拒绝服务？详解 Linux Netfilter 连接跟踪表（conntrack）溢出与内核调优

在维护高并发 Linux 服务器或负载均衡器（如 LVS、Nginx）时，你是否遇到过这种诡异的情况：服务器 CPU 负载不高，带宽绰绰有余，但部分用户反映无法连接，后端日志显示请求超时？

如果你在系统日志（dmesg 或 /var/log/messages）中看到类似下方的报错，那么恭喜你，你撞到了 Netfilter 的“天花板”：

nf_conntrack: table full, dropping packet

本文将深度解析 nf_conntrack（连接跟踪） 表溢出的原理，并提供一套从临时止损到深度优化的实战指南。

一、 什么是 nf_conntrack？

nf_conntrack 是 Linux 内核 Netfilter 框架的一个核心模块。它负责状态检测（Stateful Inspection），通过记录连接的状态（如 源IP、目的IP、端口、协议等）来决定数据包的去留。

它是实现以下功能的基石：

1. NAT（网络地址转换）：记住内网 IP 与外网端口的映射。
2. 有状态防火墙：允许 ESTABLISHED 状态的包通过。
3. 负载均衡：确保同一会话的包发送到同一后端。

二、 为什么会发生溢出？

内核为了维护这些连接，会在内存中开辟一块哈希表（Hash Table）。

• nf_conntrack_max：内核能够记录的最大连接跟踪条目数。
• nf_conntrack_buckets：哈希桶的数量。

当连接数超过 nf_conntrack_max 时，内核为了自我保护，会直接丢弃（Drop）新进来的包，导致网络中断。

导致溢出的常见场景：

• 高并发短连接：如未开启 Keep-Alive 的 HTTP 服务，产生大量 TIME_WAIT 状态。
• DDoS 攻击：SYN Flood 攻击会迅速填满跟踪表。
• 配置不当：默认的超时时间（Timeout）过长，导致失效的连接迟迟不释放。

三、 故障诊断与实时监控

在解决问题前，先通过以下命令确认当前状态：

1. 查看当前连接数：

   cat /proc/sys/net/netfilter/nf_conntrack_count
   

2. 查看最大限制：

   cat /proc/sys/net/netfilter/nf_conntrack_max
   

3. 查看哈希桶大小：

   cat /proc/sys/net/netfilter/nf_conntrack_buckets
   

4. 统计不同状态的连接数：

   cat /proc/net/nf_conntrack | awk '{print $4}' | sort | uniq -c | sort -nr
   

四、 核心优化策略

1. 调大表容量（治标）

这是最直接的办法。如果内存充足，可以增加最大条目数。

注意： 盲目调大 max 而不调大 buckets 会导致哈希冲突严重，由于每个桶（Bucket）是一个链表，冲突过大会显著增加 CPU 的软中断开销，降低网络性能。
推荐比例：max = buckets * 8 (64位系统) 或 max = buckets * 4。

# 临时生效
sysctl -w net.netfilter.nf_conntrack_max=1048576
# 调整哈希桶（需操作 sysfs）
echo 131072 > /sys/module/nf_conntrack/parameters/hashsize

2. 优化超时时间（治本）

内核默认的超时时间往往过于保守。例如，TCP 的 ESTABLISHED 状态默认是 5 天，这在公网环境下极度浪费资源。

建议缩短以下参数：

# 建立连接后的超时（建议缩短到 1 小时或更短）
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=3600

# 缩短等待关闭连接的超时
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=60
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=30
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_fin_wait=60

3. 使用 NOTRACK 跳过跟踪（进阶）

对于某些大流量、无状态的服务（如高性能 DNS、不需要状态管理的负载均衡前端），可以通过 iptables 的 RAW 表直接跳过连接跟踪。

# 对 80 端口的流量不进行连接跟踪
iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -A OUTPUT -p tcp --sport 80 -j NOTRACK

缺点： 标记为 NOTRACK 后，该流量将无法使用 NAT 和状态匹配防火墙规则。

4. 卸载 conntrack 模块（终极方案）

如果你的服务器只是单纯的 Web 节点，不涉及 NAT，也不需要防火墙的状态检查功能，可以直接卸载该模块：

modprobe -r nf_conntrack
# 或者在 iptables 配置文件中删除相关模块加载

五、 总结与建议

nf_conntrack 是 Linux 网络性能调优中的重要一环。在生产环境中，建议：

1. 预估容量：根据业务并发量，提前将 max 设为预期的 2-3 倍。
2. 同步调整：修改 max 的同时，务必修改 hashsize 保持合理比例。
3. 精简状态：缩短 established 超时时间是应对海量连接最有效的手段。
4. 监控报警：将 nf_conntrack_count 接入 Prometheus/Zabbix，设置 80% 阈值告警。

合理的内核参数配置，能让你的 Linux 系统在面对突发流量时更加从容稳健。