| tcp_syn_retries |
5 |
1 |
對于一個新建連接疚膊,內(nèi)核要發(fā)送多少個 SYN 連接請求才決定放棄。不應(yīng)該大于255历谍,默認(rèn)值是5现拒,對應(yīng)于180秒左右時間。望侈。(對于大負(fù)載而物理通信良好的網(wǎng)絡(luò)而言,這個值偏高,可修改為2.這個值僅僅是針對對外的連接,對進(jìn)來的連接,是由tcp_retries1決定的) |
| tcp_synack_retries |
5 |
1 |
對于遠(yuǎn)端的連接請求SYN印蔬,內(nèi)核會發(fā)送SYN + ACK數(shù)據(jù)報,以確認(rèn)收到上一個 SYN連接請求包脱衙。這是所謂的三次握手( threeway handshake)機(jī)制的第二個步驟侥猬。這里決定內(nèi)核在放棄連接之前所送出的 SYN+ACK 數(shù)目。不應(yīng)該大于255捐韩,默認(rèn)值是5退唠,對應(yīng)于180秒左右時間。 |
| tcp_keepalive_time |
7200 |
600 |
TCP發(fā)送keepalive探測消息的間隔時間(秒)荤胁,用于確認(rèn)TCP連接是否有效瞧预。防止兩邊建立連接但不發(fā)送數(shù)據(jù)的攻擊。 |
| tcp_keepalive_probes |
9 |
3 |
TCP發(fā)送keepalive探測消息的間隔時間(秒)仅政,用于確認(rèn)TCP連接是否有效垢油。 |
| tcp_keepalive_intvl |
75 |
15 |
探測消息未獲得響應(yīng)時,重發(fā)該消息的間隔時間(秒)圆丹。默認(rèn)值為75秒秸苗。 (對于普通應(yīng)用來說,這個值有一些偏大,可以根據(jù)需要改小.特別是web類服務(wù)器需要改小該值,15是個比較合適的值) |
| tcp_retries1 |
3 |
3 |
放棄回應(yīng)一個TCP連接請求前﹐需要進(jìn)行多少次重試。RFC 規(guī)定最低的數(shù)值是3 |
| tcp_retries2 |
15 |
5 |
在丟棄激活(已建立通訊狀況)的TCP連接之前﹐需要進(jìn)行多少次重試运褪。默認(rèn)值為15,根據(jù)RTO的值來決定玖瘸,相當(dāng)于13-30分鐘(RFC1122規(guī)定秸讹,必須大于100秒).(這個值根據(jù)目前的網(wǎng)絡(luò)設(shè)置,可以適當(dāng)?shù)馗男?我的網(wǎng)絡(luò)內(nèi)修改為了5) |
| tcp_orphan_retries |
7 |
3 |
在近端丟棄TCP連接之前﹐要進(jìn)行多少次重試。默認(rèn)值是7個﹐相當(dāng)于 50秒 - 16分鐘﹐視 RTO 而定雅倒。如果您的系統(tǒng)是負(fù)載很大的web服務(wù)器﹐那么也許需要降低該值﹐這類 sockets 可能會耗費(fèi)大量的資源璃诀。另外參的考tcp_max_orphans。(事實(shí)上做NAT的時候,降低該值也是好處顯著的,我本人的網(wǎng)絡(luò)環(huán)境中降低該值為3) |
| tcp_fin_timeout |
60 |
2 |
對于本端斷開的socket連接蔑匣,TCP保持在FIN-WAIT-2狀態(tài)的時間劣欢。對方可能會斷開連接或一直不結(jié)束連接或不可預(yù)料的進(jìn)程死亡。默認(rèn)值為 60 秒裁良。 |
| tcp_max_tw_buckets |
180000 |
36000 |
系統(tǒng)在同時所處理的最大 timewait sockets 數(shù)目凿将。如果超過此數(shù)的話﹐time-wait socket 會被立即砍除并且顯示警告信息。之所以要設(shè)定這個限制﹐純粹為了抵御那些簡單的 DoS 攻擊﹐不過﹐如果網(wǎng)絡(luò)條件需要比默認(rèn)值更多﹐則可以提高它(或許還要增加內(nèi)存)价脾。(事實(shí)上做NAT的時候最好可以適當(dāng)?shù)卦黾釉撝? |
| tcp_tw_recycle |
0 |
1 |
打開快速 TIME-WAIT sockets 回收牧抵。除非得到技術(shù)專家的建議或要求﹐請不要隨意修改這個值。(做NAT的時候,建議打開它) |
| tcp_tw_reuse |
0 |
1 |
表示是否允許重新應(yīng)用處于TIME-WAIT狀態(tài)的socket用于新的TCP連接(這個對快速重啟動某些服務(wù),而啟動后提示端口已經(jīng)被使用的情形非常有幫助) |
| tcp_max_orphans |
8192 |
32768 |
系統(tǒng)所能處理不屬于任何進(jìn)程的TCP sockets最大數(shù)量犀变。假如超過這個數(shù)量﹐那么不屬于任何進(jìn)程的連接會被立即reset妹孙,并同時顯示警告信息。之所以要設(shè)定這個限制﹐純粹為了抵御那些簡單的 DoS 攻擊﹐千萬不要依賴這個或是人為的降低這個限制获枝。如果內(nèi)存大更應(yīng)該增加這個值蠢正。(這個值Redhat AS版本中設(shè)置為32768,但是很多防火墻修改的時候,建議該值修改為2000) |
| tcp_abort_on_overflow |
0 |
0 |
當(dāng)守護(hù)進(jìn)程太忙而不能接受新的連接,就象對方發(fā)送reset消息省店,默認(rèn)值是false嚣崭。這意味著當(dāng)溢出的原因是因?yàn)橐粋€偶然的猝發(fā),那么連接將恢復(fù)狀態(tài)萨西。只有在你確信守護(hù)進(jìn)程真的不能完成連接請求時才打開該選項(xiàng)有鹿,該選項(xiàng)會影響客戶的使用。(對待已經(jīng)滿載的sendmail,apache這類服務(wù)的時候,這個可以很快讓客戶端終止連接,可以給予服務(wù)程序處理已有連接的緩沖機(jī)會,所以很多防火墻上推薦打開它) |
| tcp_syncookies |
0 |
1 |
只有在內(nèi)核編譯時選擇了CONFIG_SYNCOOKIES時才會發(fā)生作用谎脯。當(dāng)出現(xiàn)syn等候隊(duì)列出現(xiàn)溢出時象對方發(fā)送syncookies葱跋。目的是為了防止syn flood攻擊。 |
| tcp_stdurg |
0 |
0 |
使用 TCP urg pointer 字段中的主機(jī)請求解釋功能源梭。大部份的主機(jī)都使用老舊的 BSD解釋娱俺,因此如果您在 Linux 打開它﹐或會導(dǎo)致不能和它們正確溝通。 |
| tcp_max_syn_backlog |
1024 |
16384 |
對于那些依然還未獲得客戶端確認(rèn)的連接請求﹐需要保存在隊(duì)列中最大數(shù)目废麻。對于超過 128Mb 內(nèi)存的系統(tǒng)﹐默認(rèn)值是 1024 ﹐低于 128Mb 的則為 128荠卷。如果服務(wù)器經(jīng)常出現(xiàn)過載﹐可以嘗試增加這個數(shù)字。警告﹗假如您將此值設(shè)為大于 1024﹐最好修改include/net/tcp.h里面的TCP_SYNQ_HSIZE﹐以保持TCP_SYNQ_HSIZE*16(SYN Flood攻擊利用TCP協(xié)議散布握手的缺陷烛愧,偽造虛假源IP地址發(fā)送大量TCP-SYN半打開連接到目標(biāo)系統(tǒng)油宜,最終導(dǎo)致目標(biāo)系統(tǒng)Socket隊(duì)列資源耗盡而無法接受新的連接。為了應(yīng)付這種攻擊怜姿,現(xiàn)代Unix系統(tǒng)中普遍采用多連接隊(duì)列處理的方式來緩沖(而不是解決)這種攻擊慎冤,是用一個基本隊(duì)列處理正常的完全連接應(yīng)用(Connect()和Accept() ),是用另一個隊(duì)列單獨(dú)存放半打開連接沧卢。這種雙隊(duì)列處理方式和其他一些系統(tǒng)內(nèi)核措施(例如Syn-Cookies/Caches)聯(lián)合應(yīng)用時蚁堤,能夠比較有效的緩解小規(guī)模的SYN Flood攻擊(事實(shí)證明) |
| tcp_window_scaling |
1 |
1 |
該文件表示設(shè)置tcp/ip會話的滑動窗口大小是否可變。參數(shù)值為布爾值但狭,為1時表示可變披诗,為0時表示不可變。tcp/ip通常使用的窗口最大可達(dá)到 65535 字節(jié)立磁,對于高速網(wǎng)絡(luò)呈队,該值可能太小,這時候如果啟用了該功能唱歧,可以使tcp/ip滑動窗口大小增大數(shù)個數(shù)量級掂咒,從而提高數(shù)據(jù)傳輸?shù)哪芰?RFC 1323)。(對普通地百M(fèi)網(wǎng)絡(luò)而言,關(guān)閉會降低開銷绍刮,所以如果不是高速網(wǎng)絡(luò)温圆,可以考慮設(shè)置為0) |
| tcp_timestamps |
1 |
1 |
Timestamps 用在其它一些東西中﹐可以防范那些偽造的 sequence 號碼。一條1G的寬帶線路或許會重遇到帶 out-of-line數(shù)值的舊sequence 號碼(假如它是由于上次產(chǎn)生的)孩革。Timestamp 會讓它知道這是個 '舊封包'岁歉。(該文件表示是否啟用以一種比超時重發(fā)更精確的方法(RFC 1323)來啟用對 RTT 的計算;為了實(shí)現(xiàn)更好的性能應(yīng)該啟用這個選項(xiàng)膝蜈。) |
| tcp_sack |
1 |
1 |
使用 Selective ACK﹐它可以用來查找特定的遺失的數(shù)據(jù)報--- 因此有助于快速恢復(fù)狀態(tài)锅移。該文件表示是否啟用有選擇的應(yīng)答(Selective Acknowledgment),這可以通過有選擇地應(yīng)答亂序接收到的報文來提高性能(這樣可以讓發(fā)送者只發(fā)送丟失的報文段)饱搏。(對于廣域網(wǎng)通信來說這個選項(xiàng)應(yīng)該啟用非剃,但是這會增加對 CPU 的占用。) |
| tcp_fack |
1 |
1 |
打開FACK擁塞避免和快速重傳功能推沸。(注意备绽,當(dāng)tcp_sack設(shè)置為0的時候,這個值即使設(shè)置為1也無效)[這個是TCP連接靠譜的核心功能] |
| tcp_dsack |
1 |
1 |
允許TCP發(fā)送"兩個完全相同"的SACK鬓催。 |
| tcp_ecn |
0 |
0 |
TCP的直接擁塞通告功能肺素。 |
| tcp_reordering |
3 |
6 |
TCP流中重排序的數(shù)據(jù)報最大數(shù)量。 (一般有看到推薦把這個數(shù)值略微調(diào)整大一些,比如5) |
| tcp_retrans_collapse |
1 |
0 |
對于某些有bug的打印機(jī)提供針對其bug的兼容性宇驾。(一般不需要這個支持,可以關(guān)閉它) |
| tcp_wmem:mindefaultmax
|
409616384131072 |
8192131072 |
發(fā)送緩存設(shè)置min:為TCP socket預(yù)留用于發(fā)送緩沖的內(nèi)存最小值倍靡。每個tcp socket都可以在建議以后都可以使用它。默認(rèn)值為4096(4K)课舍。default:為TCP socket預(yù)留用于發(fā)送緩沖的內(nèi)存數(shù)量塌西,默認(rèn)情況下該值會影響其它協(xié)議使用的net.core.wmem_default 值,一般要低于net.core.wmem_default的值筝尾。默認(rèn)值為16384(16K)捡需。max: 用于TCP socket發(fā)送緩沖的內(nèi)存最大值。該值不會影響net.core.wmem_max忿等,"靜態(tài)"選擇參數(shù)SO_SNDBUF則不受該值影響。默認(rèn)值為131072(128K)崔挖。(對于服務(wù)器而言贸街,增加這個參數(shù)的值對于發(fā)送數(shù)據(jù)很有幫助,在我的網(wǎng)絡(luò)環(huán)境中,修改為了51200 131072 204800) |
| tcp_rmem:mindefaultmax
|
409687380 174760 |
32768 131072 16777216 |
接收緩存設(shè)置同tcp_wmem |
| tcp_mem:mindefaultmax
|
根據(jù)內(nèi)存計算 |
786432 1048576 1572864 |
low:當(dāng)TCP使用了低于該值的內(nèi)存頁面數(shù)時,TCP不會考慮釋放內(nèi)存狸相。即低于此值沒有內(nèi)存壓力薛匪。(理想情況下,這個值應(yīng)與指定給 tcp_wmem 的第 2 個值相匹配 - 這第 2 個值表明脓鹃,最大頁面大小乘以最大并發(fā)請求數(shù)除以頁大小 (131072 * 300 / 4096)逸尖。 )pressure:當(dāng)TCP使用了超過該值的內(nèi)存頁面數(shù)量時,TCP試圖穩(wěn)定其內(nèi)存使用,進(jìn)入pressure模式娇跟,當(dāng)內(nèi)存消耗低于low值時則退出pressure狀態(tài)岩齿。(理想情況下這個值應(yīng)該是 TCP 可以使用的總緩沖區(qū)大小的最大值 (204800 * 300 / 4096)。 )high:允許所有tcp sockets用于排隊(duì)緩沖數(shù)據(jù)報的頁面量苞俘。(如果超過這個值盹沈,TCP 連接將被拒絕,這就是為什么不要令其過于保守 (512000 * 300 / 4096) 的原因了吃谣。 在這種情況下乞封,提供的價值很大,它能處理很多連接岗憋,是所預(yù)期的 2.5 倍肃晚;或者使現(xiàn)有連接能夠傳輸 2.5 倍的數(shù)據(jù)。 我的網(wǎng)絡(luò)里為192000 300000 732000)一般情況下這些值是在系統(tǒng)啟動時根據(jù)系統(tǒng)內(nèi)存數(shù)量計算得到的仔戈。 |
| tcp_app_win |
31 |
31 |
保留max(window/2^tcp_app_win, mss)數(shù)量的窗口由于應(yīng)用緩沖关串。當(dāng)為0時表示不需要緩沖。 |
| tcp_adv_win_scale |
2 |
2 |
計算緩沖開銷bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale > 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale BOOLEAN>0) |
| tcp_low_latency |
0 |
0 |
允許 TCP/IP 棧適應(yīng)在高吞吐量情況下低延時的情況杂穷;這個選項(xiàng)一般情形是的禁用悍缠。(但在構(gòu)建Beowulf 集群的時候,打開它很有幫助) |
| tcp_westwood |
0 |
0 |
啟用發(fā)送者端的擁塞控制算法,它可以維護(hù)對吞吐量的評估耐量,并試圖對帶寬的整體利用情況進(jìn)行優(yōu)化飞蚓;對于 WAN 通信來說應(yīng)該啟用這個選項(xiàng)。 |
| tcp_bic |
0 |
0 |
為快速長距離網(wǎng)絡(luò)啟用 Binary Increase Congestion廊蜒;這樣可以更好地利用以 GB 速度進(jìn)行操作的鏈接趴拧;對于 WAN 通信應(yīng)該啟用這個選項(xiàng)。 |
| ip_forward |
0 |
- |
NAT必須開啟IP轉(zhuǎn)發(fā)支持山叮,把該值寫1 |
| ip_local_port_range:minmax |
3276861000 |
1024 65000 |
表示用于向外連接的端口范圍著榴,默認(rèn)比較小,這個范圍同樣會間接用于NAT表規(guī)模屁倔。 |
| ip_conntrack_max |
65535 |
65535 |
系統(tǒng)支持的最大ipv4連接數(shù)脑又,默認(rèn)65536(事實(shí)上這也是理論最大值),同時這個值和你的內(nèi)存大小有關(guān)锐借,如果內(nèi)存128M问麸,這個值最大8192,1G以上內(nèi)存這個值都是默認(rèn)65536 |
