小编点评

## TCP 全连接队列总结 **最大值:** * **min(somaxconn, backlog)**：当 **tcp_max_syn_backlog > accept_queue** 大小时，半连接队列最大值为 **accept_queue大小 * 2**。 * **min(min(somaxconn, backlog), tcp_max_syn_backlog)*2**：当 **tcp_max_syn_backlog < accept_queue** 大小时，半连接队列最大值为 **tcp_max_syn_backlog * 2**。 **其他参数:** * **net.ipv4.tcp_fin_timeout**: 套接字关闭时间，默认值 60秒。 * **net.ipv4.tcp_tw_reuse**: 开启重用，允许将TIME_WAIT sockets重新用于新的TCP连接，默认值为 0。 * **net.ipv4.tcp_syncookies**: 开启 SYN Cookies 功能，当 SYN 等待队列溢出时启用 Cookies 来处理，可防范少量SYN攻击。 * **net.ipv4.tcp_keepalive_time**: 设置 TCP 保持连接的频率，默认值 2小时。 * **net.ipv4.ip_local_port_range**: 设置允许系统打开的端口范围，默认值 4000-65000。 * **net.ipv4.tcp_max_syn_backlog**: 定义 SYN队列的最大长度，默认值 256。 * **net.ipv4.tcp_max_tw_buckets**: 定义 TIME_WAIT 套接字的最大数量，默认值为 180000。 * **net.ipv4.tcp_synack_retries**: 定义 SYN 包发送重发次数，默认值为 5。 * **net.ipv4.tcp_max_orphans**: 定义系统中最多允许创建的最大孤连接数量，默认值为 65536。

正文

TCP的全连接与半连接队列

---

总结

TCP 全连接队列的最大值: 
取决于 somaxconn 和 backlog 之间的最小值，
也就是 min(somaxconn, backlog)

TCP 半连接队列的最大值:
min(min(somaxconn,backlog),tcp_max_syn_backlog)*2
也就是: 
当 tcp_max_syn_backlog > accept_queue大小时， 
半连接队列最大值 max_qlen_log = accept_queue大小 * 2;
当 tcp_max_syn_backlog < accept_queue大小时， 
半连接队列最大值 max_qlen_log = tcp_max_syn_backlog * 2;

---

一个内核设置案例

net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
net.ipv4.tcp_abort_on_overflow = 0

---

参数含义

net.ipv4.tcp_fin_timeout 
表示套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间，
默认值是60秒。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_fin_timeout 60
net.ipv4.tcp_tw_reuse 
表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，
默认值为0，表示关闭。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_tw_reuse 0
net.ipv4.tcp_syncookies 
表示开启SYN Cookies功能。当出现SYN等待队列溢出时，启用Cookies来处理，
可防范少量SYN攻击，这个参数也可以不添加。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_syncookies,默认值为1
net.ipv4.tcp_keepalive_time 
表示当keepalive启用时，TCP发送keepalive消息的频度。
默认是2小时，建议改为10分钟。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_keepalive_time,默认为7200秒。
net.ipv4.ip_local_port_range 
该选项用来设定允许系统打开的端口范围，即用于向外连接的端口范围。 
该参数对应系统路径为：/proc/sys/net/ipv4/ip_local_port_range 32768 61000
net.ipv4.tcp_max_syn_backlog 
表示SYN队列的长度，默认为256，建议加大队列的长度为8192或更多，
这样可以容纳更多等待连接的网络连接数。 该参数为服务器端用于记录那些尚未收到客户端确认信息的连接请求最大值。 
该参数对象系统路径为：/proc/sys/net/ipv4/tcp_max_syn_backlog
net.ipv4.tcp_max_tw_buckets 
表示系统同时保持TIME_WAIT套接字的最大数量，
如果超过这个数值，TIME_WAIT套接字将立刻被清除并打印警告信息。 
默认为180000，对于Apache、Nginx等服务器来说可以将其调低一点，如改为5000~30000，
不同业务的服务器也可以给大一点，比如LVS、Squid。 此项参数可以控制TIME_WAIT套接字的最大数量，
避免Squid服务器被大量的TIME_WAIT套接字拖死。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_max_tw_buckets
net.ipv4.tcp_synack_retries 
参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_synack_retries,默认值为5
net.ipv4.tcp_syn_retries 
表示在内核放弃建立连接之前发送SYN包的数量。 
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_syn_retries 5
net.ipv4.tcp_max_orphans 
用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。 
如果超过这个数值，孤立连接将被立即被复位并打印出警告信息。 
这个限制只有为了防止简单的DoS攻击。不能过分依靠这个限制甚至认为减少这个值，更多的情况是增加这个值。
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_max_orphans 65536
net.core.somaxconn 
该选项默认值是128，这个参数用于调节系统同时发起的TCP连接数，
在高并发的请求中，默认的值可能会导致链接超时或重传，因此，需要结合并发请求数来调节此值。
该参数对应系统路径为：/proc/sys/net/core/somaxconn 128
net.core.netdev_max_backlog 
表示当每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许发送到队列的数据包最大数。 
该参数对应系统路径为：/proc/sys/net/core/netdev_max_backlog，默认值为1000

From https://blog.csdn.net/crazymakercircle/article/details/125947088