Trending News: 潘多拉魔盒已打开：开源AI攻击平台正在血洗全球防火墙雇佣AI员工，花钱上班：开发者的新”职场”荒诞剧OpenClaw 完整使用指南：自托管 AI Agent 的架构与实战Anthropic 推出 Claude Code Security：AI 驱动的代码安全神器来自 OWASP 的代码安全检查工具：Dependency-Check，为你消除安全隐患技术宅如何躲开越来越垃圾的CSDN？mysql连接失败：The driver has not received any packets from the server几个IT小哥常用的工具挂图好用的代码库密钥泄露检测工具:gitleaksrancher v2.x 初体验python cx-Oracle 驱动安装sqlalchemy.exc.TimeoutError: QueuePool limit of size 5 overflow 10 reachedNginx 在if语句中限制IP访问Docker下如何导入导出neo4j数据Ubuntu-16.04下pip安装module时两个报错的解决解决 AttributeError: ‘module’ object has no attribute ‘SSL_ST_INIT’kubernetes Jenkins gitlab搭建CI/CD环境 (二)kubernetes Jenkins gitlab搭建CI/CD环境–(一)kubernetes 使用基于 alpine 镜像无法正常解析外网DNSCisco SmartInstall 高危漏洞导致的交换机被攻击kubernetes 无法删除 pod 问题的解决解决 k8s 上 traefik-ingress 响应慢的问题docker 容器上编译 go 程序无法运行，提示找不到文件kubelet-1.9 MemoryAccounting CPUAccounting not enabled for pid2018年企业云战略的4个趋势Openresty ngx_lua_waf 搭建简单的WAF防护平台，为您的网站保驾护航cloudera manager 忘记密码的解决办法mysql InnoDB crash and recoverwordpress 插件升级出现 Call to undefined function bws_general_menu 错误MikroTik RouterOS 配置多出口及策略路由chrome 浏览器提示网站包含恶意软件该如何处理？unbound 清除 DNS 缓存postgresql truncate tablekvm下安装Debian9无法启动使用Cython编译Python项目的关键类库达到保护源码的目的提供免费IP查询接口，Json格式返回方便程序调用Docker xfs filesystem without d_type support利用HE.net的Tunnel配置IPv6CentOS 支持IPv6pip install docker-registry 失败的解决方案kubernetes Error creating: No API token found for service account “default”Mysql Got error 127 when reading tablereCAPTCHA 识别是否机器行为的工具nodejs pm2 环境入门startssl letsencrypt qcloud 三家免费HTTPS证书的优劣比较国内运营商DNS劫持严重，企业网站尽快转到HTTPSmysql控制台无法输入中文的解决办法Last-Mile Monitor 最后一公里的监控the offending line appears to be errors on ansible rolesdocker 操作 remote API 的 socket 和 tcp 方式选择正确的数据库引擎(sql-engine)来访问Hadoop大数据Jigdo 一种专门为 Debian 系统设计的下载工具wget整站下载被robots.txt阻挡时的处理方法Hive 报 message:Metastore contains multiple versions 错误devops 的七宗罪与如何避免google在机器学习和人工智能方面的新举措Hadoop数据倾斜，快速精确balance的方法mysql root 用户 grant 报错mysql slave error：You cannot ‘ALTER’ a log tableNGINX 防止 DDOS 攻击why nginxEnding goagent! Everything that has a beginning has an end浅谈公有云的安全问题带你亲身体验 Vivaldi 浏览器，原 Opera 创始人出品mysql repair 1030 Got error 134 from storage engine抓虾的告别信–又一个RSS告别了我们hadoop security No groups available从太极taig.com ios8.3越狱看百度排名squid 日志报错，squid WARNING: Disk space over limitgit gitosis could not read from remote repositoryHBase Cassandra MongoDB 比较Tokutek（TokuMX）被Percona收购Hbase升级版本，导入数据抛出 RegionTooBusyException 的解决吐槽 flume-ng使用 discoveryutil 清理 MAC OS DNS 缓存在选择云服务商时必须要考虑的五大问题saltstack install jdkhadoop decommission 时卡住saltstack 使用 grains 变量进行条件匹配如何查看Linux服务器的RAID卡型号使用 loggly 来统一管理 nginx 日志nfsd: too many open connectionsDebian: kernel Out of socket memory如何在 Docker上部署一个 Rails 应用如果你也在用负载均衡或者反向代理量子道站点连不上memcache，挂了！阿里云利用自有镜像创建实例amazon 新上线 lambda 产品绕过 DNS 默认 UDP 53端口的屏蔽之苦逼SAresolve redmine lightbox plugin return 404[解决] 抱歉，您必须拥有一个终端来执行 sudokeepalived MISC_CHECK 自定义脚本做健康检查SSLv3漏洞检测及修复Hadoop-2.2.0源码编译，搭建与配置铁路网络订票站点12306.cn故障及小小吐槽阿里云OSS上使用自己的域名Nginx/Tengine 根据域名进行健康检查nginx 日志中记录http响应头如何应对 AWS EC2 计划中的例行维护？Docker 应用到生产环境?

运维速度

Subscribe

Trending News: 潘多拉魔盒已打开：开源AI攻击平台正在血洗全球防火墙雇佣AI员工，花钱上班：开发者的新”职场”荒诞剧OpenClaw 完整使用指南：自托管 AI Agent 的架构与实战Anthropic 推出 Claude Code Security：AI 驱动的代码安全神器来自 OWASP 的代码安全检查工具：Dependency-Check，为你消除安全隐患技术宅如何躲开越来越垃圾的CSDN？mysql连接失败：The driver has not received any packets from the server几个IT小哥常用的工具挂图好用的代码库密钥泄露检测工具:gitleaksrancher v2.x 初体验python cx-Oracle 驱动安装sqlalchemy.exc.TimeoutError: QueuePool limit of size 5 overflow 10 reachedNginx 在if语句中限制IP访问Docker下如何导入导出neo4j数据Ubuntu-16.04下pip安装module时两个报错的解决解决 AttributeError: ‘module’ object has no attribute ‘SSL_ST_INIT’kubernetes Jenkins gitlab搭建CI/CD环境 (二)kubernetes Jenkins gitlab搭建CI/CD环境–(一)kubernetes 使用基于 alpine 镜像无法正常解析外网DNSCisco SmartInstall 高危漏洞导致的交换机被攻击kubernetes 无法删除 pod 问题的解决解决 k8s 上 traefik-ingress 响应慢的问题docker 容器上编译 go 程序无法运行，提示找不到文件kubelet-1.9 MemoryAccounting CPUAccounting not enabled for pid2018年企业云战略的4个趋势Openresty ngx_lua_waf 搭建简单的WAF防护平台，为您的网站保驾护航cloudera manager 忘记密码的解决办法mysql InnoDB crash and recoverwordpress 插件升级出现 Call to undefined function bws_general_menu 错误MikroTik RouterOS 配置多出口及策略路由chrome 浏览器提示网站包含恶意软件该如何处理？unbound 清除 DNS 缓存postgresql truncate tablekvm下安装Debian9无法启动使用Cython编译Python项目的关键类库达到保护源码的目的提供免费IP查询接口，Json格式返回方便程序调用Docker xfs filesystem without d_type support利用HE.net的Tunnel配置IPv6CentOS 支持IPv6pip install docker-registry 失败的解决方案kubernetes Error creating: No API token found for service account “default”Mysql Got error 127 when reading tablereCAPTCHA 识别是否机器行为的工具nodejs pm2 环境入门startssl letsencrypt qcloud 三家免费HTTPS证书的优劣比较国内运营商DNS劫持严重，企业网站尽快转到HTTPSmysql控制台无法输入中文的解决办法Last-Mile Monitor 最后一公里的监控the offending line appears to be errors on ansible rolesdocker 操作 remote API 的 socket 和 tcp 方式选择正确的数据库引擎(sql-engine)来访问Hadoop大数据Jigdo 一种专门为 Debian 系统设计的下载工具wget整站下载被robots.txt阻挡时的处理方法Hive 报 message:Metastore contains multiple versions 错误devops 的七宗罪与如何避免google在机器学习和人工智能方面的新举措Hadoop数据倾斜，快速精确balance的方法mysql root 用户 grant 报错mysql slave error：You cannot ‘ALTER’ a log tableNGINX 防止 DDOS 攻击why nginxEnding goagent! Everything that has a beginning has an end浅谈公有云的安全问题带你亲身体验 Vivaldi 浏览器，原 Opera 创始人出品mysql repair 1030 Got error 134 from storage engine抓虾的告别信–又一个RSS告别了我们hadoop security No groups available从太极taig.com ios8.3越狱看百度排名squid 日志报错，squid WARNING: Disk space over limitgit gitosis could not read from remote repositoryHBase Cassandra MongoDB 比较Tokutek（TokuMX）被Percona收购Hbase升级版本，导入数据抛出 RegionTooBusyException 的解决吐槽 flume-ng使用 discoveryutil 清理 MAC OS DNS 缓存在选择云服务商时必须要考虑的五大问题saltstack install jdkhadoop decommission 时卡住saltstack 使用 grains 变量进行条件匹配如何查看Linux服务器的RAID卡型号使用 loggly 来统一管理 nginx 日志nfsd: too many open connectionsDebian: kernel Out of socket memory如何在 Docker上部署一个 Rails 应用如果你也在用负载均衡或者反向代理量子道站点连不上memcache，挂了！阿里云利用自有镜像创建实例amazon 新上线 lambda 产品绕过 DNS 默认 UDP 53端口的屏蔽之苦逼SAresolve redmine lightbox plugin return 404[解决] 抱歉，您必须拥有一个终端来执行 sudokeepalived MISC_CHECK 自定义脚本做健康检查SSLv3漏洞检测及修复Hadoop-2.2.0源码编译，搭建与配置铁路网络订票站点12306.cn故障及小小吐槽阿里云OSS上使用自己的域名Nginx/Tengine 根据域名进行健康检查nginx 日志中记录http响应头如何应对 AWS EC2 计划中的例行维护？Docker 应用到生产环境?

Debian: kernel Out of socket memory

u2
linux, 系统
12月 10, 2014
1 评论

[摘要] 一大早LVS突然挂掉，短信，邮件轮番轰炸，我等苦逼SA立马上线查看。。发现是愚蠢的LVS在频繁的踢掉和加入后端的realserver，导致服务极不稳定，从日志看问题应该出在后端的realserver。PS一下：我们的操作系统同样为愚蠢大便（Debian6）。观察了实际的realserver的日志及状态，发现FIN_WAIT2状态的连接非常多：

Dec 10 01:39:45 sudops.com kernel: [1696088.973658] Out of socket memory
Dec 10 01:39:45 sudops.com kernel: [1696088.973666] Out of socket memory
Dec 10 01:39:45 sudops.com kernel: [1696088.973675] Out of socket memory

TCP连接状态
# netstat -an|awk '{print $NF}' | sort | uniq -c | sort -nr | head -10
 234725 FIN_WAIT2
  84975 ESTABLISHED
  14376 TIME_WAIT
  10515 FIN_WAIT1
    256 SYN_RECV
    187 LAST_ACK
    186 SYN_SENT
    173 LISTEN
    172 CLOSE_WAIT
    129 0.0.0.0:*

# cat /proc/net/sockstat
sockets: used 66022
TCP: inuse 189515 orphan 132272 tw 76580 alloc 190763 mem 59842
UDP: inuse 129 mem 125
UDPLITE: inuse 0
RAW: inuse 0
FRAG: inuse 0 memory 0

# cat /proc/sys/net/ipv4/tcp_max_orphans
262144

怀疑是orphan太多导致了Out of socket memory。于是尝试增大了net.ipv4.tcp_max_orphans的值，同时缩短了net.ipv4.tcp_fin_timeout的大小，以减少FIN状态。
内核参数优化可以参考我的另外文章：linux下TCP/IP及内核参数优化调优

现在已经恢复正常，基本参数及状态值如下：

# cat /etc/sysctl.conf     
net.ipv4.tcp_max_orphans = 3276800
vm.swappiness=0
fs.file-max = 1491124
net.ipv4.tcp_max_tw_buckets = 10000
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.tcp_fin_timeout = 5
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
net.ipv4.tcp_max_syn_backlog = 8388608
net.core.netdev_max_backlog = 8388608
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 1
net.ipv4.tcp_timestamps = 1
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.icmp_ignore_bogus_error_responses = 1

net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

# netstat -an|awk '{print $NF}' | sort | uniq -c | sort -nr | head -10
 465079 ESTABLISHED
  25749 FIN_WAIT2
  10886 FIN_WAIT1
   1504 CLOSE_WAIT
    606 TIME_WAIT
    256 SYN_RECV
    245 SYN_SENT
    173 LISTEN
    147 LAST_ACK
    129 0.0.0.0:*

# cat /proc/net/sockstat
sockets: used 475830
TCP: inuse 495505 orphan 27302 tw 10000 alloc 495507 mem 252960
UDP: inuse 129 mem 125
UDPLITE: inuse 0
RAW: inuse 0
FRAG: inuse 0 memory 0

#  cat /proc/sys/net/ipv4/tcp_max_orphans
3276800

因为应用类型是典型的keepalive应用，目前后端每台服务器ESTABLISHED连接数在50w左右，共有几十台realserver，看来服务器很给力，用户数也还可以哈。。

u2

u2
linux , 数据库
6月 6, 2019
14 views

python cx-Oracle 驱动安装

安装oracle驱动 cx-Oracle驱动二进制版本下载地…

Continue reading

u2
云计算 , 系统
3月 22, 2019
20 views

sqlalchemy.exc.TimeoutError: QueuePool limit of size 5 overflow 10 reached

Python3 + Flask + mysql5.7搭建的w…

Continue reading

One thought on “Debian: kernel Out of socket memory”

Pingback： Jigdo 一种专门为 Debian 系统设计的下载工具 - 运维·速度 | 运维·速度

评论已关闭。

AI安全深度评论网络安全

潘多拉魔盒已打开：开源AI攻击平台正在血洗全球防火墙

由 u2
3月 4, 2026
12 views

潘多拉魔盒已打开：开源AI攻击平台正在血洗全球防火墙

开发者生活科技评论

雇佣AI员工，花钱上班：开发者的新”职场”荒诞剧

由 u2
3月 1, 2026
37 views

雇佣AI员工，花钱上班：开发者的新”职场”荒诞剧

AI 技术教程

OpenClaw 完整使用指南：自托管 AI Agent 的架构与实战

由 u2
2月 25, 2026
149 views

OpenClaw 完整使用指南：自托管 AI Agent 的架构与实战

Anthropic 推出 Claude Code Security：AI 驱动的代码安全神器

由 u2
2月 24, 2026
81 views

来自 OWASP 的代码安全检查工具：Dependency-Check，为你消除安全隐患

由 u2
10月 16, 2025
51 views

来自 OWASP 的代码安全检查工具：Dependency-Check，为你消除安全隐患

技术宅如何躲开越来越垃圾的CSDN？

由 u2
4月 11, 2024
35 views

技术宅如何躲开越来越垃圾的CSDN？