nosso servidor sofreu um grave problema de tempo limite de conexão, então rastreamos a conexão tcp com tcptrack
descobrimos que, se o cliente começou a se conectar ao servidor, tcptrack mostra a conexão, mas no status SYN_SENT, e netstat -nat não mostra nada. (O tcptrack e o netstat são todos executados no servidor)
eu fiz um teste de bancada usando ab na mesma intranet, para o NIC especificado, ele processou 10000 conexões simultâneas e 400000 solicitações ok
ps: isso não acontece todas as vezes, mas aconteceu muito
pps: existe alguma boa ferramenta para rastrear onde a conexão tcp foi perdida?
Isso significa que o SYN foi enviado pelo cliente e não chegou ao servidor, o servidor não respondeu a ele ou o servidor optou por respondê-lo sem acompanhá-lo. O servidor não precisa acompanhar todas as respostas SYN enviadas (e pode usar cookies SYN ) porque elas podem ser falsificadas e isso cria um risco de ataques de negação de serviço.
Quando estou recebendo tráfego 'indesejado', como no tráfego que foi especificamente bloqueado pelas regras IPTABLES (como sendo DROP), o tcptrack mostra o endereço IP de entrada junto com o status SYN_SENT (juntamente com o tempo de conexão e taxa de dados de 0b / seg). Essa listagem fica lá por alguns segundos até que seja limpa.
Então - é possível que as conexões que você está vendo estejam bloqueadas por algum motivo. Os endereços IP que aparecem com SYN_SENT podem ser bloqueados devido a IPTABLES DROPs. Você pode desativar o IPTABLES um pouco e ver se ele continua. Em caso afirmativo, certifique-se de que os endereços bloqueados devem estar.
Tags connection timeout tcp