Linux系統下，TCP連接斷開后，會以TIME_WAIT狀態保留一定的時間，然后才會釋放端口。當并發請求過多的時候，

就會產生大量的TIME_WAIT狀態的連接，無法及時斷開的話，會占用大量的端口資源和服務器資源。這個時候我們可以優化TCP的內核參數，

來及時將TIME_WAIT狀態的端口清理掉。

本文介紹的方法只對擁有大量TIME_WAIT狀態的連接導致系統資源消耗有效，如果不是這種情況下，效果可能不明顯。

可以使用netstat命令去查TIME_WAIT狀態的連接狀態，輸入下面的組合命令，查看當前TCP連接的狀態和對應的連接數量：

#netstat -n | awk '/^tcp/ {++S[$NF]} END { for( a in S ) print a, S[a]}'

這個命令會輸出類似下面的結果：

LAST_ACK 16

SYN_RECV 348

ESTABLISHED 70

FIN_WAIT1 229

FIN_WAIT2 30

CLOSING 33

TIME_WAIT 18098

我們只用關心TIME_WAIT的個數，在這里可以看到，有18000多個TIME_WAIT，這樣就占用了18000多個端口。要知道端口的數量只有65535個，

占用一個少一個，會嚴重的影響到后繼的新連接。這種情況下，我們就有必要調整下Linux的TCP內核參數，讓系統更快的釋放TIME_WAIT連接。

內核參數的優化：

#表示系統同時保持TIME_WAIT的最大數量，如果超過這個數字，TIME_WAIT將立刻被清除并打印警告信息。

默認為180000，改為6000。對于Apache、Nginx等服務器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，

但是對于 Squid，效果卻不大。此項參數可以控制TIME_WAIT的最大數量，避免Squid服務器被大量的TIME_WAIT拖死。

net.ipv4.tcp_max_tw_buckets = 6000

#表示用于向外連接的隨機端口范圍。缺省情況下很小：32768到61000，改為10000到65000

（注意：這里不要將最低值設的太低，否則可能會占用掉正常的端口！）

net.ipv4.ip_local_port_range = 10000 65536

#表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1

#開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接，默認為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1

#開啟SYN Cookies，當出現SYN等待隊列溢出時，啟用cookies來處理,可防范少量SYN攻擊，默認為0，表示關閉；

net.ipv4.tcp_syncookies = 1

#表示當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時7200，改為20分鐘。單位是秒

net.ipv4.tcp_keepalive_time = 1200

#web應用中listen函數的backlog默認會給我們內核參數的net.core.somaxconn限制到128，

而Nginx內核參數定義的NGX_LISTEN_BACKLOG默認為511，所以有必要調整這個值

net.core.somaxconn = 32768

#每個網絡接口接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目

net.core.netdev_max_backlog = 32768

#系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字，孤兒連接將即刻被復位并打印出警告信息。

這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了內存之后)

net.ipv4.tcp_max_orphans = 3276800

#記錄的那些尚未收到客戶端確認信息的連接請求的最大值。

#表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網絡連接數

對于那些依然還未獲得客戶端確認的連接請求﹐需要保存在隊列中最大數目。對于超過 128Mb 內存的系統﹐默認值是 1024 ﹐

低于 128Mb 的則為 128。如果服務器經常出現過載﹐可以嘗試增加這個數字。警告﹗假如您將此值設為大于 1024﹐

最好修改 include/net/tcp.h 里面的 TCP_SYNQ_HSIZE ﹐以保持 TCP_SYNQ_HSIZE*16(SYN Flood攻擊利用TCP協議散布握手的缺陷，

偽造虛假源IP地址發送大量TCP-SYN半打開連接到目標系統，最終導致目標系統Socket隊列資源耗盡而無法接受新的連接。

為了應付這種攻擊，現代Unix系統中普遍采用多連接隊列處理的方式來緩沖(而不是解決)這種攻擊，

是用一個基本隊列處理正常的完全連接應用(Connect()和Accept() )，是用另一個隊列單獨存放半打開連接。

這種雙隊列處理方式和其他一些系統內核措施(例如Syn-Cookies/Caches)聯合應用時，能夠比較有效的緩解小規模的SYN Flood攻擊(事實證明)

net.ipv4.tcp_max_syn_backlog = 8192

#時間戳可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。

時間戳能夠讓內核接受這種“異常”的數據包。這里需要將其關掉。

Timestamps 用在其它一些東西中﹐可以防范那些偽造的 sequence 號碼。一條1G的寬帶線路或許會重遇到帶?

out-of-line數值的舊sequence 號碼(假如它是由于上次產生的)。Timestamp 會讓它知道這是個 '舊封包'。

(該文件表示是否啟用以一種比超時重發更精確的方法（RFC 1323）來啟用對 RTT 的計算；為了實現更好的性能應該啟用這個選項。) 缺省值為1

net.ipv4.tcp_timestamps = 0

#為了打開對端的連接，內核需要發送一個SYN并附帶一個回應前面一個SYN的ACK。

也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK包的數量。

net.ipv4.tcp_synack_retries = 2

#在內核放棄建立連接之前發送SYN包的數量

net.ipv4.tcp_syn_retries = 2

#在內核放棄建立連接之前發送SYN包的數量。

net.ipv4.tcp_syn_retries = 1

#net.ipv4.tcp_tw_len = 1

#如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。

對端可能出錯并永遠不關閉連接，甚至意外當機。缺省值是60秒。2.2 內核的通常值是180秒，

你可以按這個設置，但要記住的是，即使你的機器是一個輕載的WEB服務器，

也有因為大量的死套接字而內存溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，因為它最多只能吃掉1.5K內存，但是它們的生存期長些。

net.ipv4.tcp_fin_timeout = 30

# TCP讀buffer,可參考的優化值: 32768 436600 873200 ?min, default, max

net.ipv4.tcp_rmem ?= 32768 436600 873200

min：為TCP socket預留用于接收緩沖的內存數量，

即使在內存出現緊張情況下tcp socket都至少會有這么多數量的內存用于接收緩沖，默認值為8K。

default：為TCP socket預留用于接收緩沖的內存數量，默認情況下該值影響其它協議使用的 net.core.wmem_default 值。

該值決定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win=0默認值情況下，TCP窗口大小為65535。默認值為87380

max：用于TCP socket接收緩沖的內存最大值。該值不會影響 net.core.wmem_max，"靜態"選擇參數 SO_SNDBUF則不受該值影響。

默認值為 128K。默認值為87380*2 bytes。

（可以看出，.max的設置最好是default的兩倍,對于NAT來說主要該增加它,我的網絡里為 51200 131072 204800）

# TCP寫buffer,可參考的優化值: 8192 436600 873200 ? ?min, default, max

net.ipv4.tcp_wmem = 8192 436600 873200

min：為TCP socket預留用于發送緩沖的內存最小值。每個tcp socket都可以在建議以后都可以使用它。默認值為4096(4K)

default：為TCP socket預留用于發送緩沖的內存數量，默認情況下該值會影響其它協議使用的net.core.wmem_default 值，

一般要低于net.core.wmem_default的值。默認值為16384(16K)。

max: 用于TCP socket發送緩沖的內存最大值。該值不會影響net.core.wmem_max，"靜態"選擇參數SO_SNDBUF則不受該值影響。

默認值為131072(128K)。（對于服務器而言，增加這個參數的值對于發送數據很有幫助,在我的網絡環境中,修改為了51200 131072 204800）

net.ipv4.tcp_mem = 94500000 91500000 92700000 ?low, pressure, high

# 同樣有3個值,意思是:

net.ipv4.tcp_mem[0]:低于此值，TCP沒有內存壓力。

net.ipv4.tcp_mem[1]:在此值下，進入內存壓力階段。

net.ipv4.tcp_mem[2]:高于此值，TCP拒絕分配socket。

上述內存單位是頁，而不是字節。可參考的優化值是:786432 1048576 1572864

low：當TCP使用了低于該值的內存頁面數時，TCP不會考慮釋放內存。

(理想情況下，這個值應與指定給 tcp_wmem 的第 2 個值相匹配 - 這第 2 個值表明，最大頁面大小乘以最大并發請求數除以頁大小 (131072 * 300 / 4096)。 )

pressure：當TCP使用了超過該值的內存頁面數量時，TCP試圖穩定其內存使用，進入pressure模式，

當內存消耗低于low值時則退出pressure狀態。(理想情況下這個值應該是 TCP 可以使用的總緩沖區大小的最大值 (204800 * 300 / 4096)。 )

high：允許所有tcp sockets用于排隊緩沖數據報的頁面量。

(如果超過這個值，TCP 連接將被拒絕，這就是為什么不要令其過于保守 (512000 * 300 / 4096) 的原因了。?

在這種情況下，提供的價值很大，它能處理很多連接，是所預期的 2.5 倍；或者使現有連接能夠傳輸 2.5 倍的數據。

?我的網絡里為192000 300000 732000)

一般情況下這些值是在系統啟動時根據系統內存數量計算得到的。

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216 ? ? ? ? ? #最大socket讀buffer,可參考的優化值:873200

net.core.wmem_max = 16777216 ? ? ? ? ? #最大socket寫buffer,可參考的優化值:873200

總結一下：

這幾個參數，建議只在流量非常大的服務器上開啟，會有顯著的效果。一般的流量小的服務器上，沒有必要去設置這幾個參數。

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.ip_local_port_range = 10000 65000

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000

本文轉自 yuri_cto 51CTO博客，原文鏈接：http://blog.51cto.com/laobaiv1/1952732，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的linux操作系统网络内核优化的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。