Чому сервер не надсилає пакет SYN / ACK у відповідь на пакет SYN

Останнім часом нам стало відомо про проблему з підключенням TCP, яка здебільшого обмежена користувачами Mac і Linux, які переглядають наші веб-сайти.

З точки зору користувача, він представляє себе як дуже довгий час підключення до наших веб-сайтів (> 11 секунд).

Нам вдалося віднайти технічний підпис цієї проблеми, але не можемо з’ясувати, чому це відбувається або як його виправити.

В основному, що відбувається, це те, що машина клієнта відправляє пакет SYN для встановлення TCP-з'єднання і веб-сервер отримує його, але не відповідає з пакетом SYN / ACK. Після того, як клієнт надіслав багато SYN-пакетів, сервер нарешті реагує пакетом SYN / ACK, і все в порядку до кінця з'єднання.

І, звичайно, головна проблема: вона переривається і не відбувається весь час (хоча це відбувається між 10-30% часу)

Ми використовуємо Fedora 12 Linux як ОС та Nginx як веб-сервер.

Скріншот аналізу проводів

Оновлення:

Якщо вимкнути масштабування вікон на клієнті, це зупинило ситуацію. Тепер мені просто потрібна роздільна здатність сервера (ми не можемо змусити всіх клієнтів це робити) :)

Остаточне оновлення:

Рішення полягало в тому, щоб вимкнути масштабування вікон TCP та часові позначки TCP на наших серверах, доступних для широкої публіки.

У нас була така ж проблема. Просто відключення часових позначок TCP вирішило проблему.

sysctl -w net.ipv4.tcp_timestamps=0

Щоб зробити цю зміну постійною, зробіть запис /etc/sysctl.conf.

Будьте дуже обережні щодо відключення параметра масштабу вікна TCP. Цей варіант важливий для забезпечення максимальної продуктивності через Інтернет. Хто - то з підключенням до 10 Мбіт / с матиме передачу неоптимальний , якщо час спуско операцій ( в основному так само , як пінг) більш ніж 55 мс.

Ми дійсно помітили цю проблему, коли за одним NAT було кілька пристроїв. Я підозрюю, що сервер, можливо, заплутався, коли одночасно бачив часові позначки від пристроїв Android і OSX-машин, оскільки в полях часових позначок вони ставили зовсім інші значення.

У моєму випадку наступна команда усунула проблему з відсутніми відповідями SYN / ACK з сервера Linux:

sysctl -w net.ipv4.tcp_tw_recycle=0

Я думаю, що це правильніше, ніж вимкнення часових позначок TCP, оскільки часові позначки TCP корисні для високої продуктивності (PAWS, масштабування вікон тощо).

У документації tcp_tw_recycleпрямо зазначено, що не рекомендується це вмикати, оскільки багато NAT-маршрутизатори зберігають часові позначки і, таким чином, PAWS починається, оскільки часові позначки з одного і того ж IP не відповідають.

   tcp_tw_recycle (Boolean; default: disabled; since Linux 2.4)
          Enable fast recycling of TIME_WAIT sockets.  Enabling this
          option is not recommended for devices communicating with the
          general Internet or using NAT (Network Address Translation).
          Since some NAT gateways pass through IP timestamp values, one
          IP can appear to have non-increasing timestamps.  See RFC 1323
          (PAWS), RFC 6191.

Цікаво, але чому для пакету SYN (кадр № 539; той, який був прийнятий) поля WS та TSV відсутні у стовпці "Інформація"?

WS - масштаб вікон TCP, а TSV - значення Timestamp . Обидва вони знаходяться під полем tcp.options, і Wireshark все одно повинен показати їх, якщо вони є. Можливо, клієнтський TCP / IP стек обурюється різним SYN-пакетом у 8-й спробі, і це було причиною того, що його раптово визнали?

Чи можете ви надати нам внутрішні значення фрейму 539? Чи завжди SYN / ACK приходить для пакету SYN, у якому не включена WS?

Ми просто зіткнулися з точно такою ж проблемою (дійсно знадобилося досить багато часу, щоб зафіксувати її на сервері, не надсилаючи syn-ack).

"Рішення полягало в тому, щоб вимкнути масштабування вікон tcp та часові позначки tcp на наших серверах, доступних для громадськості."

Щоб продовжувати те, про що заявив Ansis, я бачив подібні проблеми, коли брандмауер не підтримує масштаб TCP Windows. Що між брандмауером та моделем між тими двома хостами?

Відсутній SYN / ACK може бути викликаний занадто низькими межами захисту SYNFLOOD на брандмауері. Це залежить від того, скільки з'єднань із вашим сервером створює користувач. Використання spdy зменшило б кількість підключень і могло б допомогти в ситуації, коли net.ipv4.tcp_timestampsвідключення не допомагає.

Така поведінка прослуховуваного сокета TCP, коли його відставання заповнене.

Ngnix дозволяє прослуховувати аргумент відставання в конфігурації: http://wiki.nginx.org/HttpCoreModule#listen

прослухати 80 відставання = число

Спробуйте встановити num на щось більше, ніж за замовчуванням, наприклад 1024.

Я не даю жодних гарантій, що повна черга на прослуховування насправді є вашою проблемою, але це добре спочатку перевірити.

Щойно я виявив, що клієнти Linux TCP змінюють свій SYN-пакет після 3-х спроб і видаляють вікно масштабування. Я думаю, що розробники ядра подумали, що це поширена причина збою підключення в Інтернеті

Це пояснює, чому цим клієнтам вдається підключитися через 11 секунд (без вікон TCP SYN відбувається через 9 секунд у моєму короткому тесті з налаштуваннями за замовчуванням)

У мене була подібна проблема, але в моєму випадку неправильно обчислена контрольна сума TCP. Клієнт був позаду veth і працює ettool -K veth0 rx off tx off зробив свою справу.