你的位置:国外/美国服务器租用 技术文档 LinuxVPS使用教程 正文
美国服务器出租
  1. 1美国独立服务器10G独享带宽不限流量,欧洲1G带宽独享,不限流量
  2. 2美国100M独享,洛杉矶 32GB内存 英特尔至强CPU,特价:1699元/月
  3. 3美国加州机房100M独享E3-1270,32G内存/96G内存,送KVM,1399元/月
  4. 4美国云服务器,8G内存,服务器CPU,4核心,特价699元/月,16G内存1299元
  5. 5美国G口抗攻击服务器,G口1000M独享带宽抗DDOS攻击服务器(至强Xeon E3 1230)
  6. 6国外G口带宽独享服务器,美国G口独享,欧洲G口独享服务器租用
  7. 7美国圣安娜KT服务器,加州KT服务器租用,KT独立服务器出租(特价799元/月)
  8. 8加州洛杉矶机房,中国访问速度最快的美国机房之一,999元/月,4G内存20M独享
  9. 9美国1G独享带宽,欧洲1G独享带宽租用(视频等大流量网站解决方案)
  10. 10凤凰城机房Phoenix服务器租用:7个机房4核I3,8G内存,30M独享带宽,首月999元
美国VPS主机
  1. 1美国SSD VPS租用,美国西海岸加州洛杉矶SSD VPS服务器,Linux/Windows
  2. 2内华达州VPS,拉斯维加斯VPS,拉斯维加斯服务器,内华达州服务器租用
  3. 3美国东海岸VPS,纽约服务器,曼哈顿云服务器,纽约VPS租用
  4. 4外贸VPS服务器,仿牌空间,仿牌主机,抗投诉VPS(外贸英文商城VPS)SSL证书安装服务
  5. 5美国Psychz电信直连VPS,中国访问速度最快的美国VPS,Psychz机房VPS
  6. 6Camforg专用VPS,美国Camforg多视频聊天软件VPS,Camforg服务器租用
  7. 7美国加州VPS,洛杉矶WebNX机房VPS,加州WN机房Windows VPS
  8. 8美国西雅图VPS,西雅图机房VPS,支持试用的VPS,VPS试用10元/天
  9. 9合租美国服务器,国外服务器合租,高端VPS服务器,完胜低配独立服务器的VPS
  10. 10抗攻击Windows VPS,不怕DDOS攻击的VPS,有攻击不关机,无攻击后2小时内恢复
服务器错误ip_conntrack: table full, dropping packet解决办法
  • 服务器dmesg发现很多服务器错误ip_conntrack: table full, dropping packet,错误现象 如下:

    dmesg | more
    ip_conntrack: table full, dropping packet.
    printk: 2414 messages suppressed.
    ip_conntrack: table full, dropping packet.
    printk: 2234 messages suppressed.
    ip_conntrack: table full, dropping packet.
    printk: 2181 messages suppressed.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    eth0: port 55(tap-vifvm270.0) entering disabled state
    eth0: port 55(tap-vifvm270.0) entering disabled state
    device tap-vifvm270.0 left promiscuous mode
    eth0: port 55(tap-vifvm270.0) entering disabled state
    eth0: port 56(vifvm270.0) entering disabled state
    device vifvm270.0 left promiscuous mode
    eth0: port 56(vifvm270.0) entering disabled state
    device vifvm270.0 entered promiscuous mode
    device tap-vifvm270.0 entered promiscuous mode
    eth0: port 56(tap-vifvm270.0) entering forwarding state
    eth0: port 56(tap-vifvm270.0) entering disabled state
    eth0: port 56(tap-vifvm270.0) entering forwarding state
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.
    ip_conntrack: table full, dropping packet.

    IP_conntrack原理:

    IP_conntrack表示连接跟踪数据库(conntrack database),代表NAT机器跟踪连接的数目,连接跟踪表能容纳多少记录是被一个变量控制的,它可由内核中的ip- sysctl函数设置。每一个跟踪连接表会占用350字节的内核存储空间,时间一长就会把默认的空间填满.

    查看当前连接数:

    [[email protected]]# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
    120406

    wc -l /proc/net/ip_conntrack  (不推荐,但数量很大的时候,会占用大量cpu资源,增加服务器负载)
    9344 /proc/net/ip_conntrack

    服务器错误ip_conntrack: table full, dropping packet解决办法

    echo 180 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    echo 65536> /proc/sys/net/ipv4/netfilter/ip_conntrack_max
    echo 120   > /proc/sys/net/ipv4/neigh/default/gc_stale_time
    echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
    echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
    echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

    特别注意,不要盲目增加ip_conntrack_max,一般默认的65536个链接就已经足够,盲目增加会导致内存开支过大,而且可能很快也会爆满。(65536个链接大约需要1GB内存)重要的是,需要找到导致这么多链接的原因!另外ip_conntrack_tcp_timeout_established默认是保持连接5天时间,改成180的意思是3小时。


    或vi /etc/sysctl.conf
    net.ipv4.ip_conntrack_max = 322560
    net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180

    再sysctl -p


    查找导致这么多ip_conntrack链接的原因:

    [[email protected]]#  cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
    65536
    [[email protected]]#  cat  /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    180

    cat /proc/net/ip_conntrack  目测可疑IP和端口,然后用iptables封掉

    有时候看不出真实源头,可先记录日志,参考:

    iptables -D FORWARD -p udp --dport 53 -m state --state NEW -j LOG --log-prefix "cto_domain_dns "

    iptables -I FORWARD -d 79.138.140.122 -p tcp -m state --state NEW -j LOG --log-prefix "cto_find_issue "

    然后查看日志tail -f /var/log/messages,分析出真实源头,再把真实源头屏蔽掉

    如: iptables -I FORWARD -s 50.2.6.12 -p udp --sport 53 -j DROP

     

    相关参数说明: 

    ARP 支持一个 sysctl 接口,可以用以配置全局参数或逐个网络接口地进行配制。 该 sysctl 可以通过/proc/sys/net/ipv4/neigh/*/* 文件或者使用 sysctl(2) 接口来访问。系统中每个接口都在 /proc/sys/net/ipv4/neigh/. 中有自己的目录。`default'目录中的设置用于所有新建的设备。 sysctl 相关的时间是以秒为单位,除非特别声明过.

    anycast_delay
    对 IPv6 相邻请求信息的回复的最大延迟时间; 目前还不支持 anycast。缺省值为1秒。
    app_solicit
    这是在使用多路广播探测(multicast probe)前, 经过网络连接送到用户间隙ARP端口监控程序的探测(probe) 最大数目(见 mcast_solicit )。 缺省值为0。
    base_reachable_time
    一旦发现相邻记录,至少在一段介于 base_reachable_time/2和3*base_reachable_time/2 之间的随机时间内,该记录是有效的。如果收到上层协议的肯定反馈, 那么记录的有效期将延长。 缺省值是30秒。
    delay_first_probe_time
    发现某个相邻层记录无效(stale)后,发出第一个探测要等待的时间。 缺省值是5秒。
    gc_interval
    收集相邻层记录的无用记录的垃圾收集程序的运行周期,缺省为30秒。
    gc_stale_time
    决定检查一次相邻层记录的有效性的周期。 当相邻层记录失效时,将在给它发送数据前,再解析一次。 缺省值是60秒。
    gc_thresh1
    存在于ARP高速缓存中的最少层数,如果少于这个数, 垃圾收集器将不会运行。缺省值是128。
    gc_thresh2
    保存在 ARP 高速缓存中的最多的记录软限制。 垃圾收集器在开始收集前,允许记录数超过这个数字 5 秒。 缺省值是 512。
    gc_thresh3
    保存在 ARP 高速缓存中的最多记录的硬限制, 一旦高速缓存中的数目高于此, 垃圾收集器将马上运行。缺省值是1024。
    locktime
    ARP 记录保存在高速缓存内的最短时间(jiffy数), 以防止存在多个可能的映射(potential mapping)时, ARP 高速缓存系统的颠簸 (经常是由于网络的错误配置而引起)。 缺省值是 1 秒。
    mcast_solicit
    在把记录标记为不可抵达的之前, 用多路广播/广播(multicast/broadcast)方式解析地址的最大次数。 缺省值是3。
    proxy_delay
    当接收到有一个请求已知的代理 ARP 地址的 ARP 请求时, 在回应前可以延迟的 jiffy(时间单位,见BUG)数目。 这样,以防止网络风暴。缺省值是0.8秒。
    proxy_qlen
    能放入代理 ARP 地址队列(proxy-ARP addresses)的数据包最大数目。缺省值是64。
    retrans_time
    重发一个请求前的等待 jiffy(时间单位,见BUG)的数目。缺省值是1秒。
    ucast_solicit
    询问ARP端口监控程序前,试图发送单探测(unicast probe)的次数。 (见 app_solicit). 缺省值是3秒。
    unres_qlen
    每个没有被其它网络层解析的地址,在队列中可存放包的最大数目。缺省值是3.
  • 点这里复制本页地址发送给您QQ/MSN上的好友