如何查看Linux网络连接队列 ss命令深度解析

要快速了解linux系统网络连接队列状况，首选ss命令。它能高效展示监听和已建立连接的状态及缓冲区情况。使用ss -lntp可查看监听队列（listen状态），其中recv-q为等待处理的连接数，send-q为最大队列长度（backlog）。若recv-q持续高，说明服务处理速度不足或backlog设置过小。使用ss -tunap可查看所有连接状态，对established状态而言，recv-q表示未被应用读取的接收数据量，send-q表示尚未被确认的发送数据量。recv-q高可能反映应用处理慢，send-q高则可能表明网络拥塞或对方接收受限。诊断时需结合top、iostat、netstat -s等工具定位瓶颈。优化方面包括调大net.core.somaxconn、net.ipv4.tcp_max_syn_backlog及调整tcp缓冲区参数以提升性能。

在Linux系统里，想快速了解网络连接队列的状况，ss命令是你的首选工具。它能直观地展示TCP连接的各种状态，包括那些等待接受或正在处理的连接队列，这对于诊断网络性能瓶颈或服务拒绝问题至关重要。

要深入探究Linux系统的网络连接队列，特别是那些处于监听状态的服务（LISTEN），或者已经建立的连接（ESTABLISHED）中数据缓冲区的状况，ss命令无疑是你的核心工具。它能比netstat更快地给出结果，因为它直接从内核获取信息，效率上确实要高出一截。

我们先来看看如何观察监听队列：

ss -lntp

这条命令会列出所有处于监听状态的TCP端口（-l），不解析服务名（-n），只显示TCP连接（-t），并尝试显示对应的进程信息（-p）。

你会看到类似这样的输出：

State       Recv-Q Send-Q      Local Address:Port          Peer Address:Port
LISTEN      0      128             0.0.0.0:22                  0.0.0.0:*       users:(("sshd",pid=1001,fd=3)))
LISTEN      0      512             127.0.0.1:6379                0.0.0.0:*       users:(("redis-server",pid=1234,fd=6)))

在这里，Recv-Q代表当前监听队列中等待被应用程序接受的连接数。正常情况下，这个值应该很低，最好是0。如果它持续累积，说明有新的连接进来，但应用程序还没来得及处理。Send-Q则表示这个监听端口允许的最大连接队列长度，也就是我们常说的backlog。如果Recv-Q持续很高，甚至接近Send-Q，那很可能你的服务处理新连接的速度跟不上了，或者系统backlog设置太小，导致新连接被拒绝。

接着，对于已经建立的连接，ss的Recv-Q和Send-Q含义就完全不同了，这地方很多人容易混淆，但搞清楚了就特别有用：

ss -tunap

这条命令会显示所有TCP（-t）和UDP（-u）连接，不解析服务名（-n），显示进程信息（-p），以及所有状态的连接（-a）。

输出可能是这样：

State       Recv-Q Send-Q      Local Address:Port          Peer Address:Port
ESTAB       0      0               192.168.1.10:22             192.168.1.1:54321   users:(("sshd",pid=1001,fd=4)))
ESTAB       12345  0               192.168.1.10:80             192.168.1.20:45678  users:(("nginx",pid=2000,fd=7)))
ESTAB       0      56789           192.168.1.10:8080           192.168.1.30:12345  users:(("java",pid=3000,fd=8)))

对于ESTAB（Established）状态的连接：

• Recv-Q表示本地接收队列中，还没有被应用程序读取的字节数。换句话说，数据已经到达了你的服务器，但应用程序还没来得及从内核缓冲区里拿走。如果这个值持续很高，说明你的应用程序处理接收到的数据太慢了，可能是应用层面的瓶颈，比如业务逻辑太复杂，或者IO操作阻塞了。
• Send-Q表示本地发送队列中，已经发送但尚未被对方确认的字节数。这部分数据已经从你的应用程序发出，进入了内核缓冲区，等待发送或者已经发送但还在等待对端确认。高Send-Q可能意味着网络拥塞、对方接收窗口小，或者有大量数据正在等待发送。

通过观察这些值，你就能初步判断网络或应用是否存在瓶颈。

理解ss命令输出中的Recv-Q和Send-Q：它们到底代表什么？

说起来，Recv-Q和Send-Q这两个字段在ss命令的输出里确实是重中之重，但它们的含义会根据连接状态的不同而变化，这常常让初学者感到困惑。我个人觉得，理解了这一点，你对网络连接的诊断能力就能提升一大截。

当连接处于LISTEN状态时： 这时候的Recv-Q和Send-Q代表的是监听队列的状况。

• Recv-Q：表示当前这个监听端口已经接收到，但应用程序还没有调用accept()函数来接受的连接数量。你可以把它想象成一个等待区的队伍，新来的客人都在这里排队。理想情况下，这个值应该很小，甚至为0，说明你的服务处理新连接非常及时。如果这个值持续很高，说明应用程序处理新连接的能力跟不上请求量。
• Send-Q：则表示这个监听端口允许的最大连接队列长度，也就是我们常说的backlog值。这个值通常由系统参数net.core.somaxconn和应用程序自身的设置共同决定。如果Recv-Q接近或达到Send-Q，那么新的连接请求就可能被直接拒绝掉，用户体验自然会很差。

当连接处于ESTABLISHED状态时： 这时Recv-Q和Send-Q的含义就完全不同了，它们代表的是数据缓冲区的状况。

• Recv-Q：表示本地接收队列中，还没有被应用程序读取的字节数。这些数据已经通过网络传输到达了你的服务器，并被内核接收并放入了缓冲区，但应用程序还没有从这个缓冲区里把数据“拿走”进行处理。如果这个值持续很高，通常意味着你的应用程序处理接收数据的速度太慢，可能是CPU瓶瓶颈、内存不足、或者应用程序内部逻辑复杂导致的处理延迟。
• Send-Q：表示本地发送队列中，已经发送但尚未被对方确认的字节数。这些数据已经从你的应用程序发出，进入了内核的发送缓冲区，可能已经通过网络发送出去了，但还没有收到对方的ACK确认。如果这个值持续很高，通常意味着网络拥塞、丢包导致重传，或者对方的接收窗口太小，导致数据发送受阻。

理解这两者的区别是进行网络故障排查的关键。比如说，一个Web服务器的LISTEN状态Recv-Q很高，那多半是Web服务本身处理新连接的能力有问题；而如果ESTABLISHED连接的Recv-Q很高，那可能就是Web服务处理已接收到的HTTP请求太慢了。

为什么网络连接队列会堆积？如何快速诊断问题根源？

网络连接队列的堆积，无论是监听队列还是数据缓冲区，都像系统发出的警报，提示你某个环节可能出现了瓶颈。诊断起来，其实就是抽丝剥茧，找到那个最慢的“木桶短板”。

监听队列（LISTEN状态的Recv-Q）堆积的原因和诊断：

1. 应用程序处理新连接太慢： 这是最常见的原因。你的服务可能因为CPU负载高、内存不足、或者业务逻辑在accept()之后做了太多耗时操作，导致无法及时接受新连接。
   • 诊断： 使用top或htop查看应用程序的CPU和内存占用。如果CPU利用率很高，或者内存频繁交换，那就要考虑优化代码或增加资源。用strace -p 跟踪应用程序的accept()系统调用，看是否有明显的延迟。
2. 系统backlog配置过小： net.core.somaxconn这个内核参数决定了系统级别的最大监听队列长度。如果你的服务请求量很大，但这个值又设置得太小，那队列很容易就满了。
   • 诊断： 查看/proc/sys/net/core/somaxconn的值。如果它远小于你的预期并发连接数，可以考虑调大。
3. SYN Flood攻击： 虽然ss不直接显示攻击，但如果Recv-Q持续很高，并且有大量的SYN-RECV状态连接（可以用ss -tan过滤查看），那就要警惕了。
   • 诊断： 结合dmesg查看内核日志是否有相关警告，或者使用防火墙/IDS/IPS来分析流量。

已建立连接的数据队列（ESTABLISHED状态的Recv-Q/Send-Q）堆积的原因和诊断：

1. Recv-Q高（本地接收数据慢）：
   • 应用程序读取数据慢： 这是最直接的原因。应用程序可能在处理数据时遇到了瓶颈，比如：
     • CPU瓶颈： 业务逻辑计算量大，导致无法及时处理接收到的数据。
     • IO瓶颈： 应用程序需要频繁读写磁盘或数据库，而这些操作成了瓶颈。
     • 死锁或线程阻塞： 应用程序内部的并发问题导致数据无法被及时消费。
   • 诊断： top/htop看应用进程的CPU和IO等待（wa）情况。iostat看磁盘IO。jstack（Java）或gdb（C/C++）附加到进程查看线程状态。
2. Send-Q高（本地发送数据慢或对方接收慢）：
   • 网络拥塞或丢包： 数据发送出去后，可能在网络中遇到了拥堵，或者发生了丢包，导致迟迟收不到对方的ACK确认。
   • 诊断： ping测试延迟和丢包率。traceroute查看路径。netstat -s查看TCP重传统计。
   • 对方接收窗口小： TCP的滑动窗口机制决定了发送方能一次发送多少数据。如果接收方的窗口很小，发送方就不得不等待。
   • 诊断： 这通常需要抓包（tcpdump）来分析TCP窗口大小。
   • 本地发送缓冲区不足： 尽管不常见，但如果系统发送缓冲区设置过小，也可能导致数据在应用层和内核之间堆积。
   • 诊断： 查看net.ipv4.tcp_wmem等内核参数。

诊断问题时，我通常会先从ss命令的输出来定性，然后结合top、iostat、vmstat这些工具去量化系统的资源使用情况，最后如果还不行，可能就需要深入到应用程序的日志或者更底层的strace、tcpdump来定位具体代码或网络层面的问题。这就像是破案，线索往往就在那些看似不起眼的数字里。

优化网络连接队列：系统参数与应用层面的实践建议

当诊断出网络连接队列存在问题后，下一步自然就是着手优化。这通常需要从系统内核参数和应用程序代码两个层面同时进行。没有银弹，每一次优化都得根据具体场景来，并且要持续观察效果。

系统层面的优化建议：

1. 调整net.core.somaxconn： 这是前面提到过的，控制监听队列的最大长度。对于高并发的服务，这个值应该适当调大。
   • sudo sysctl -w net.core.somaxconn=65535
   • 为了永久生效，可以写入/etc/sysctl.conf文件。
2. 调整net.ipv4.tcp_max_syn_backlog： 这个参数控制SYN队列的最大长度，也就是在三次握手过程中，处于SYN_RECV状态的连接数。高并发下，适当调大有助于缓解SYN Flood攻击或正常高并发带来的压力。
   • sudo sysctl -w net.ipv4.tcp_max_syn_backlog=65535
3. 调整TCP缓冲区大小： net.ipv4.tcp_rmem和net.ipv4.tcp_wmem分别控制TCP接收和发送缓冲区的大小。这对于数据传输量大的应用（如文件传输、视频流）尤其重要。
   • sudo sysctl -w net.ipv4.tcp_rmem="4096 87380 67108864" (min default max)
   • `sudo sysctl -w net.ipv4.tcp_wmem="4096 1

以上就是如何查看Linux网络连接队列 ss命令深度解析的详细内容，更多请关注php中文网其它相关文章！