? ? ? ? ?一個TCP/IP連接斷開以后，會通過TIME_WAIT的狀態保留一段時間，時間過了才會釋放這個端口，當端口接受的頻繁請求數量過多的時候，就會產生大量的TIME_WAIT狀態的連接，這些連接占著端口，會消耗大量的資源。面對這種情況 可以通過修改TCP/IP的內核參數，來及時的處理這些狀態。
netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
執行該命令如果出現了大量的 TIME_WAIT 連接數目的話，如下：
FIN_WAIT2 50
CLOSING 63
TIME_WAIT 15000
如果是這種情況的話，可以通過一下設置來減緩
我們用vim打開配置文件（打開之前最好先備份一下該文件）：

#vim /etc/sysctl.conf

然后，在這個文件中，加入下面的幾行內容：

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30

最后輸入下面的命令，讓內核參數生效：

#/sbin/sysctl -p
簡單的說明下，上面的參數的含義：

net.ipv4.tcp_syncookies = 1 表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防范少量SYN攻擊，默認為0，表示關閉；
net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接，默認為0，表示關閉；
net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認為0，表示關閉；
net.ipv4.tcp_fin_timeout 修改系統默認的 TIMEOUT 時間。

在經過這樣的調整之后，除了會進一步提升服務器的負載能力之外，還能夠防御一定程度的DDoS、CC和SYN攻擊，是個一舉兩得的做法。

此外，如果你的連接數本身就很多，我們可以再優化一下TCP/IP的可使用端口范圍，進一步提升服務器的并發能力。依然是往上面的參數文件中，加入下面這些配置：

net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000

這幾個參數，建議只在流量非常大的服務器上開啟，會有顯著的效果。一般的流量小的服務器上，沒有必要去設置這幾個參數。這幾個參數的含義如下：

net.ipv4.tcp_keepalive_time = 1200 表示當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時，改為20分鐘。
net.ipv4.ip_local_port_range = 10000 65000 表示用于向外連接的端口范圍。缺省情況下很小：32768到61000，改為10000到65000。（注意：這里不要將最低值設的太低，否則可能會占用掉正常的端口！）
net.ipv4.tcp_max_syn_backlog = 8192 表示SYN隊列的長度，默認為1024，加大隊列長度為8192，可以容納更多等待連接的網絡連接數。
net.ipv4.tcp_max_tw_buckets = 5000 表示系統同時保持TIME_WAIT的最大數量，如果超過這個數字，TIME_WAIT將立刻被清除并打印警告信息。默 認為180000，改為5000。對于Apache、Nginx等服務器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對于 Squid，效果卻不大。此項參數可以控制TIME_WAIT的最大數量，避免Squid服務器被大量的TIME_WAIT拖死。

本文轉自birdinroom 51CTO博客，原文鏈接：http://blog.51cto.com/birdinroom/1693449，如需轉載請自行聯系原作者