评估/诊断时间连接在建立之前处于 SYN_RECV 状态

Question

我正在尝试使用相当标准的 CentOS/Apache 设置来提高（虚拟）Web 服务器的性能，我注意到的一件事是新连接似乎“坚持”在 SYN_RECV 状态，有时持续几秒钟，然后才最终被由 Apache 建立和管理。

我的第一个猜测是，Apache 可能会达到它准备同时处理的连接数的限制，但是例如，在保持活动状态关闭的情况下，netstat 会报告一些已建立的连接（只是那些不涉及本地主机的连接，因此丢弃“管家”连接，例如Apache 和 Tomcat 之间），而启用 keep-alive 后，它将很高兴地建立多达 100 多个已建立的连接（但无论哪种方式，与 SYN_RECV 行为都没有明显的区别 - 通常有 10-20 个连接） SYN_RECV 在任何一个时间）。

人们对调查阻碍快速建立连接的瓶颈有哪些建议？

PS 后续问题：有谁知道第一次“击中”服务器后建立连接的时间的典型统计数据是什么？

更新以防其他人遇到这种情况：最后，我编写了一个小型 Java 程序来从 /proc/net/tcp 获取数据并进行分析，看来这种情况发生在一小部分连接中（尽管这仍然意味着在任何时候都可能有多个连接处于这种状态，因为它们可以保持这种状态数秒）并且看起来像是这些连接本地的问题。超过 90% 的连接仍在 << 时间内完成。 500ms，81% < 200毫秒。因此，如果其他人得到了这个信息，不一定需要立即恐慌。

Answer 1

尝试捕获数据包跟踪并查看 SYN ACK 是否正在重新传输（以及重新发送的次数）。这可能表明存在路由问题（SYN 通过路径 A 进入，SYN-ACK 通过已损坏的路径 B 进入）。

另请查看这些连接是否具有特定模式（例如源自同一网络）。