TCP半连接队列和全连接队列

一、什么是半连接队列和全连接队列

在TCP连接的服务端，linux内核会维护两个队列

• SYN队列，也成半连接队列
• accept队列，全连接队列

服务端收到客户端发起的 SYN 请求后，内核会把该连接存储到半连接队列，并向客户端响应 SYN+ACK，接着客户端会返回 ACK，服务端收到第三次握手的 ACK 后，内核会把连接从半连接队列移除，然后创建新的完全的连接，并将其添加到 accept 队列，等待进程调用 accept 函数时把连接取出来。

二、TCP全连接的查看和溢出

可以通过 ss 命令查看。

TCP全连接队列满了会怎么办？
通常情况下服务端会直接丢弃掉后续进来的连接，并统计个数。但是我们也可以选择向客户端发送RST复位报文，告诉客户端连接失败。
tcp_abort_on_overflow 共有两个值分别是 0 和 1，其分别表示：

• 0 ：表示如果全连接队列满了，那么 server 扔掉 client 发过来的 ack ；
• 1 ：表示如果全连接队列满了，那么 server 发送一个 reset 包给 client，表示废掉这个握手过程和这个连接；

如何增大TCP全连接队列？
TCP 全连接队列足最大值取决于 somaxconn 和 backlog 之间的最小值，也就是 min(somaxconn, backlog)。从下面的 Linux 内核代码可以得知：

• somaxconn：是 Linux 内核的参数，默认值是 128，可以通过 /proc/sys/net/core/somaxconn 来设置其值；
• backlog：listen(int sockfd, int backlog) 函数中的 backlog 大小，Nginx 默认值是 511，可以通过修改配置文件设置其长度；

TCP半连接队列溢出怎么办？

可以开启syncookies可以在不使用SYN半连接队列情况下成功建立连接。
**syncookies 是这么做的：**服务器根据当前状态计算出一个值，放在己方发出的 SYN+ACK 报文中发出，当客户端返回 ACK 报文时，取出该值验证，如果合法，就认为连接建立成功。

syncookies 参数主要有以下三个值：

• 0 值，表示关闭该功能；
• 1 值，表示仅当 SYN 半连接队列放不下时，再启用它；
• 2 值，表示无条件开启功能；

如何防御SYN攻击？

• 增大半连接队列大小；
• 开启syncookies；
• 减少SYN+ACK重传次数；

当服务端受到 SYN 攻击时，就会有大量处于 SYN_REVC 状态的 TCP 连接，处于这个状态的 TCP 会重传 SYN+ACK ，当重传超过次数达到上限后，就会断开连接。
那么针对 SYN 攻击的场景，我们可以减少 SYN+ACK 的重传次数，以加快处于 SYN_REVC 状态的 TCP 连接断开。

以上内容和图片参考TCP 半连接队列和全连接队列满了会发生什么？又该如何应对？

就是这事，散会！