established 太多_ss -s closed过多，NON_ESTABLISHED告警

最新推荐文章于 2025-05-10 12:00:02 发布

林语堂表弟

最新推荐文章于 2025-05-10 12:00:02 发布

阅读量2.2k

点赞数

CC 4.0 BY-SA版权

文章标签： established 太多

本文链接：https://blog.csdn.net/weixin_32655655/article/details/112814962

博客内容涉及了阿里云服务器出现报警，疑似由于连接数过多引起。作者尝试通过调整TCP keepalive参数来解决time_wait状态过长的问题，但未见成效。使用`ss`命令检查连接状态，发现大量closed连接，并通过`ps`命令定位到6646进程，处理后closed连接数量下降。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

image.png

阿里云报警，以为是连接数上去了，检查无果。

又认为是TCP断开连接时候time_wait时间过长，于是

sysctl -w net.ipv4.tcp_keepalive_time=1800

sysctl -w net.ipv4.tcp_keepalive_probes=3

sysctl -w net.ipv4.tcp_keepalive_intvl=15

仍然无果。

执行 ss -s

# ss -s

Total: 65957 (kernel 66625)

TCP: 65599 (estab 36, closed 65534, orphaned 0, synrecv 0, timewait 3/0), ports 0

Transport Total IP IPv6

* 66625 - -

RAW 0 0 0

UDP 24 17 7

TCP 65 57 8

INET 89 74 15

FRAG 0 0 0

java 6646 root *786u sock 0,7 0t0 1431969496 protocol: TCP

java 6646 root *787u sock 0,7 0t0 1431971854 protocol: TCP

java 6646 root *788u sock 0,7 0t0 1431970488 protocol: TCP

java 6646 root *789u sock 0,7 0t0 1431969497 protocol: TCP

java 6646 root *790u sock 0,7 0t0 1431960142 protocol: TCP

查找6646进程 ps -ef|grep 6646

处理后，再次执行 ss -s，closed数量下降

# ss -s

Total: 401 (kernel 1725)

TCP: 90 (estab 36, closed 28, orphaned 1, synrecv 0, timewait 3/0), ports 0

Transport Total IP IPv6

* 1725 - -

RAW 0 0 0

UDP 25 17 8

TCP 62 56 6

INET 87 73 14

FRAG 0 0 0

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

林语堂表弟

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

linux内核协议栈 connect 系统调用Ⅰ之发送 SYN 包

10-02

2030

客户端通过调用connect()系统调用建立与服务器的连接，对应到TCP协议层次，核心操作就是TCP的三次握手（从客户端角度），由于整个过程涉及内容较多，分两部分来看connect()的实现，这篇笔记是第一部分，包括系统调用入口以及SYN报文发送过程。 2. connect 内核实现 sys_connect --inet_stream_connect //TCP --tcp_v4_connect --inet_dgram_connect //UDP --ip4_datagram...

linux渗透测试常用命令

AI拉呱，专注于人工智与网络安全方面的研究，关注一起学习。

08-07

393

【代码】linux渗透测试常用命令。

参与评论您还未登录，请先登录后发表或查看评论

php-fpm 进程不释放,centos 上 php-fpm 占用太多状态为 CLOSED 的 socket 且不释放, 如何解决?...

weixin_29370077的博客

03-13

359

[temp@xigua ~]$ ss -sTotal: 83678 (kernel 0)TCP: 84982 (estab 127, closed 84812, orphaned 0, synrecv 0, timewait 1485/0), ports 0Transport Total IP IPv6* 0 - -RAW ...

一次对进程大量积压 ESTABLISHED 链接的排查手记

oADong12的博客

03-27

6130

背景我们都知道，基于Kubernetes的微服务，大行其道，传统部署模式一直都在跟着变化，但其实，在原有业务向服务化方向过度过程中，有些场景可能会变得复杂。比如说：将Kubernetes的模式应用到开发环节上，这个环节需要频繁的变更代码，微服务的方式，可能就需要不断的：改代码->构建镜像->镜像推送->部署->拉去镜像->生成容器尤其是PHP的业务，不需要...

Linux之ss -s命令结果详解

最新发布

weixin_43202942的博客

05-10

351

**timewait 5**：5 个连接处于 **TIME-WAIT** 状态（等待确保远端正常关闭，常见于短连接服务）。- **estab 30**：30 个 TCP 连接处于 **ESTABLISHED** 状态（正常数据传输中）。- **RAW 2**：2 个 RAW 套接字（通常用于自定义协议或网络探测，如 `ping`）。- **closed 5**：5 个连接已关闭，但尚未释放资源（如文件描述符未关闭）。- **user 456K**：用户空间程序（如 `ss` 命令自身）占用的内存。

TCP端口状态说明ESTABLISHED、TIME_WAIT

zhengshibo56的专栏

12-03

638

声明，本文转自https://www.cnblogs.com/qianzf/p/7064827.html，若有侵权，请联系本人删除，WX：zhengshibo66 TCP端口状态说明ESTABLISHED、TIME_WAIT TCP状态转移要点 TCP协议规定，对于已经建立的连接，网络双方要进行四次握手才能成功断开连接，如果缺少了其中某个步骤，将会使连接处于假死状态，连接本身占用的资源不会被释放。网络服务器程序要同时管理大量连接，所以很有必要保证无用连接完全断开，否则大量僵死的连接会浪费许多服务器资源

linux socket关闭并释放资源,【linux】centos 上 php-fpm 占用太多状态为 CLOSED 的 socket 且不释放, 如何解决?...

weixin_42516710的博客

05-15

1250

[[emailprotected] ~]$ ss -sTotal: 83678 (kernel 0)TCP: 84982 (estab 127, closed 84812, orphaned 0, synrecv 0, timewait 1485/0), ports 0Transport Total IP IPv6* 0 - ...

php closewait,centos 上 php-fpm 占用太多状态为 CLOSED 的 socket 且不释放, 如何解决?

weixin_33533797的博客

03-10

440

[temp@xigua ~]$ ss -sTotal: 83678 (kernel 0)TCP: 84982 (estab 127, closed 84812, orphaned 0, synrecv 0, timewait 1485/0), ports 0Transport Total IP IPv6* 0 - -RAW ...

操作系统-网络--性能指标-性能指标测量工具-ip-ss-sar

文字记录时间

05-23

1344

Linux性能优化实战课程学习的复习，关于网络性能指标工具的使用和输出内容解读

cce2_Long_Short_Marubozu_holiday_goodfriday_shift_伪Rising3Metho_descend triangle_3crows_双底反转_Elliott

Linli522362242的专栏

01-16

753

Long Day_Short Day_Opening Marubozu_Closing Marubozu_holiday_goodfriday_shift_deliberation_descend triangle_3 crows_double双底反转

SO_REUSEADDR 和 SO_REUSEPORT 的区别 / Linux TCP SO_REUSEPORT — 使用和实现 ……

u013669912的博客

08-09

1341

…

[LINUX] 快速回收连接

weixin_30713953的博客

09-16

1003

i /etc/sysctl.conf 编辑文件，加入以下内容：net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_fin_timeout = 30 然后执行/sbin/sysctl -p让参数生效。 net.ipv4.tcp_syncookies =...

established 太多_如何解决线上大量的NON_ESTABLISHED？

weixin_40002846的博客

12-22

2464

我也遇到了这个问题，焦头烂额中，有没有高手给帮助帮助！我找到一篇文章:来源如下内容摘要：何为syn flood攻击：SYN Flood是一种广为人知的DoS(正常原理是：1、TCP三次握手，客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文，SYN即同步(Synchronize)，同步报文会指明客户端使用的端口以及TCP连接的初始序号2、服务器在收到客户端的SYN3、客户端也返回一个...

TCP连接管理与释放（三次握手四次挥手 SYN洪泛攻击）

热门推荐

NuanShuTT的博客

09-14

1万+

TCP连接的三个阶段 TCP连接采取服务器客户端的方式，主动发起连接的叫做客户端，被动等待接受连接的叫做服务器。连接建立（三次握手）首先请求方也就是客户想要和一台主机（服务器）建立连接，客户方进程首先通知客户TCP，他想要建立一个和服务器上某个进程的连接，客户中的TCP会用以下的步骤与服务器中的TCP建立一个链接： ROUND 1：客户端发送请求报文段无应用层数据。 SYN = 1（同步位表示是一个连接发送报文） seq = x （发送的本报文段的第一个字节的序号 4个字节主机随机产生）

服务器CLOSE_WAIT请求太多的问题

我想问问天的专栏

09-09

4107

上周因为调用某个服务不可用,导致服务器出现了大量的CLOSE_WAIT的tcp链接,导致tomcat出现了假死的情况.大量的tcp请求一直卡着,其他请求进来tomcat已经不能提供服务了. 头一次遇到这样的情况,然后查了一下这个CLOSE_WAIT的资料.发现CLOSE_WAIT其实是tcp的一种状态,我们先来看张图了解一下tcp的各个状态. 状态: CLOSED：没有任何连接状态,...

netstat监控大量ESTABLISHED连接数和TIME_WAIT连接数题解决

weixin_33871366的博客

12-24

655

服务端大量无效ESTABLISHED连接，是人性泯灭还是道德沦丧

haowunanhai的博客

03-17

7753

2月末，微信群里突然收到监控告警，接口的无返回结果增多。nginx进行初步排查，发现请求内部服务A报了大量“连接失败”。我登录到服务器上看了下，服务A上的连接数超过了63000，应该是连接数太多导致的请求失败，重启服务后请求正常了，监控恢复。一周之后同样的问题再次出现。。。不得不深入排查下了。为什么连接数一直在增长？为什么其他集群没有这个问题？为什么以前没有问题？ 1. tcp连接的异常关闭导致服务端留下了大量ESTABLISHED状态的连接对比了服务A上和 ...

服务器：ESTABLISHED -> CLOSE_WAIT -> LAST_ACK -> CLOSED

03-20

### TCP 连接状态转换的原因分析当服务器上的某个连接经历从 `ESTABLISHED` 到 `CLOSE_WAIT`，再到 `LAST_ACK` 并最终到达 `CLOSED` 的过程时，这通常表明客户端主动关闭了该连接，而服务器端未能及时响应或处理这一事件。以下是每种状态的具体含义及其可能引发此序列的原因： #### 1. **ESTABLISHED** 这是正常的双向通信阶段，在这个状态下，双方都可以发送数据。 #### 2. **CLOSE_WAIT** 进入 `CLOSE_WAIT` 表明远程主机已经发出了 FIN 数据包来请求终止连接，但是本地应用程序尚未调用 close() 函数以释放资源。这意味着服务器程序可能存在逻辑错误或者性能瓶颈，未正确处理来自客户端的断开信号[^3]。 ```bash netstat -an | grep CLOSE_WAIT ``` 上述命令可以帮助识别处于这种状态下的连接数量。 #### 3. **LAST_ACK** 在此阶段，本机已回应了一个 FIN 包给对方，并等待最后一个 ACK 来确认整个会话结束。如果发现大量此类状态，则可能是由于网络延迟或是某些实现细节导致超时设置不合理所致[^4]。 #### 4. **CLOSED** 一旦收到最后那个ACK之后，就正式进入了closed状态表示这条链路已经被完全拆除不再存在任何活动流量。 --- ### 解决方案建议针对以上提到的各种潜在问题可以采取如下措施加以改善: - 定期检查服务端应用层代码是否存在遗漏close操作的情况； - 增加日志记录以便于追踪哪些具体情况下会产生过多的close_wait实例； - 对长时间保持在last_ack中的链接考虑适当调整tcp_fin_timeout参数值; 可以通过修改Linux系统的内核参数优化TCP行为模式比如减少TIME-WAIT队列长度等做法缓解压力. ```bash echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout ``` 上面的例子展示了如何降低默认fin timeout时间至更短周期从而加速清理processes lingering too long within last ack phase.[^5] --- ### 结论综上所述，通过合理配置操作系统层面的相关选项以及改进软件设计缺陷能够有效防止不必要的资源消耗并提升整体效率表现。