Linux 网络端口耗尽

Linux 网络端口耗尽

我已经尽我所能地研究了这个问题,但并没有深入研究内核源代码。似乎有大量关于这个问题的虚假信息/不正确的信息,所以我希望这篇文章能一劳永逸地解答我和其他人的问题。

严格来说,从 IPv4 角度来说,端口耗尽真的可能发生吗?让我来解释一下:

  • 似乎有 65535 个端口可供使用。0 不可用。
  • 我已经读过,端口耗尽需要 (src ip、src port、dst ip、dst port) 元组是唯一的。
  • 为了清楚起见,假设我可以通过 sysctl net.ipv4.ip_local_port_range 设置使用 100% 的临时端口

问题是:它是这样的吗?

  • 我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:80 的连接
  • 我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:555 的连接
  • 基本上,再次问题是(srcip,srcport,dstip,dstport)必须是唯一的,对吗?
  • 我无法打开超过 65k 个连接IP“A”到 IP“B”,端口“N”
  • 同样地,单一 IP无法打开超过 65k 个到我的 web 服务器的连接,地址是 xxxx:80,但是我可以支持超过 65k 个连接,只要它们来自不同的源 IP

最后,我对(传出)临时端口和正在监听的传入端口有点困惑。我意识到一旦建立连接,连接的每一侧都是对等的,平等的,但在此之前:

例如,如果 (srcip,srcport,dstip,dstport) 元组确实必须是唯一的,那么为什么如果我启用,例如

net.ipv4.ip_local_port_range = 1024 65535

它允许使用 1024-65535 之间的临时端口,如果我有绑定在端口 3306 上的服务(例如 mySQL),它们有时会因为端口正在使用而无法启动。

这是否与以下事实有关:(这是我要求验证的陈述):

  • (srcip、srcport、dstip、dstport)对于每个连接都是唯一的,端口范围为 1-65535(不关注操作系统对临时端口的使用)
  • 但是,对于要绑定的套接字,它可以被视为 (srcip,srcport, *, *)。或者换句话说,IP 是否一定不能出于任何原因使用该端口进行绑定?

我可以验证上述行为,即我使用上面精确的 sysctl 行,并且因此我将 mySQL 移动到低于 1024 的端口,因为它偶尔会非常随机地无法重新启动,因为假设操作系统正在使用该端口(3306)作为临时端口。

答案1

这里有两个主要问题:

1.

严格地从 IPv4 角度来说,端口耗尽真的可能发生吗?

是的。例如,负载平衡路由器将所有连接发送到 NAT IP 地址。当您有许多SRC IPs 连接到单个 s 的瓶颈时,很可能会发生这种情况DST IP

这意味着你的网络服务器可能拥有一系列的连接,例如:

root@buglab:~# netstat -pnt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 173.200.1.18:80      10.100.1.100:49923        ESTABLISHED 13939/nginx: worker
tcp        0      0 173.200.1.18:80      10.200.1.200:10155        ESTABLISHED 13939/nginx: worker
tcp        0      0 173.200.1.18:80      10.10.1.10:14400        ESTABLISHED 13939/nginx: worker
tcp        0      0 173.200.1.18:80      10.10.1.10:50652        ESTABLISHED 13939/nginx: worker
tcp        0      0 173.200.1.18:80      10.20.1.20:57554        ESTABLISHED 13939/nginx: worker 

这完全没问题。但是,如果所有“外部地址”都相同,则可能会出现问题(例如“执行 NAT 的大型路由器 <---> 具有一个 IP 地址的服务器”)。

如果我必须假设为什么短暂端口耗尽不是一个常见问题,我认为这是因为每个端口都需要一个监听服务和足够的资源来响应——另一种资源(内存、CPU)通常首先成为瓶颈。

然而,我在一家负载平衡公司工作时亲自遇到过一些端口耗尽问题。

2. 为什么已使用的端口会给监听服务带来问题?

“这允许使用 1024-65535 之间的临时端口,如果我有绑定在端口 3306 上的服务(例如 mySQL),它们有时会因为端口正在使用而无法启动。”

如果该端口正在使用中(例如 localhost:3306 或所有接口),则 mySQL 服务器无法绑定到该端口。例如,看到以下netstat输出中的 0.0.0.0:80 行了吗?

root@buglab:~# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      PID/Program name
tcp        0      0 127.0.0.1:9000          0.0.0.0:*               LISTEN      964/php-fpm.conf)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1660/mysqld     
tcp        0      0 0.0.0.0:842             0.0.0.0:*               LISTEN      1317/inetd      
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      13938/nginx     

这意味着端口 80 正在监听全部服务器本地接口。如果另一个进程在我的nginx服务器启动之前占用了端口 80,则nginx无法控制该端口,并且启动过程可能会失败。

通常情况下,端口 3306 就可以了,因为监听服务具有从主机请求的预定义端口(或范围) - 例如 Web 服务器的端口 80 和 443。

答案2

我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:80 的连接。我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:555 的连接。

答:是的,如果你的本地端口是 1-65535,则连接数是 65k-1(一个端口正在监听)

基本上,再次,问题是 (srcip,srcport,dstip,dstport) 必须是唯一的,对吗?答:是的

我无法从 IP “A” 到 IP “B”、端口 “N” 打开超过 65k 个连接,同样,单个 IP 也无法从 xxxx:80 打开到我的网络服务器超过 65k 个连接,但是只要它们来自不同的源 IP,我总体上是否可以支持超过 65k 个连接?

答:单个 IP 无法打开超过 65k 个连接到我的 xxxx:80 的网络服务器,因为 srcip、srcport、dstip、dstport 都是唯一的。是的,如果源 IP 不同,您可以支持超过 65k 个连接

相关内容