之所以起這樣一個(gè)題目是因?yàn)楹芫靡郧拔以?jīng)寫過(guò)一篇介紹TIME_WAIT的文章，不過(guò)當(dāng)時(shí)基本屬于淺嘗輒止，并沒(méi)深入說(shuō)明問(wèn)題的來(lái)龍去脈，碰巧這段時(shí)間反復(fù)被別人問(wèn)到相關(guān)的問(wèn)題，讓我覺(jué)得有必要全面總結(jié)一下，以備不時(shí)之需。

討論前大家可以拿手頭的服務(wù)器摸摸底，記住「ss」比「netstat」快：

shell> ss -ant | awk '     NR>1 {++s[$1]} END {for(k in s) print k,s[k]} '

如果你只是想單獨(dú)查詢一下TIME_WAIT的數(shù)量，那么還可以更簡(jiǎn)單一些：

shell> cat /proc/net/sockstat

我猜你一定被巨大無(wú)比的TIME_WAIT網(wǎng)絡(luò)連接總數(shù)嚇到了！以我個(gè)人的經(jīng)驗(yàn)，對(duì)于一臺(tái)繁忙的Web服務(wù)器來(lái)說(shuō)，如果主要以短連接為主，那么其TIME_WAIT網(wǎng)絡(luò)連接總數(shù)很可能會(huì)達(dá)到幾萬(wàn)，甚至十幾萬(wàn)。雖然一個(gè)TIME_WAIT網(wǎng)絡(luò)連接耗費(fèi)的資源無(wú)非就是一個(gè)端口、一點(diǎn)內(nèi)存，但是架不住基數(shù)大，所以這始終是一個(gè)需要面對(duì)的問(wèn)題。

為什么會(huì)存在TIME_WAIT？

TCP在建立連接的時(shí)候需要握手，同理，在關(guān)閉連接的時(shí)候也需要握手。為了更直觀的說(shuō)明關(guān)閉連接時(shí)握手的過(guò)程，我們引用「The TCP/IP Guide」中的例子：

TCP Close

因?yàn)門CP連接是雙向的，所以在關(guān)閉連接的時(shí)候，兩個(gè)方向各自都需要關(guān)閉。先發(fā)FIN包的一方執(zhí)行的是主動(dòng)關(guān)閉；后發(fā)FIN包的一方執(zhí)行的是被動(dòng)關(guān)閉。主動(dòng)關(guān)閉的一方會(huì)進(jìn)入TIME_WAIT狀態(tài)，并且在此狀態(tài)停留兩倍的MSL時(shí)長(zhǎng)。

穿插一點(diǎn)MSL的知識(shí)：MSL指的是報(bào)文段的最大生存時(shí)間，如果報(bào)文段在網(wǎng)絡(luò)活動(dòng)了MSL時(shí)間，還沒(méi)有被接收，那么會(huì)被丟棄。關(guān)于MSL的大小，RFC 793協(xié)議中給出的建議是兩分鐘，不過(guò)實(shí)際上不同的操作系統(tǒng)可能有不同的設(shè)置，以Linux為例，通常是半分鐘，兩倍的MSL就是一分鐘，也就是60秒，并且這個(gè)數(shù)值是硬編碼在內(nèi)核中的，也就是說(shuō)除非你重新編譯內(nèi)核，否則沒(méi)法修改它：

#define TCP_TIMEWAIT_LEN (60*HZ)

如果每秒的連接數(shù)是一千的話，那么一分鐘就可能會(huì)產(chǎn)生六萬(wàn)個(gè)TIME_WAIT。

為什么主動(dòng)關(guān)閉的一方不直接進(jìn)入CLOSED狀態(tài)，而是進(jìn)入TIME_WAIT狀態(tài)，并且停留兩倍的MSL時(shí)長(zhǎng)呢？這是因?yàn)門CP是建立在不可靠網(wǎng)絡(luò)上的可靠的協(xié)議。例子：主動(dòng)關(guān)閉的一方收到被動(dòng)關(guān)閉的一方發(fā)出的FIN包后，回應(yīng)ACK包，同時(shí)進(jìn)入TIME_WAIT狀態(tài)，但是因?yàn)榫W(wǎng)絡(luò)原因，主動(dòng)關(guān)閉的一方發(fā)送的這個(gè)ACK包很可能延遲，從而觸發(fā)被動(dòng)連接一方重傳FIN包。極端情況下，這一去一回，就是兩倍的MSL時(shí)長(zhǎng)。如果主動(dòng)關(guān)閉的一方跳過(guò)TIME_WAIT直接進(jìn)入CLOSED，或者在TIME_WAIT停留的時(shí)長(zhǎng)不足兩倍的MSL，那么當(dāng)被動(dòng)關(guān)閉的一方早先發(fā)出的延遲包到達(dá)后，就可能出現(xiàn)類似下面的問(wèn)題：

• 舊的TCP連接已經(jīng)不存在了，系統(tǒng)此時(shí)只能返回RST包
• 新的TCP連接被建立起來(lái)了，延遲包可能干擾新的連接

不管是哪種情況都會(huì)讓TCP不再可靠，所以TIME_WAIT狀態(tài)有存在的必要性。

如何控制TIME_WAIT的數(shù)量？

從前面的描述我們可以得出這樣的結(jié)論：TIME_WAIT這東西沒(méi)有的話不行，不過(guò)太多可能也是個(gè)麻煩事。下面讓我們看看有哪些方法可以控制TIME_WAIT數(shù)量，這里只說(shuō)一些常規(guī)方法，另外一些諸如SO_LINGER之類的方法太過(guò)偏門，略過(guò)不談。

ip_conntrack：顧名思義就是跟蹤連接。一旦激活了此模塊，就能在系統(tǒng)參數(shù)里發(fā)現(xiàn)很多用來(lái)控制網(wǎng)絡(luò)連接狀態(tài)超時(shí)的設(shè)置，其中自然也包括TIME_WAIT：

shell> modprobe ip_conntrack shell> sysctl net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait

我們可以嘗試縮小它的設(shè)置，比如十秒，甚至一秒，具體設(shè)置成多少合適取決于網(wǎng)絡(luò)情況而定，當(dāng)然也可以參考相關(guān)的案例。不過(guò)就我的個(gè)人意見(jiàn)來(lái)說(shuō)，ip_conntrack引入的問(wèn)題比解決的還多，比如性能會(huì)大幅下降，所以不建議使用。

tcp_tw_recycle：顧名思義就是回收TIME_WAIT連接?？梢哉f(shuō)這個(gè)內(nèi)核參數(shù)已經(jīng)變成了大眾處理TIME_WAIT的萬(wàn)金油，如果你在網(wǎng)絡(luò)上搜索TIME_WAIT的解決方案，十有八九會(huì)推薦設(shè)置它，不過(guò)這里隱藏著一個(gè)不易察覺(jué)的陷阱：

當(dāng)多個(gè)客戶端通過(guò)NAT方式聯(lián)網(wǎng)并與服務(wù)端交互時(shí)，服務(wù)端看到的是同一個(gè)IP，也就是說(shuō)對(duì)服務(wù)端而言這些客戶端實(shí)際上等同于一個(gè)，可惜由于這些客戶端的時(shí)間戳可能存在差異，于是乎從服務(wù)端的視角看，便可能出現(xiàn)時(shí)間戳錯(cuò)亂的現(xiàn)象，進(jìn)而直接導(dǎo)致時(shí)間戳小的數(shù)據(jù)包被丟棄。參考：tcp_tw_recycle和tcp_timestamps導(dǎo)致connect失敗問(wèn)題。

tcp_tw_reuse：顧名思義就是復(fù)用TIME_WAIT連接。當(dāng)創(chuàng)建新連接的時(shí)候，如果可能的話會(huì)考慮復(fù)用相應(yīng)的TIME_WAIT連接。通常認(rèn)為「tcp_tw_reuse」比「tcp_tw_recycle」安全一些，這是因?yàn)橐粊?lái)TIME_WAIT創(chuàng)建時(shí)間必須超過(guò)一秒才可能會(huì)被復(fù)用；二來(lái)只有連接的時(shí)間戳是遞增的時(shí)候才會(huì)被復(fù)用。官方文檔里是這樣說(shuō)的：如果從協(xié)議視角看它是安全的，那么就可以使用。這簡(jiǎn)直就是外交辭令??！按我的看法，如果網(wǎng)絡(luò)比較穩(wěn)定，比如都是內(nèi)網(wǎng)連接，那么就可以嘗試使用。

不過(guò)需要注意的是在哪里使用，既然我們要復(fù)用連接，那么當(dāng)然應(yīng)該在連接的發(fā)起方使用，而不能在被連接方使用。舉例來(lái)說(shuō)：客戶端向服務(wù)端發(fā)起HTTP請(qǐng)求，服務(wù)端響應(yīng)后主動(dòng)關(guān)閉連接，于是TIME_WAIT便留在了服務(wù)端，此類情況使用「tcp_tw_reuse」是無(wú)效的，因?yàn)榉?wù)端是被連接方，所以不存在復(fù)用連接一說(shuō)。讓我們延伸一點(diǎn)來(lái)看，比如說(shuō)服務(wù)端是PHP，它查詢另一個(gè)MySQL服務(wù)端，然后主動(dòng)斷開(kāi)連接，于是TIME_WAIT就落在了PHP一側(cè)，此類情況下使用「tcp_tw_reuse」是有效的，因?yàn)榇藭r(shí)PHP相對(duì)于MySQL而言是客戶端，它是連接的發(fā)起方，所以可以復(fù)用連接。

說(shuō)明：如果使用tcp_tw_reuse，請(qǐng)激活tcp_timestamps，否則無(wú)效。

tcp_max_tw_buckets：顧名思義就是控制TIME_WAIT總數(shù)。官網(wǎng)文檔說(shuō)這個(gè)選項(xiàng)只是為了阻止一些簡(jiǎn)單的DoS攻擊，平常不要人為的降低它。如果縮小了它，那么系統(tǒng)會(huì)將多余的TIME_WAIT刪除掉，日志里會(huì)顯示：「TCP: time wait bucket table overflow」。

需要提醒大家的是物極必反，曾經(jīng)看到有人把「tcp_max_tw_buckets」設(shè)置成0，也就是說(shuō)完全拋棄TIME_WAIT，這就有些冒險(xiǎn)了，用一句圍棋諺語(yǔ)來(lái)說(shuō)：入界宜緩。

…

有時(shí)候，如果我們換個(gè)角度去看問(wèn)題，往往能得到四兩撥千斤的效果。前面提到的例子：客戶端向服務(wù)端發(fā)起HTTP請(qǐng)求，服務(wù)端響應(yīng)后主動(dòng)關(guān)閉連接，于是TIME_WAIT便留在了服務(wù)端。這里的關(guān)鍵在于主動(dòng)關(guān)閉連接的是服務(wù)端！在關(guān)閉TCP連接的時(shí)候，先出手的一方注定逃不開(kāi)TIME_WAIT的宿命，套用一句歌詞：把我的悲傷留給自己，你的美麗讓你帶走。如果客戶端可控的話，那么在服務(wù)端打開(kāi)KeepAlive，盡可能不讓服務(wù)端主動(dòng)關(guān)閉連接，而讓客戶端主動(dòng)關(guān)閉連接，如此一來(lái)問(wèn)題便迎刃而解了。

參考文檔：

1. tcp短連接TIME_WAIT問(wèn)題解決方法大全（1）——高屋建瓴
2. tcp短連接TIME_WAIT問(wèn)題解決方法大全（2）——SO_LINGER
3. tcp短連接TIME_WAIT問(wèn)題解決方法大全（3）——tcp_tw_recycle
4. tcp短連接TIME_WAIT問(wèn)題解決方法大全（4）——tcp_tw_reuse
5. tcp短連接TIME_WAIT問(wèn)題解決方法大全（5）——tcp_max_tw_buckets