理论篇-网络

TCP/IP分层

1
2
3
4
5
6
7
用户进程1  用户进程2  用户进程3  用户进程4 ...         应用层
  |         |        |        |
  |        TCP       |        UDP                 传输层
  |           \      |    /
ICMP    ---->        IP  <----   IGMP             网络层
                     |
ARP   ---->       硬件接口 <----     RARP           链路层

重点:

  • ICMP(Internet Control Message Protocol)和IGMP(Internet Group Message Protocol)是IP协议的附属协议。其中,ICMP是ping和traceroute工具的基础。
  • ARP(Address Resolution Protocol)和RARP(Reverse Address Resolution Protocol)是某些网络(如以太网和令牌环网)使用的特殊协议,用来转换IP层和网络接口层使用的地址。ARP主要用来获取物理地址。
  • IP(Internet Protocol)是TCP/IP协议族中最核心的协议。所有的ICMP、IGMP、TCP和UDP数据都已IP数据报格式传输。
  • ICMP报文分为两种类型: 1. 查询报文 2. 差错报文。

ICMP

类型 代码 描述 查询 差错 处理方法
0 0 回显应答(ping) * 用户进程
3 目的不可达
0 网络不可达 * 无路由到达主机
1 主机不可达 * 无路由到达主机
2 协议不可达 * 连接被拒绝
3 端口不可达 * 连接被拒绝
4 需要进行分片但设置了不分片比特 * 无路由到达主机
5 源站选路失败 * 无路由到达主机
6 目的网络不认识 * 无路由到达主机
7 目的主机不认识 * 无路由到达主机
8 源主机被隔离(作废不用) * 无路由到达主机
9 目的网络被强制禁止 * 无路由到达主机
10 目的主机被强制禁止 * 无路由到达主机
11 由于服务类型TOS,网络不可达 * 无路由到达主机
12 由于服务类型TOS,主机不可达 * 无路由到达主机
13 由于过滤,通信被强制禁止 * 忽略
14 主机越权 * 忽略
15 优先权中止生效 * 忽略
4 0 源端被关闭(基本流控制) * TCP由内核处理,UDP则忽略
5 重定向 *
0 对网络重定向 * 内核更新路由表
1 对主机重定向 * 内核更新路由表
2 对服务类型和网络重定向 * 内核更新路由表
3 对服务类型和主机重定向 * 内核更新路由表
8 0 请求回显(ping) *
9 0 路由器通告 * 用户进程
10 0 路由器请求 * 用户进程
11 超时
0 传输期间生存时间为0(traceroute) * 用户进程
1 在数据报组装期间生存时间为0 * 用户进程
12 参数问题
0 坏的IP首部(包括各种差错) * 协议不可用
1 缺少必需的选项 * 协议不可用
13 0 时间戳请求 * 内核产生应答
14 0 时间戳应答 * 用户进程
15 0 信息请求(作废不用) *
16 0 信息应答(作废不用) *
17 0 地址掩码请求 * 内核产生应答
18 0 地址掩码应答 * 用户进程

ICMP规则:

  • ICMP差错报文必须包括生成该差错报文的数据报IP首部(包含任何选项),还必须包括跟在该IP首部后面的前8个字节(该数据为UDP或TCP协议的源端口号和目的端口号)。这样就可以告知源应用程序,目标应用程序不可达。

TCP状态

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
         client             server
           |                   | listen
           |                   |
主动打开    |        SYNi       |
SYN_SENT   |------------------>|
           |    SYNj,ACKi+1    | SYN_REVD
ESTABLISHED|<------------------|
           |       ACKj+1      |
           |------------------>| ESTABLISHED
           |                   |
           |                   |
           |                   |
           |                   |
同时打开    |        SYNi       | 同时打开
SYN_SENT   |<----------------->| SYN_SENT
SYN_REVD   |        SYNj       | SYN_REVD
           |                   |
           |    SYNi,ACKj+1    |
           |<----------------->|
           |    SYNj,ACKi+1    |
ESTABLISHED|                   | ESTABLISHED
           |                   |
           |                   |
           |                   |
           |                   |
主动关闭    |        FINs       | 被动关闭
FIN_WAIT_1 |------------------>|
           |       ACKs+1      | CLOSE_WAIT
FIN_WAIT_2 |<------------------|
           |        FINt       |
           |<------------------| LAST_ACK
TIME_WAIT  |       ACKt+1      |
           |------------------>| CLOSED
           |                   |
           |                   |
           |                   |
           |                   |
被动关闭    |        FINs       | 主动关闭
           |<------------------| FIN_WAIT_1
CLOSE_WAIT |       ACKs+1      |
           |------------------>| FIN_WAIT_2
           |        FINt       |
LAST_ACK   |------------------>|
           |       ACKt+1      | TIME_WAIT
CLOSED     |<------------------|
           |                   |
           |                   |
           |                   |
同时关闭    |        FINs       | 同时关闭
FIN_WAIT_1 |<----------------->| FIN_WAIT_1
           |        FINt       |
CLOSING    |                   | CLOSING
           |       ACKs+1      |
           |<----------------->|
TIME_WAIT  |       ACKt+1      | TIME_WAIT
           |                   |
           |                   |

TIME_WAIT状态需要等待2MSL(Maximum Segment Lifetime)。原因: 防止消息丢失。如果对方超时未收到ACK消息的话,会再次发送FIN消息。

当出现大量TIME_WAIT状态时的解决方案:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
#对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃,不应该大于255,默认值是5,对应于180秒左右时间   
net.ipv4.tcp_syn_retries=2  
#net.ipv4.tcp_synack_retries=2  
#表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为300秒  
net.ipv4.tcp_keepalive_time=1200  
net.ipv4.tcp_orphan_retries=3  
#表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间  
net.ipv4.tcp_fin_timeout=30    
#表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。  
net.ipv4.tcp_max_syn_backlog = 4096  
#表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭  
net.ipv4.tcp_syncookies = 1  
  
#表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭  
net.ipv4.tcp_tw_reuse = 1  
#表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭  
net.ipv4.tcp_tw_recycle = 1  
  
##减少超时前的探测次数   
net.ipv4.tcp_keepalive_probes=5   
##优化网络设备接收队列   
net.core.netdev_max_backlog=3000

当出现大量CLOSE_WAIT状态时的解决方案: 程序问题,检查源码

参考

再谈应用环境下的TIME_WAIT和CLOSE_WAIT

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    2、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: true
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

王彪<br>计算机科学与技术专业<br>email:841824090@qq.com<br>2009-2013 苏州大学<br>2013-2015 苏州思必驰信息科技有限公司<br>2016-2017 美团<br>2017-至今 搜狗