Linux同时开启tcp_tw_recycle和tcp_timestamps导致TCP syn有时不响应故障排查

问题描述

前几天，同事反馈从公司连接线上一台服务器有时候会失败，经过抓包发现，TCP握手过程失败。查了相关资料，发现是跟net.ipv4.tcp_tw_recycle和net.ipv4.tcp_timestamps两个参数有关，将net.ipv4.tcp_tw_recycle改为0，问题解决。

排查过程

在PC上通过wireshark抓包发现，失败的时候，TCP syn包是一直在重传的。在server端通过tcpdump抓包发现，PC侧发的syn包是已经到达，所以基本排除网络问题。tcpdump抓包中确实看不到server端响应的syn-ack，所以基本判定问题出在server段，接下来就是分析为啥server端不响应。
当net.ipv4.tcp_tw_recycle = 1和net.ipv4.tcp_timestamps = 1同时间开启，当多个PC经过NAT设备访问同一server的时候，受TCP PAWS(Protect Against Wrapped Sequence Numbers)影响，后发起连接的PC可能因为tcp options中的timestamp比前面PC的timestamp小，而导致syn不被响应。
linux服务器上可以通过netstat -s查看是否存在该问题。如果多次执行下面的命令，发现数字再增加，说明存在该问题，而且现在还在发生。

[root@anonymous ~]# netstat -s | grep "connections rejected because of time stamp"26 passive connections rejected because of time stamp
[root@anonymous ~]#

关于PAWS的检查机制，是对于处于TIME_WAIT状态的tcp连接的对端IP，为了防止来自同一IP的延迟数据的干扰，需要在60秒(#define TCP_PAWS_MSL 60)内新来的syn报文TCP options中的timestamp是递增的。详细解释可以参考RFC1323。

注意

排查过程中发现，windows系统和linux系统TCP syn options中timestamp是单调递增的，所以刚才描述的问题通常在多个PC经过NAT访问同一server的时候才容易复现。而测试中发现Mac系统本身syn报文options中的timestamp波动比较大，所以此问题很容易用Mac复现，只需要对着开启recycle和tcp_timestamps的server连续发起几次请求就可以。

总结

该问题将net.ipv4.tcp_tw_recycle或net.ipv4.tcp_timestamps改为0都可以解决，不建议将net.ipv4.tcp_timestamps改为0，因为它对精准计算RTT(Round-Trip Time))有用。此外，tcp_tw_recycle从4.12版本内核开始被移除了。我找了一个5.14版本的测试了下，确实不支持该配置了。

[root@test ~]# sysctl -p
sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle: No such file or directory
[root@test ~]#