epoll模型的使用及其描述符耗尽问题的探讨

思一克

这个帖子可以做为精华了。因为问题微妙又棘手，有普遍性，尤其对与EPOLL

nuclearweapon

如果一直有大量的SYN_RECV就有可能是攻击。

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
可以打开。

下边还有几个都是对付 ddos的。太具体要自己查查。

wyezl

原帖由 思一克 于 2006-8-22 15:14 发表
wyezl,

攻击不会影响FD。FD是已经建立的连接没close.

我暂时的方法是描述符用完了，就退出。
由监视程序定时检查和重启。
这不知道是不是epoll自身的缺陷。

nuclearweapon

原帖由 思一克 于 2006-8-22 15:14 发表
wyezl,

攻击不会影响FD。FD是已经建立的连接没close.

我记得和斑竹有一些出入。
因为：
只要有socket就会有一个inode，也就会有一个fd。而不是连接以后才会有fd的。
对于linux2。6来说
每当在内核创建完struct socket后，就会调用sock_map_fd()在调用进程创建一个fd。

如果有SYN_RECV状态，也就有了struct socket，也就有了inode，进而有了fd。
希望指正！

[ 本帖最后由 nuclearweapon 于 2006-8-22 15:27 编辑 ]

思一克

应该不是epoll本身的问题。epoll采样事件，如果事件没有来它也无能为力。timeout是必须的

wyezl

原帖由 思一克 于 2006-8-22 15:15 发表
这个帖子可以做为精华了。因为问题微妙又棘手，有普遍性，尤其对与EPOLL

如果能讨论出一个成熟的，通用的epoll模型。 加精华也不亏。呵呵。
我继续线上测试。

uname -a
Linux xxx.com.cn 2.6.9-34.EL #1 Wed Mar 8 00:07:35 CST 2006 i686 i686 i386 GNU/Linux
[finance@sina src]$ cat /etc/issue
CentOS release 4.1 (Final)
Kernel \r on an \m

思一克

TO nuclearweapon，

你说的对。但他的问题是accept之后的fd被耗尽了，那就是有连接的socket.

如果那些DDOS攻击，往往是半连接（部分IP包），accept不了。

原帖由 nuclearweapon 于 2006-8-22 15:25 发表


我记得和斑竹有一些出入。
因为：
只要有socket就会有一个inode，也就会有一个fd。而不是连接以后才会有fd的。
对于linux2。6来说
每当在内核创建完struct socket后，就会调用sock_map_fd()在调用进程创建 ...

nuclearweapon

原帖由 思一克 于 2006-8-22 15:30 发表
TO nuclearweapon，

你说的对。但他的问题是accept之后的fd被耗尽了，那就是有连接的socket.

如果那些DDOS攻击，往往是半连接（部分IP包），accept不了。

就是这半连接的socket把fd用完了。
因为只有有了socket才可能有sycrcv状态。

思一克

To nuclearweapon,

也有可能是攻击引起的。让他继续实验。
半连接accept能成功返回fd吗？我不是十分肯定。

nuclearweapon

对于半连接来说accpet是不能返回了，但是在内核中fd已经建立起来了，也就消耗了一个进程的可用fd数量。