深入理解Linux TCP全连接队列 （使用tcpdump抓包分析队列溢出）

1. 什么是TCP全连接队列？

当客户端与服务器进行TCP三次握手时，最后一个ACK到达服务器后，连接会从半连接队列（SYN队列）移动到全连接队列（accept队列）。全连接队列存放的是已经完成三次握手、等待服务器应用程序调用accept()取走的连接。如果应用程序处理缓慢，队列就会堆积，甚至溢出。

2. 查看全连接队列状态

使用ss -lnt命令可以查看当前监听端口的全连接队列使用情况。其中Send-Q表示队列最大长度，Recv-Q表示当前已使用长度。如果Recv-Q接近Send-Q，说明队列即将溢出。

3. 全连接队列溢出会发生什么？

当全连接队列已满，后续到达的完成三次握手的连接会被服务器丢弃。此时客户端认为连接已建立（收到过SYN+ACK），开始发送数据，但服务器没有这个连接，会回复RST重置。客户端通常表现为连接超时或“Connection reset by peer”。通过tcpdump抓包，可以看到客户端重传数据包，最终收到RST的过程。

4. 使用tcpdump抓包分析队列溢出

运行tcpdump -i any port 8080 -w overflow.pcap抓取8080端口的流量。在另一个窗口模拟高并发连接，使全连接队列溢出。然后用Wireshark分析抓包文件：你会看到服务器在三次握手最后一步（客户端ACK）后直接回复了RST，这正是队列溢出的典型特征。

# 抓包示例过滤表达式tcp.flags.syn==1 and tcp.flags.ack==1   # 查看SYN+ACK包tcp.flags.reset==1                      # 查看RST包

5. 调整全连接队列大小

全连接队列长度由min(backlog, net.core.somaxconn)决定。其中backlog是应用程序listen()函数传入的参数，net.core.somaxconn是系统内核参数。可以通过sysctl -w net.core.somaxconn=1024临时修改，或写入/etc/sysctl.conf永久生效。

6. 实战模拟与排查

我们编写一个简单的Python HTTP服务器，将backlog设为1，并使用ab工具进行压力测试。同时开启tcpdump抓包，观察队列溢出的网络现象。通过这次实验，你将深刻理解TCP全连接队列对服务稳定性的影响，并掌握使用tcpdump进行Linux网络排查的方法。

总结

本文从TCP三次握手出发，介绍了全连接队列的作用、溢出后果以及通过tcpdump抓包分析的方法。理解这些底层机制，有助于我们更好地优化服务性能，快速定位网络问题。

关键词：TCP全连接队列、tcpdump抓包、Linux网络排查、TCP三次握手