TCP 端口 |

不配置优雅终止的后果：Pod 删除瞬间 TCP 连接被强断，请求失败、长连接中断。

# rsyslog 远程转发（TCP 保证可靠）

| 日志转发丢失数据 | rsyslog 使用 UDP 网络抖动 | 改用 TCP（`@@`）+ 启用磁盘队列缓冲 |

| TCP | TCP 缓冲区 | 大量网络连接 |

- [[online-troubleshooting-checklist]] — 四维排查速查清单（CPU/磁盘/内存/网络 + Java 工具 jstack/jmap/jstat/tcpdump）

sar -n TCP,ETCP 1 3 # TCP retransmits, listen drops

| **TIME_WAIT 堆积** | ss -s 大量 timewait, listen drops | `tcp_tw_reuse` + 连接池 |

### ④ 检查 TCP backlog

| [[network-troubleshooting-order]] | 基础网络连通性排障（防火墙/路由/tcpdump） |

- tcp: TCP 协议与连接排查

- **丰富的可观测性**：Hubble 提供 L3-L7 流量可视化、服务依赖图、TCP 指标

| 健康检查 | HTTP / TCP / gRPC / Script / TTL — 模型最丰富 |

| `tcp-keepalive` | 300 | TCP keepalive 间隔（秒） |

- Service：L4 负载均衡（TCP/UDP）

tags: [kubernetes, architecture, performance, monitoring, java, golang, messaging, tcp]

tcp:

# 容器内有 curl/nc/dig/ss/tcpdump 等全套网络工具

# 正常输出：TCP :80 rr → :8081 Masq 1 0 0

- [[online-troubleshooting-checklist]] — 四维排查速查清单（CPU/磁盘/内存/网络 + Java 工具 jstack/jmap/jstat/tcpdump）

- [ ] VRRP 通信正常（`tcpdump -i eth0 vrrp -n`）

ip_protocol = "tcp"