随笔 - 119  文章 - 1  trackbacks - 0
<2020年8月>
2627282930311
2345678
9101112131415
16171819202122
23242526272829
303112345

常用链接

留言簿

随笔分类

随笔档案

收藏夹

调试技巧

搜索

  •  

最新评论

阅读排行榜

评论排行榜

60天内阅读排行

openssl官网:https://www.openssl.org

下载源码

源码地址为:https://www.openssl.org/source/old/;当前最新版本为 1.1.0f,https://www.openssl.org/source/old/1.1.0/openssl-1.1.0f.tar.gz

源码编译

解压之后,进入源码目录openssl-1.1.0f,执行如下命令。因为只需要编译静态库,也没有特殊要求,所以使用的编译选项配置很简单:

./config -fPIC no-shared --prefix=/home/aa/Downloads/linux

make all

make install

--prefix  用来指定输出目录  ,-fPIC:指示生成位置无关的代码,这个选项是在把openssl生成的静态库链接到动态库的时候提示错误添加的;no-shared:指示生成静态库。

最终在指定目录下会编译出libssl.a和libcrypto.a两个库文件,在开发的时候只需要包含头件并链接这两个库就可以了。

 

附录:

关于openssl的编译选项的解读:

全局选项

第一类是全局性选项:

--openssldir=OPENSSLDIR 安装目录,默认是 /usr/local/ssl 。

--prefix=PREFIX 设置 lib include bin 目录的前缀,默认为 OPENSSLDIR 目录。

--install_prefix=DESTDIR 设置安装时以此目录作为"根"目录,通常用于打包,默认为空。

zlib
zlib-dynamic
no-zlib 使用静态的zlib压缩库、使用动态的zlib压缩库、不使用zlib压缩功能。

threads
no-threads 是否编译支持多线程的库。默认支持。

shared
no-shared 是否生成动态连接库。

asm
no-asm 是否在编译过程中使用汇编代码加快编译过程。

enable-sse2
no-sse2 启用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集,就可以打开,否则就要关闭。

gmp
no-gmp 启用/禁用GMP库

rfc3779
no-rfc3779 启用/禁用实现X509v3证书的IP地址扩展

krb5
no-krb5 启用/禁用 Kerberos 5 支持

ssl
no-ssl
ssl2
ssl3
no-ssl2
no-ssl3
tls
no-tls 启用/禁用 SSL(包含了SSL2/SSL3) TLS 协议支持。

dso
no-dso 启用/禁用调用其它动态链接库的功能。[提示]no-dso仅在no-shared的前提下可用。

[提示]为了安装Apache的mod_ssl成功,SSLv2/SSLv3/TLS都必须开启。

算法选项

第二类用于禁用crypto目录下相应的子目录(主要是各种算法)。虽然理论上这些子目录都可以通过"no-*"语法禁用,但是实际上,为了能够最小安装libcrypto,libssl,openssl,其中的大部分目录都必须保留,实际可选的目录仅有如下这些:

no-md2,no-md4,no-mdc2,no-ripemd 这些都是摘要算法,含义一目了然。

no-des,no-rc2,no-rc4,no-rc5,no-idea,no-bf,no-cast,no-camellia 这些都是对称加密算法,含义一目了然。"bf"是"Blowfish"的意思。

no-ec,no-dsa,no-ecdsa,no-dh,no-ecdh 这些都是不对称加密算法,含义一目了然。

no-comp 数据压缩算法。因为目前实际上并没有压缩算法,所以只是定义了一些空接口。

no-store 对象存储功能。

 

CURL

   https://curl.haxx.se/download/curl-7.61.0.tar.gz

1.下载,解压;进入目录;将上面openssl 输出的整个目录,命名 openssl 拷贝到 curl 目录下;

2.编译:

 ./configure --prefix=/home/aa/Downloads/linux --with-ssl=$(pwd)/openssl --disable-shared

 

./configure --prefix=/home/program/linux/libs --with-ssl=/usr/local/openssl --disable-shared

 

--prefix指定输出目录;--with-ssl=./openssl 指定 openssl 目录;

make all

make install

openssl静态库libcrypto.a和libssl.a出现undefined reference to错误的问题

libs/libcrypto.a(dso_dlfcn.o): In function `dlfcn_globallookup':
dso_dlfcn.c:(.text+0x11): undefined reference to `dlopen'
dso_dlfcn.c:(.text+0x24): undefined reference to `dlsym'
dso_dlfcn.c:(.text+0x2f): undefined reference to `dlclose'
libs/libcrypto.a(dso_dlfcn.o): In function `dlfcn_bind_func':
dso_dlfcn.c:(.text+0x334): undefined reference to `dlsym'
dso_dlfcn.c:(.text+0x3f2): undefined reference to `dlerror'
libs/libcrypto.a(dso_dlfcn.o): In function `dlfcn_load':
dso_dlfcn.c:(.text+0x459): undefined reference to `dlopen'
dso_dlfcn.c:(.text+0x4c9): undefined reference to `dlclose'
dso_dlfcn.c:(.text+0x502): undefined reference to `dlerror'
libs/libcrypto.a(dso_dlfcn.o): In function `dlfcn_pathbyaddr':
dso_dlfcn.c:(.text+0x5a1): undefined reference to `dladdr'
dso_dlfcn.c:(.text+0x601): undefined reference to `dlerror'
libs/libcrypto.a(dso_dlfcn.o): In function `dlfcn_unload':
dso_dlfcn.c:(.text+0x662): undefined reference to `dlclose

async.c:(.text+0xe4): undefined reference to `pthread_setspecific'
async.c:(.text+0xf4): undefined reference to `pthread_getspecific'
async.c:(.text+0x104): undefined reference to `pthread_setspecific'
/usr/local/openssl/lib/libcrypto.a(async.o): In function `ASYNC_init_thread.part.1':
async.c:(.text+0x253): undefined reference to `pthread_setspecific'
/usr/local/openssl/lib/libcrypto.a(async.o): In function `async_start_func':
async.c:(.text+0x36f): undefined reference to `pthread_getspecific'
async.c:(.text+0x39e): undefined reference to `pthread_getspecific'
/usr/local/openssl/lib/libcrypto.a(async.o): In function `ASYNC_start_job':
async.c:(.text+0x404): undefined reference to `pthread_getspecific'
async.c:(.text+0x41e): undefined reference to `pthread_getspecific'
async.c:(.text+0x433): undefined reference to `pthread_getspecific'
/usr/local/openssl/lib/libcrypto.a(async.o):async.c:(.text+0x44c): more undefined references to `pthread_getspecific' follow
/usr/local/openssl/lib/libcrypto.a(async.o): In function `ASYNC_start_job':
async.c:(.text+0x7ef): undefined reference to `pthread_setspecific'
async.c:(.text+0x811): undefined reference to `pthread_getspecific'
async.c:(.text+0x82d): undefined reference to `pthread_getspecific'
async.c:(.text+0x83f): undefined reference to `pthread_getspecific'
async.c:(.text+0x870): undefined reference to `pthread_getspecific'
async.c:(.text+0x891): undefined reference to `pthread_getspecific'
/usr/local/openssl/lib/libcrypto.a(async.o):async.c:(.text+0x8a6): more undefined references to `pthread_getspecific' follow
/usr/local/openssl/lib/libcrypto.a(async_posix.o): In function `async_global_init':
async_posix.c:(.text+0xc): undefined reference to `pthread_key_create'
async_posix.c:(.text+0x1e): undefined reference to `pthread_key_create'
/usr/local/openssl/lib/libcrypto.a(async_posix.o): In function `async_local_init':
async_posix.c:(.text+0x3d): undefined reference to `pthread_setspecific'
async_posix.c:(.text+0x50): undefined reference to `pthread_setspecific'
/usr/local/openssl/lib/libcrypto.a(dso_dlfcn.o): In function `dlfcn_globallookup':
 

在CMakeList

set(CMAKE_CXX_FLAGS "${CMAKE_CXX_FLAGS} -v -Wall   -std=c++11")

添加 -ldl -lpthread


plus:
curl master: https://github.com/curl/curl.git
cmake3 ../ -DBUILD_SHARED_LIBS=0 -DOPENSSL_ROOT_DIR=/data/code/openssl

posted @ 2020-08-07 16:52 长戟十三千 阅读(4) | 评论 (0)编辑 收藏

建立PublicKey登陆步骤其实非常简单,总结来说就是将客户端生成的的ssh public key添加到服务器的~/.ssh/authorized_keys文件中,即可实现ssh的免密码登录。

步骤

1.客户端生成公钥和密钥
2.将公钥配置到服务器即可

1.客户端生成公钥和密钥

在客户端生成公钥密钥 附一篇ssh-keygen 基本用法

$ cd .ssh/ $ ssh-keygen -t rsa  -C "My-key" 

然后一路回车, 使用默认值即可

使用ls 命令可以看到当前目录下的文件,有了个 id_rsaid_rsa.pub,前者是密钥,后者是公钥。

 

查看公钥

$ cat id_rsa.pub 

复制公钥

2.将公钥配置到服务器

先尝试进入 .ssh 看看目录是否存在

$ cd .ssh 

若不存在则新建一个

$ mkdir ~/.ssh 

然后修改权限

$ chmod 700 .ssh 

接着再进入.ssh,然后修改将公钥添加到authorized_keys

$ vim authorized_keys 

i,然后将刚刚复制的密钥粘贴到这里,按esc,再按:,输入wq保存并退出
接着修改权限

$ chmod 600 ~/.ssh/* 

做好配置之后,通过ssh可以直接登录了。

简化登陆指令

我们可以利用ssh的配置文件来简化我们登陆的操作
配置文件在~/.ssh/config
我们可以修改这个文件(如果不存在则新建一个)

Host            YourName HostName        YourServer User            root 

YourName可以改成任意名字
如果修改了端口则需要加上Port参数
还有各种各样的参数可以查看帮助

$ man ssh_config 

配置完后可以这样登陆服务器

$ ssh YourName 

Enjoy it~



作者:河里的肥鱼
链接:https://www.jianshu.com/p/1600fbf01917
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
posted @ 2020-06-28 15:52 长戟十三千 阅读(7) | 评论 (0)编辑 收藏
故障现象:在终端直接cd /var正常,在shell脚本中执行则报错。原因是脚本是在windows平台下写的,换行符与linux不同,造成脚本不能正确执行
出现bad interpreter:No such file or directory(没有那个文件或目录)的原因,是文件格式的问题。这个文件是在Windows下编写的。换行的方式与Unix不一样,但是在vim下面如果不Set一下又完全看不出来。
问题分析:
1、将windows 下编写好的SHELL文件,传到linux下执行,提示出错。
2、出错信息:bad interpreter: 没有那个文件或目录。
问题原因:
因为操作系统是windows,在windows下编辑的脚本,所以有可能有不可见字符。脚本文件是DOS格式的
即每一行的行尾以\r\n来标识, 其ASCII码分别是0x0D, 0x0A.
解决方法:
可以有很多种办法看这个文件是DOS格式的还是UNIX格式的, 还是MAC格式的
(1) vim filename
然后用命令 :set ff
可看到dos或unix的字样,如果的确是dos格式的, 那么用set ff=unix把它强制为unix格式的,,然后存盘退出后就可运行。
(set ff=unix : 告诉 vi 编辑器,使用unix换行符,个人使用以上方法解决,简单方便,推荐此方式)
###############分割线##############
转换不同平台的文本文件格式可以用
1. unix2dos或dos2unix这两个小程序来做. 很简单. 在djgpp中这两个程序的名字叫dtou和utod, u代表unix, d代表dos
2. 也可以用sed 这样的工具来做:
复制代码代码如下:
sed ‘s/^M//' filename > tmp_filename
mv -f tmp_filename filename
特别说明:^M并不是按键shift + 6产生的^和字母M, 它是一个字符, 其ASCII是0x0D, 生成它的办法是先按CTRL+V, 然后再回车(或CTRL+M)
另外, 当SHELL程序报告command not found时, 总是去检查一下你的PATH里面有没有程序要用到的每一个命令(没指定绝对路径的那种). 你这么小的程序, 可以一行一行核对。
附:少写一个/引发的没有那个文件或目录问题
   今天在翻看以前写的简单的shell脚本时,发现一个问题:
   当./运行时总是提示:  (bash: ./hello.sh: bin/bash: 坏的解释器: 没有那个文件或目录),但是当用sh运行时正确.
   原来的脚本:
   (试试看你能否一眼看出错误)
复制代码代码如下:
   #!bin/bash
   echo "Hello Linux!"
 
   后来几番检查发现自己写的丢了一些东西.
   应该把第一行改成  #!/bin/bash ,少写了一个/
   唉,很简单的问题,自己以前没有发现还有这样的错误! shell脚本的确好用,可唯一难的就是格式要求太高!
参考博文: http://www.jb51.net/article/48784.htmhttp://www.jb51.net/article/48784.htm
————————————————
版权声明:本文为CSDN博主「russ44」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/russ44/article/details/51694047
posted @ 2020-06-25 11:30 长戟十三千 阅读(5) | 评论 (0)编辑 收藏
1、设置~下的.vimrc文件,加上fileencodings、enc、fencs,代码如下:
set fileencodings=utf-8,gb2312,gb18030,gbk,ucs-bom,cp936,latin1 set enc=utf8 set fencs=utf8,gbk,gb2312,gb18030


作者:我反对这门亲事
链接:https://www.zhihu.com/question/22363620/answer/56603960
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
posted @ 2020-06-23 17:10 长戟十三千 阅读(3) | 评论 (0)编辑 收藏

引言

之前测试mysqldump的导入,需要另外一台数据库,自己有一台CentOS 7系统的服务器。
于是需要在CentOS 7安装mysql,之前并没有怎么使用CentOS 7。而且CentOS 7下mysql下替换成MariaDB了(MariaDB是从MySQL fork过来的,和MySQL有很好的兼容性 )。所以这里记录下。

CentOS 7下yum安装MariaDB

由于作为测试服务器使用,所以使用yum快速安装。如下:

yum install mariadb mariadb-server systemctl start mariadb   #启动mariadb systemctl enable mariadb  #设置开机自启动 mysql_secure_installation #设置root密码等相关 mysql -uroot -p           #测试登录
posted @ 2020-06-23 11:02 长戟十三千 阅读(5) | 评论 (0)编辑 收藏
1、 查看自己系统有没有安装中文语言包,可使用locale -a命令列出所有可用的语言环境:
看里面是否有下面四项:
如果有,则不用安装,如果没有,需要重新安装,使用yum install kde-l10n-Chinese
2、 修改i18n和locale.conf的配置文件
第一,vim/etc/sysconfig/i18n,在里面添加如下两行代码:
LANG="zh_CN.UTF-8"
LC_ALL="zh_CN.UTF-8"
然后执行一下,以使刚修改的文件生效:source/etc/sysconfig/i18n
第二,vim /etc/locale.conf
添加:LANG="zh_CN.UTF-8"
同样执行一下,使刚修改的文件生效source /etc/locale.conf
可以看到书写中文字体时可以书写,且不会显示乱码了:
————————————————
版权声明:本文为CSDN博主「鹤影随行」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/hpf247/article/details/79981803
posted @ 2020-06-23 10:55 长戟十三千 阅读(6) | 评论 (0)编辑 收藏

零拷贝介绍

  1. 零拷贝是网络编程的关键, 很多性能优化都需要零拷贝。
  2. 在 Java程序中, 常用的零拷贝方式有m(memory)map[内存映射] 和 sendFile。它们在OS中又是怎样的设计?
  3. NIO中如何使用零拷贝?

NIO 与 传统IO对比

  • 传统IO流程示意图

    1575855435947

    • user context: 用户态
    • kernel context: 内核态
    • User space: 用户空间
    • Kernel space: 内核空间
    • Syscall read: 系统调用读取
    • Syscall write: 系统调用写入
    • Hard drive: 硬件驱动
    • kernel buffer: 内核态缓冲区
    • user buffer: 用户态缓冲区
    • socket buffer: 套接字缓存
    • protocol engine: 协议引擎
    • DMA: Direct Memory Access: 直接内存拷贝(不使用CPU)
    • 总结: 4次拷贝, 3次状态切换, 效率不高
  • mmap优化流程示意图

    1575855870723

    • mmap 通过内存映射, 将文件映射到内核缓冲区, 同时, 用户空间可以共享内核空间的数据。
    • 这样, 在进行网络传输时, 就可以减少内核空间到用户空间的拷贝次数。
    • 总结: 3次拷贝, 3次状态切换, 不是真正意义上的零拷贝。
  • sendFile Linux2.1版本优化流程示意图

    1575856449573

    • 数据根本不经过用户态, 直接从内核缓冲区进入到Socket Buffer, 同时, 由于和用户台完全无关, 就减少了一次上下文切换。
    • 但是仍然有一次CPU拷贝, 不是真正的零拷贝(没有CPU拷贝)。
    • 总结: 3次拷贝, 2次切换
  • sendFile Linux

    1575856952257

    • 避免了从内核缓冲区拷贝到Socket buffer的操作, 直接拷贝到协议栈, 从而再一次减少了数据拷贝。
    • 其实是有一次cpu拷贝的, kernel buffer -> socket buffer, 但是拷贝的信息很少, length, offset, 消耗低, 基本可以忽略。
    • 总结: 2次拷贝(如果忽略消耗低的cpu拷贝的话), 2次切换, 基本可以认为是零拷贝了。

零拷贝理解

  • 零拷贝是从操作系统的角度来看的。内核缓冲区之间, 没有数据是重复的(只有kernel buffer有一份数据)。
  • 零拷贝不仅仅带来更少的数据复制, 还能带来其他的性能优势: 如更少的上下文切换, 更少的 CPU 缓存伪共享以及无CPU校验和计算。

mmap 与 sendFile 总结

  • mmap适合小数据两读写, sendFile适合大文件传输
  • mmap 需要3次上下文切换, 3次数据拷贝; sendFile 需要3次上下文切换, 最少2次数据拷贝。
  • sendFile 可以利用 DMA 方式, 减少 CPU 拷贝, 而 mmap则不能(必须从内核拷贝到Socket缓冲区)。
posted @ 2020-05-14 11:27 长戟十三千 阅读(31) | 评论 (0)编辑 收藏
     摘要: 关于TCP连接的TIME-WAIT状态,它是为何而生,存在的意义是什么?    让我们回忆一下,什么是TCP TIME-WAIT状态?如下图    当TCP连接关闭之前,首先发起关闭的一方会进入TIME_WAIT状态(也就是主动关闭连接的一方才会产生TIME_WAIT),另一方可以快速回收连接。可以用ss -tan来查...  阅读全文
posted @ 2020-05-09 17:06 长戟十三千 阅读(19) | 评论 (0)编辑 收藏
string(REGEX REPLACE "(.*)/(.*)/(.*)" "\\1" PROJECT_INIT_PATH  ${PROJECT_SOURCE_DIR})
message("上层目录=" $(PROJECT_INIT_PATH))

举例:
PROJECT_SOURCE_DIR=/home/1/2/3/4
用正则表达式对目录进行匹配,最后一次匹配结果:
(/home/1/2)/(3)/(4)  
string(REGEX REPLACE "(.*)/(.*)/(.*)" "\\1" PROJECT_INIT_PATH  ${PROJECT_SOURCE_DIR}) 结果:/home/1/2
string(REGEX REPLACE "(.*)/(.*)/(.*)" "\\2" PROJECT_INIT_PATH  ${PROJECT_SOURCE_DIR}) 结果:3
string(REGEX REPLACE "(.*)/(.*)/(.*)" "\\3" PROJECT_INIT_PATH  ${PROJECT_SOURCE_DIR}) 结果:4
posted @ 2020-05-06 17:09 长戟十三千 阅读(88) | 评论 (0)编辑 收藏

1、 time_wait的作用:

复制代码
TIME_WAIT状态存在的理由: 1可靠地实现TCP全双工连接的终止    在进行关闭连接四次挥手协议时,最后的ACK是由主动关闭端发出的,如果这个最终的ACK丢失,服务器将重发最终的FIN, 因此客户端必须维护状态信息允许它重发最终的ACK。如果不维持这个状态信息,那么客户端将响应RST分节,服务器将此分节解释成一个错误(在java中会抛出connection reset的SocketException)。 因而,要实现TCP全双工连接的正常终止,必须处理终止序列四个分节中任何一个分节的丢失情况,主动关闭的客户端必须维持状态信息进入TIME_WAIT状态。   2允许老的重复分节在网络中消逝  TCP分节可能由于路由器异常而“迷途”,在迷途期间,TCP发送端可能因确认超时而重发这个分节,迷途的分节在路由器修复后也会被送到最终目的地,这个原来的迷途分节就称为lost duplicate。 在关闭一个TCP连接后,马上又重新建立起一个相同的IP地址和端口之间的TCP连接,后一个连接被称为前一个连接的化身(incarnation),那么有可能出现这种情况,前一个连接的迷途重复分组在前一个连接终止后出现,从而被误解成从属于新的化身。 为了避免这个情况,TCP不允许处于TIME_WAIT状态的连接启动一个新的化身,因为TIME_WAIT状态持续2MSL,就可以保证当成功建立一个TCP连接的时候,来自连接先前化身的重复分组已经在网络中消逝。
复制代码

2、大量TIME_WAIT造成的影响:

      在高并发短连接的TCP服务器上,当服务器处理完请求后立刻主动正常关闭连接。这个场景下会出现大量socket处于TIME_WAIT状态。如果客户端的并发量持续很高,此时部分客户端就会显示连接不上。
我来解释下这个场景。主动正常关闭TCP连接,都会出现TIMEWAIT。

为什么我们要关注这个高并发短连接呢?有两个方面需要注意:
1. 高并发可以让服务器在短时间范围内同时占用大量端口,而端口有个0~65535的范围,并不是很多,刨除系统和其他服务要用的,剩下的就更少了。
2. 在这个场景中,短连接表示“业务处理+传输数据的时间 远远小于 TIMEWAIT超时的时间”的连接

      这里有个相对长短的概念,比如取一个web页面,1秒钟的http短连接处理完业务,在关闭连接之后,这个业务用过的端口会停留在TIMEWAIT状态几分钟,而这几分钟,其他HTTP请求来临的时候是无法占用此端口的(占着茅坑不拉翔)。单用这个业务计算服务器的利用率会发现,服务器干正经事的时间和端口(资源)被挂着无法被使用的时间的比例是 1:几百,服务器资源严重浪费。(说个题外话,从这个意义出发来考虑服务器性能调优的话,长连接业务的服务就不需要考虑TIMEWAIT状态。同时,假如你对服务器业务场景非常熟悉,你会发现,在实际业务场景中,一般长连接对应的业务的并发量并不会很高
     综合这两个方面,持续的到达一定量的高并发短连接,会使服务器因端口资源不足而拒绝为一部分客户服务。同时,这些端口都是服务器临时分配,无法用SO_REUSEADDR选项解决这个问题。

关于time_wait的反思

存在即是合理的,既然TCP协议能盛行四十多年,就证明他的设计合理性。所以我们尽可能的使用其原本功能。 依靠TIME_WAIT状态来保证我的服务器程序健壮,服务功能正常。 那是不是就不要性能了呢?并不是。如果服务器上跑的短连接业务量到了我真的必须处理这个TIMEWAIT状态过多的问题的时候,我的原则是尽量处理,而不是跟TIMEWAIT干上,非先除之而后快。 如果尽量处理了,还是解决不了问题,仍然拒绝服务部分请求,那我会采取负载均衡来抗这些高并发的短请求。持续十万并发的短连接请求,两台机器,每台5万个,应该够用了吧。一般的业务量以及国内大部分网站其实并不需要关注这个问题,一句话,达不到时才需要关注这个问题的访问量。

小知识点:

TCP协议发表:1974年12月,卡恩、瑟夫的第一份TCP协议详细说明正式发表。当时美国国防部与三个科学家小组签定了完成TCP/IP的协议,结果由瑟夫领衔的小组捷足先登,首先制定出了通过详细定义的TCP/IP协议标准。当时作了一个试验,将信息包通过点对点的卫星网络,再通过陆地电缆
,再通过卫星网络,再由地面传输,贯串欧洲和美国,经过各种电脑系统,全程9.4万公里竟然没有丢失一个数据位,远距离的可靠数据传输证明了TCP/IP协议的成功。

 

3、案列分析:

    首先,根据一个查询TCP连接数,来说明这个问题。

复制代码
netstat -ant|awk '/^tcp/ {++S[$NF]} END {for(a in S) print (a,S[a])}' LAST_ACK 14 SYN_RECV 348 ESTABLISHED 70 FIN_WAIT1 229 FIN_WAIT2 30 CLOSING 33 TIME_WAIT 18122
复制代码

状态描述:

复制代码
CLOSED:无连接是活动的或正在进行 LISTEN:服务器在等待进入呼叫 SYN_RECV:一个连接请求已经到达,等待确认 SYN_SENT:应用已经开始,打开一个连接 ESTABLISHED:正常数据传输状态 FIN_WAIT1:应用说它已经完成 FIN_WAIT2:另一边已同意释放 ITMED_WAIT:等待所有分组死掉 CLOSING:两边同时尝试关闭 TIME_WAIT:另一边已初始化一个释放 LAST_ACK:等待所有分组死掉
复制代码

命令解释:

复制代码
先来看看netstat: netstat -n Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 123.123.123.123:80 234.234.234.234:12345 TIME_WAIT 你实际执行这条命令的时候,可能会得到成千上万条类似上面的记录,不过我们就拿其中的一条就足够了。  再来看看awk: /^tcp/ 滤出tcp开头的记录,屏蔽udp, socket等无关记录。 state[]相当于定义了一个名叫state的数组 NF 表示记录的字段数,如上所示的记录,NF等于6 $NF 表示某个字段的值,如上所示的记录,$NF也就是$6,表示第6个字段的值,也就是TIME_WAIT state[$NF]表示数组元素的值,如上所示的记录,就是state[TIME_WAIT]状态的连接数 ++state[$NF]表示把某个数加一,如上所示的记录,就是把state[TIME_WAIT]状态的连接数加一 END 表示在最后阶段要执行的命令 for(key in state) 遍历数组
复制代码

 

如何尽量处理TIMEWAIT过多?

编辑内核文件/etc/sysctl.conf,加入以下内容:

net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭; net.ipv4.tcp_tw_reuse = 1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭; net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。 net.ipv4.tcp_fin_timeout 修改系默认的 TIMEOUT 时间

然后执行 /sbin/sysctl -p 让参数生效.

/etc/sysctl.conf是一个允许改变正在运行中的Linux系统的接口,它包含一些TCP/IP堆栈和虚拟内存系统的高级选项,修改内核参数永久生效。

简单来说,就是打开系统的TIMEWAIT重用和快速回收。

如果以上配置调优后性能还不理想,可继续修改一下配置:

复制代码
vi /etc/sysctl.conf net.ipv4.tcp_keepalive_time = 1200  #表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟。 net.ipv4.ip_local_port_range = 1024 65000  #表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000。 net.ipv4.tcp_max_syn_backlog = 8192  #表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。 net.ipv4.tcp_max_tw_buckets = 5000  #表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。 默认为180000,改为5000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于 Squid,效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。
复制代码

 

posted @ 2020-04-24 16:18 长戟十三千 阅读(38) | 评论 (0)编辑 收藏
仅列出标题  下一页