1 案例
1.1 环境部署
环境1:WEB服务器
docker run -itd --name=nginx -p 80:80 nginx环境2:SYN攻击
curl http://xxx.xxx.xxx.xxx/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
...
# -S 参数表示设置 TCP 协议的 SYN(同步序列号),-p 表示目的端口为 80
# -i u100 表示每隔 100 微秒发送一个网络帧
# 注:如果你在实践过程中现象不明显,可以尝试把 100 调小,比如调成 10 甚至 1
$ hping3 -S -p 80 -i u1 xxx.xxx.xxx.xxx1.2 分析过程
1、CPU使用率不高但是软中断已经到了10%,从非idle状态的全部用在了软中断上面。
2、确认是哪个软中断导致的问题
watch -d cat /proc/softirqsTIMER(定时中断)、NET_RX(网络接收)、SCHED(内核调度)、RCU(RCU 锁)中,网络接收变化最快。
3、确认了网络问题,继续观察下网络收发包的情况
# -n DEV 表示显示网络收发的报告,间隔 1 秒输出一组数据
sar -n DEV 1报告时间 | 网卡 | rxpck/s txpck/s收发帧数 | exkB/s txkB/s收发千字节数
- 对网卡et0来说,收帧很大112924.00,但是数据量很小5955.00。
- 计算一下
5955.00*1024Byte/112924.00=54Byte平均每个包只有54字节即小包问题。
4、抓包确认问题
tcpdump -i eth0 -n tcp port 80
21:59:25.549573 IP 源端.40615 > 目标端.http: Flags [S], seq 270293337, win 512, length 0
21:59:25.549592 IP 源端.40616 > 目标端.http: Flags [S], seq 830767629, win 512, length 0Flags [S]表示syn包,PPS超过1.2W确认syn flood攻击。
2 概念
2.1 软中断概念
linux的中断会打断CPU当前的工作,中断一般都设计的短小精悍。但是也为了解决中断处理程序执行时间过长和中断丢失的问题,Linux的中断分为两个阶段:
- 上半部用来快速处理中断,它在中断禁止模式下运行,主要处理硬件相关和时间敏感的工作
- 下半部用来延迟处理上半部未完成的工作,通常以内核线程的方式运行
网卡收数据包的例子:
网卡收到数据包后会通过硬件中断的方式,通知内核有新的数据到了:对上半部来说,既然是快速处理,其实就是要把网卡的数据读到内存中,然后更新一下硬件寄存器的状态(表示数据已经读好了),最后再发送一个软中断信号,通知下半部做进一步的处理。而下半部被软中断信号唤醒后,需要从内存中找到网络数据,再按照网络协议栈,对数据进行逐层解析和处理,直到把它送给应用程序。
- 上半部直接处理硬件请求,也就是我们常说的硬中断,特点是快速执行
- 而下半部则是由内核触发,也就是我们常说的软中断,特点是延迟执行
实际上,上半部会打断 CPU 正在执行的任务,然后立即执行中断处理程序。而下半部以内核线程的方式执行,并且每个CPU都对应一个软中断内核线程,名字为 “ksoftirqd/CPU 编号”,比如说, 0 号 CPU 对应的软中断内核线程的名字就是 ksoftirqd/0。不过要注意的是,软中断不只包括了刚刚所讲的硬件设备中断处理程序的下半部,一些内核自定义的事件也属于软中断,比如内核调度和RCU 锁(Read-Copy Update 的缩写,RCU是 Linux 内核中最常用的锁之一)等。
2.2 查看软中断和内核线程
-
cat /proc/interrupts软中断 -
cat /proc/softirqs硬中断
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。