• 优化Linux内核参数


    转自:http://www.centoscn.com/CentOS/config/2013/0804/992.html

    vim /etc/sysctl.conf

    1、net.ipv4.tcp_max_syn_backlog = 65536

    记录的那些尚未收到客户端确认信息的连接请求的最大值。对于超过128M内存的系统而言,缺省值是1024,低于128M小内存的系统则是128。

    SYN Flood攻击利用TCP协议散布握手的缺陷,伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统,最终导致目标系统Socket队列资源耗尽而无法接受新的连接。为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击,是用一个基本队列处理正常的完全连接应用(Connect()和Accept() ),是用另一个队列单独存放半打开连接。

    这种双队列处理方式和其他一些系统内核措施(例如Syn-Cookies/Caches)联合应用时,能够比较有效的缓解小规模的SYN Flood攻击(事实证明<1000p/s)加大SYN队列长度可以容纳更多等待连接的网络连接数,一般遭受SYN Flood攻击的网站,都存在大量SYN_RECV状态,所以调大tcp_max_syn_backlog值能增加抵抗syn攻击的能力。

    2、net.core.netdev_max_backlog =  32768

    每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。

    3、net.core.somaxconn = 32768

    调整系统同时发起并发TCP连接数,可能需要提高连接储备值,以应对大量突发入局连接请求的情况。如果同时接收到大量连接请求,使用较大的值会提高受支持的暂挂连接的数量,从而可减少连接失败的数量。大的侦听队列对防止DDoS攻击也会有所帮助。挂起请求的最大数量默认是128。

    ===================================================================

    查看实时内核实时丢包命令:

    netstat-su

    ===================================================================

    位置:/proc/sys/

    4、net.core.wmem_default = 8388608

    该参数指定了发送套接字缓冲区大小的缺省值(以字节为单位)

    5、net.core.rmem_default = 8388608

    该参数指定了接收套接字缓冲区大小的缺省值(以字节为单位)

    6、net.core.rmem_max = 16777216

    该参数指定了接收套接字缓冲区大小的最大值(以字节为单位)

    7、net.core.wmem_max = 16777216

    该参数指定了发送套接字缓冲区大小的最大值(以字节为单位)

    8、net.ipv4.tcp_timestamps = 0

    Timestamps可以防范那些伪造的sequence号码。一条1G的宽带线路或许会重遇到带out-of-line数值的旧sequence号码(假如它是由于上次产生的)。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉,以提高性能。

    9、net.ipv4.tcp_synack_retries = 2

    对于远端的连接请求SYN,内核会发送SYN+ACK数据报,以确认收到上一个SYN连接请求包。这是所谓的三次握手(threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的SYN+ACK数目。不应该大于255,默认值是5,对应于180秒左右时间。(可以根据tcp_syn_retries来决定这个值)

    10、net.ipv4.tcp_syn_retries = 2

    对于一个新建连接,内核要发送多少个SYN连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1 决定的)

    11、net.ipv4.tcp_tw_recycle = 1

    表示开启TCP连接中TIME-WAIT Sockets的快速回收,默认为0,表示关闭。

    #net.ipv4.tcp_tw_len = 1

    12、net.ipv4.tcp_tw_reuse = 1

    表示开启重用,允许将TIME-WAIT Sockets重新用于新的TCP连接,默认为0,表示关闭。这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助。

    13、net.ipv4.tcp_mem = 94500000 915000000 927000000

    tcp_mem有3个INTEGER变量:low, pressure, high

    low:当TCP使用了低于该值的内存页面数时,TCP没有内存压力,TCP不会考虑释放内存。(理想情况下,这个值应与指定给tcp_wmem的第2个值相匹配。这第2个值表明,最大页面大小乘以最大并发请求数除以页大小 (131072*300/4096)

    pressure:当TCP使用了超过该值的内存页面数量时,TCP试图稳定其内存使用,进入pressure模式,当内存消耗低于low值时则退出pressure状态。(理想情况下这个值应该是TCP可以使用的总缓冲区大小的最大值(204800*300/4096)

    high:允许所有TCP Sockets用于排队缓冲数据报的页面量。如果超过这个值,TCP连接将被拒绝,这就是为什么不要令其过于保守(512000*300/4096)的原因了。在这种情况下,提供的价值很大,它能处理很多连接,是所预期的2.5倍;或者使现有连接能够传输2.5倍的数据。

    一般情况下这些值是在系统启动时根据系统内存数量计算得到的。

    14、net.ipv4.tcp_max_orphans = 3276800

    系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的DoS攻击﹐千万不要依赖这个或是人为的降低这个限制

    #net.ipv4.tcp_fin_timeout = 30

    #net.ipv4.tcp_keepalive_time = 120

    15、net.ipv4.ip_local_port_range = 1024  65535

    将系统对本地端口范围限制设置为1024~65000之间

    16、net.ipv4.ip_conntrack_max = 10000

    设置系统对最大跟踪的TCP连接数的限制(CentOS 5.6无此参数)

  • 相关阅读:
    mysql 优化(包含sql语句的书写)
    tomcat优化
    MySQL——修改root密码的4种方法(以windows为例)
    实现窗口中的文档自动向上滚动,方便阅读
    处理文本框的鼠标事件,判断鼠标的状态
    通过给事件处理程序传递this参数,获取事件源对象的引用。单机提交按钮时在信息框中显示用户输入的字符。
    在标签的事件属性字符串中编写程序,检查用户输入的密码明文
    通过使用浏览器对象模型,输出当前浏览器窗口中打开的文档的URL信息,并将显示在窗口中。
    创建一个卡片对象,卡片上标有“名字”、“地址”和“电话”等信息。名片对象提供一个方法以输出这些信息。
    测试Array对象的sort方法的作用。将1985,1970,1999,1998,2000,1963这些年份按升序输出。
  • 原文地址:https://www.cnblogs.com/x_wukong/p/5985853.html
Copyright © 2020-2023  润新知