一，在系统执行命令时报错error: too many open files

在linux中一切皆文件，例如监听的端口，设备，文件，进程等，都需要占用一个文件描述符（fd）。故在linux系统中最大打开文件描述符数open files，就很容易在大并发请求的系统上成为瓶颈。

调整的方法：

# echo "ulimit -n 1000000" >> /etc/profile

二，SYN Flood***

SYN Flood是当前最流行的DoS（拒绝服务***）与DDoS（分布式拒绝服务***）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被***服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被***服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

我们看到业务曲线大跌时，检查机器和DNS，发现只是对外的web机响应慢、CPU负载高、ssh登陆慢甚至有些机器登陆不上，检查系统syslog，会有类此如下的信息：

# tail -f /var/log/messages

Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.

检查连接数增多，并且SYN_RECV 连接特别多：

# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

TIME_WAIT 16855

CLOSE_WAIT 21

SYN_SENT 99

FIN_WAIT1 229

FIN_WAIT2 113

ESTABLISHED 8358

SYN_RECV 48965

CLOSING 3

LAST_ACK 313

我们可以通过调优kernel来缓解***：

1）net.ipv4.tcp_synack_retries = 0

这个比较重要，表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，进行0次重试，加快回收“半连接”。

2）net.ipv4.tcp_max_syn_backlog=16384

进入SYN包的最大请求队列长度，默认1024。对重负载服务器,增加该值显然有好处。

3）net.ipv4.tcp_syncookies = 1

打开syn cookie功能，***当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN，默认为0，表示关闭。

如果，调节kernel仍不能减轻syn flood***的话，直接用nginx或iptables封有嫌疑的ip。

三，系统socket TIME_WAIT过多

当socket连接由client端主动关闭后，socket连接最后会处于TIME_WAIT状态一段时间。一般情况下，这段时间为

2MSL（MSL:tcp报文段最大生存时间，他是任何报文段被丢弃前在网络内的最大时间，这样做也是为了让那些传输慢的报文段能被成功接收）。RFC 793[ Postel 1981c]指出MSL为2分钟，但是现实中常用值为30s或1min或2min。

当系统中有大量socket TIME_WAIT状态时，导致占用过多系统端口（而一个端口就是fd）。例如我们有个服务监听的端口为8012，重启的时候经常会提示端口被占用。

通过查看/proc/sys/net/ipv4/ip_local_port_range可以知道设置的Linux内核自动分配端口的端口范围：

# cat /proc/sys/net/ipv4/ip_local_port_range

1025 65535

减少方法：

1）net.ipv4.tcp_tw_reuse = 1

表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；

2）net.ipv4.tcp_tw_recycle = 1

表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭；

3）net.ipv4.tcp_fin_timeout = 30

#表示如果套接字由本端主动要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。

四，使用ip_conntrack模块导致系统丢包

kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态，并把每条记录保存到 table 里（这个 table 在内存里，可以通过/proc/net/ip_conntrack 查看当前已经记录的总数），如果网络状况繁忙，比如高连接，高并发连接等会导致逐步占用这个 table 可用空间，一般这个 table 很大不容易占满并且可以自己清理，table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包，但是如果出现被***、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候，就会导致源 IP 发的这个 RST 包收不到，这样就积累在 table 里，越积累越多直到占满。无论，哪种情况导致table变满，满了以后就会丢包，出现外部无法连接服务器的情况。内核会报如下错误信息：kernel: ip_conntrack: table full, dropping packet。

在/proc/net/ip_conntrack中，每一个跟踪连接表会占用304字节的内核存储空间，跟踪连接越多，越占用系统内存：

# cat /var/log/messages|grep conn

Nov 28 13:18:20 yd_82_231 kernel: ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack

调整方法：

1）net.ipv4.netfilter.ip_conntrack_max = 655360

增大跟踪的最大条数

2）net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 10800

减少跟踪连接的最大有效时间

五，server连接数高一般调整的tcp相关参数

1）/proc/sys/net/ipv4/tcp_mem

# cat /proc/sys/net/ipv4/tcp_mem

786432  2097152  3145728

确定 TCP 栈应该如何反映内存使用；每个值的单位都是内存页（通常是 4KB）。第一个值是内存使用的下限。第二个值是内存压力模式开始对缓冲区使用应用压力的上限。第三个值是内存上限。在这个层次上可以将报文丢弃，从而减少对内存的使用。对于较大的 BDP 可以增大这些值（但是要记住，其单位是内存页，而不是字节）。

2）/proc/sys/net/ipv4/tcp_wmem

# cat /proc/sys/net/ipv4/tcp_wmem

4096  65536  8388608

为自动调优定义每个 socket 使用的内存。第一个值是为 socket 的发送缓冲区分配的最少字节数。第二个值是默认值（该值会被 wmem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值。第三个值是发送缓冲区空间的最大字节数（该值会被 wmem_max 覆盖）。

3）/proc/sys/net/ipv4/tcp_rmem

# cat /proc/sys/net/ipv4/tcp_rmem

4096 87380 8388608

与 tcp_wmem 类似，不过它表示的是为自动调优所使用的接收缓冲区的值。