Linux系统中如何禁用网卡TCP? (linux 网卡tcp禁用)
在Linux系统下,网卡TCP是一个非常重要的网络协议。它可以使计算机与网络中其他设备进行通信,从而实现传输数据。然而,在一些情况下,禁用网卡TCP是必要的。本文将介绍如何禁用网卡TCP,以及一些禁用网卡TCP的常见原因。
什么是网卡TCP?
网卡TCP是一种协议(传输控制协议)。它位于网络层和应用层之间,并负责在计算机之间传输数据。TCP是一种可靠的协议,它能够保证数据传输的完整性和准确性。此外,TCP还具有流控制和拥塞控制等功能。
为什么需要禁用网卡TCP?
通常情况下,禁用网卡TCP是不推荐的。然而,在一些情况下,禁用网卡TCP是必要的。以下是一些禁用网卡TCP的常见原因:
1. 攻击防御:某些恶意软件可能利用TCP协议进行攻击。禁用网卡TCP可以防止此类攻击。
2. 性能优化:在一些高性能计算机集群中,禁用网卡TCP可以提高网络吞吐量和响应速度。
3. 网络管理:在特殊网络环境下,禁用网卡TCP可以更好地管理网络流量和资源分配。
如何禁用网卡TCP?
禁用网卡TCP可以通过修改Linux系统内核参数来实现。以下是具体步骤:
1. 打开终端窗口。
2. 输入以下命令来编辑内核参数文件:
sudo nano /etc/sysctl.conf
3. 找到以下行:
net.ipv4.tcp_enabled = 1
将其改为:
net.ipv4.tcp_enabled = 0
4. 保存并退出文件。
5. 输入以下命令来使修改立即生效:
sudo sysctl -p
6. 检查是否成功禁用网卡TCP:
cat /proc/sys/net/ipv4/tcp_enabled
如果输出为0,则说明成功禁用了网卡TCP。
需要注意的是,禁用网卡TCP可能会对系统的稳定性和性能产生影响。因此,在禁用网卡TCP之前,请确保已经了解相关风险,并做好必要的备份和恢复措施。
结论
禁用网卡TCP是一项非常特殊的操作,需要在特殊情况下使用。在正常情况下,网卡TCP是非常重要的网络协议,它保障了计算机与网络设备的通信。如果您需要禁用网卡TCP,请确保已经了解相关风险,并根据需要进行操作。
相关问题拓展阅读:
如何在Linux下禁用IPv6
确认IPV6是否开启
在Linux下确认IPv6是否已经被启用,可以从三个方面确定。
1. 使用ifconfig查看自己的IP地址是否含有IPv6地址。
eth0 Link encap:Ethernet HWaddr 00:13:D4:05:B2:ED
inet addr:119.119..xx Bcast:119.119.115.255 Mask:255.255.255.0
inet6 addr: fe80::213:d4ff:fe05:b2ed/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:errors:0 dropped:0 overruns:0 frame:0
TX packets:errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:(330.1 MiB) TX bytes:(235.4 MiB)
Interrupt:209 Base address:0xd800
2.查看服务监听的IP中是否有IPv6格式的地址。(netstat -tuln)
tcp 0 0 0.0.0.0:8100 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:843 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 :::8080 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN 拿迅
udp 0 0 0.0.0.0:68 戚橘0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
3.使用lod查看ipv6的模块是否被加载。
# lod |grep ip
ipt_MASQUERADE 3
iptable_nat
ip_natipt_MASQUERADE,iptable_nat
ip_conntrack_netbios_ns
ipt_REJECT
ip_conntrack81 5 ipt_MASQUERADE,iptable_nat,ip_nat,ip_conntrack_netbios_ns,xt_state
nfnetlinkip_nat,ip_conntrack
iptable_filter 1
ip_tablesiptable_nat,iptable_filter
ip6t_REJECT
ip6table_filter 1
ip6_tablesip6table_filter
x_tablesipt_MASQUERADE,iptable_nat,ipt_REJECT,xt_state,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables
ipv8 ip6t_REJECT,cnic
如果出现以上粗消仔此体显示的部分,代表您的机器上IPV6已经开启。
关闭IPV6
使用vi编辑器,打开/etc/modprobe.conf,在文档中加入如下的两条:
alias net-pf-10 off
alias ipv6 off
保存退出,并且重新启动系统。
重启之后可以使用上面的三种方法去验证IPv6支持是否已经被关闭。
开启IPV6
IPv6是默认支持的,所以当你要重新开起IPv6支持时,将/etc/modprobe.conf中的两条指令注释掉就可以了。
IPv6被认为是IPv4——互联网上的传统32位地址空间——的替代产品,它用来解决现有IPv4地址空间即将耗尽的问题。然而,由于已经有大量主
机、设备用IPv4连接到了互联网上,所以想在一夜之间将它们全部切换到IPv6几乎是不可能的。许多IPv4到IPv6的转换机制(例如:双协议栈、网
络隧道、代理)
已经被提出来用来促进IPv6能被采用,并且很多应用也正在进行重写,如我们所提倡的,来增加对IPv6的支持。有一件历袜事情可以确定,就是在可预见的未来
里IPv4和IPv6势必将共存。
理想情况下,向IPv6过渡的进程不应该被最终的用户所看见,但是IPv4/IPv6混合环境有时会让你碰到各种源于IPv4和IPv6之间不经意间
的相互碰撞的问题。举个例子,你会碰到应用程序超时的问题,比如apt-get或ssh尝试通过IPv6连接失败、DNS服务器意外清空了IPv6的
AAAA记录、或者你支持IPv6的设备不兼容你的互联网服务提供商遗留下的IPv4网络,等等等等。
当然这不意味着你应该盲目地在你的Linux机器上禁用IPv6。鉴于IPv6许诺的种种好处,作为社会的一份子我们最终还是要充分拥抱它的,但是作为给最终用户进行故障排除过程的一部分,如果IPv6确实是罪魁祸首,那你可以尝试去关闭它。
这里有一些让你在Linux中部分(例如:对于某个特定的网络接口)或全部禁用IPv6的小技巧。这些小贴士应该适用于所有主流的Linux发行版包
括Ubuntu、Debian、Linux Mint、CentOS、Fedora、RHEL以及Arch Linux。
查看IPv6在Linux中是否被启用
所有现代Linux发行版默认都自动启用IPv6。为了能看到IPv6在你的Linux中是否被激活,可以使用ifconfig或ip命令。如果你在输入这些命令巧枯之后看到“inet6”字样的输出,那就意味着你的Linux系统启用了IPv6。
$ ifconfig
$ ip addr
临时禁用IPv6
如果你想要在你的Linux系统上临时关闭IPv6,你可以用 /proc 文件系统。“临时”的意思是我们所做的禁用IPv6的更改在系统重启后将不被保存。IPv6会在你的Linux机器重启后再次被启用。
要将一个特定的网络接口禁用IPv6,使用以下命令:
$ sudo sh -c ‘echo 1 》 /proc/sys/net/ipv6/conf/《interface-name》/disable_ipv6’
举个例子,将eth0接口禁用IPv6:
$ sudo sh -c ‘echo 1 》 /proc/sys/net/ipv6/conf/eth0/disable_ipv6’
重新启用eth0接口的IPv6:
$ sudo sh -c ‘echo 0 》 /proc/sys/net/ipv6/conf/eth0/disable_ipv6’
如果你想要将整个系统所有接口包括回环接口禁用IPv6,使用以下命令:
$ sudo sh -c ‘echo 1 》 /proc/sys/net/ipv6/conf/all/disable_ipv6’
永久禁用IPv6
以上方法是不能永久禁用IPv6的,你一旦重启系统IPv6还是会被启用。如果你想要永久关闭它,有几个方法你可以试试。
方法一
之一种方法是通过 /etc/sysctl.conf 文件对 /proc 进行永久修改。
换句话说,就是用文本编辑器打开 /etc/sysctl.conf 然后添加以下内容:
# 禁用整个系统所有接口的IPv6
net.ipv6.conf.all.disable_ipv6 = 1
# 禁用某一个指定接口的IPv6(例如:eth0, lo)
net.ipv6.conf.lo.disable_ipv6 = 1
孝烂洞 net.ipv6.conf.eth0.disable_ipv6 = 1
在 /etc/sysctl.conf 使这些更改生效,运行以下命令:
$ sudo sysctl -p /etc/sysctl.conf
或者直接重启。
方法二
另一个永久禁用IPv6的方法是在开机的时候传递一个必要的内核参数。
用文本编辑器打开 /etc/default/grub 并给GRUBCMDLINELINUX变量添加“ipv6.disable=1”。
$ sudo vi /etc/default/grub
GRUB_CMDLINE_LINUX=“xx ipv6.disable=1”
上面的“xx”代表任何已有的内核参数,在它后面添加“ipv6.disable=1”。
最后,不要忘记用以下方法保存对GRUB/GRUB2的修改:
Debian、Ubuntu或Linux Mint系统:
$ sudo update-grub
Fedora、CentOS/RHEL系统:
$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
现在只要你重启你的Linux系统,IPv6就会完全被禁用。
禁用IPv6之后的其它可选步骤
这里有一些在你禁用IPv6后需要考虑的可选步骤,这是因为当你在内核里禁用IPv6后,其它程序也许仍然会尝试使用IPv6。在大多数情况下,应用程序的这种行为不太会影响到什么,但是出于效率或安全方面的原因,你可以为他们禁用IPv6。
/etc/hosts
根据你的设置, /etc/hosts 会包含一条或多条IPv6的hosts和它们的地址。用文本编辑器打开 /etc/hosts 并注释掉包含IPv6 hosts的脚本行。
$ sudo vi /etc/hosts
# comment these IPv6 hosts# ::1 ip6-localhost ip6-loopback# fe00::0
ip6-localnet# ff00::0 ip6-mcastprefix# ff02::1 ip6-allnodes# ff02::2
ip6-allrouters
Network Manager
如果你在用NetworkManager来管理你的网络设置,你可以在NetworkManager里禁用IPv6。在NetworkManager
打开wired connection,点击“IPv6 Settings”选项并在“Method”一栏选择“Ignore”,保存退出。
SSH服务
默认情况下,OpenSSH服务(sshd)会去尝试捆绑IPv4和IPv6的地址。
要强制sshd只捆绑IPv4地址,用文本编辑器打开 /etc/ssh/sshd_config 并添加以下行。inet只适用于IPv4,而inet6是适用于IPv6的。
$ sudo vi /etc/ssh/sshd_config
AddressFamily inet
然后重启sshd服务。
上面就是Linux禁用IPv6的方法介绍了,你可选择临时禁用IPv6或永久禁用IPv6,临时禁用在系统重启后IPv6还会被启用,而永久禁用IPv6则不会出现这个问题。
在配置网卡的配置文件中加入一行参数就可以了:
畅谈linux下TCP(上)
tcp 协议 是互联网中最常用的协议 , 开发人员基本上天天和它打交道,对它进行深入了解。 可以帮助我们排查定位bug和进行程序优化。下面我将就TCP几个点做深入的探讨
客户端:收到 ack 后 分配连接资源。 发送数据
服务器 : 收到 syn 后立即 分配连接资源
客户端:收到ACK, 立即分配资源
服务器:收到ACK, 立即分配资源
既然三次握手也液银颤不是100%可靠, 那四次,五次,六次。。。呢? 其实都一样,不管多少次都有丢包问题。
client 只发送一个 SYN, server 分配一个tcb, 放入syn队列中。 这时候连接叫
半连接
状态;如果server 收不到 client 的ACK, 会不停重试 发送 ACK-SYN 给client 。重试间隔 为 2 的 N 次方 叠加(2^0 , 2^1, 2^2 ….);直至超时才释放syn队列中的这个 TCB;
在半连接状态下, 一方面会占用队列配额资源,另一方面占用内存资源。我们应该让半连接状态存在时间尽可能的小
当client 向一个未打开的端口发起连接请求时,会收到一个RST回复包
当listen 的 backlog 和 somaxconn 都设置了得时候, 取两者min值
Recv-Q 是accept 队列当前个数, Send-Q 设置更大值
这种SYN洪水攻击是一种常见攻击方式,就是利用半连接队列特性,占满syn 队列的 资源,导致 client无法连接上。
解决方案:
为什么不像握手那样合并成三次挥手? 因为和刚开始连接情况,连接是大家都从0开始, 关闭时有历史包袱的。server(被动关闭方) 收到 client(主动关闭方) 的关闭请求FIN包。 这时候可能还有未发送完的数据,不能丢弃。 所以需要分开。事实可能是这样
当然,在没有待发数据,并且允许 Delay ACK 情况下, FIN-ACK合并还是非常常见的事情,这是三次挥手是可以的。
同上
CLOSE_WAIT 是被动关闭方才有的状态
。
被动关闭方 到 期间的状态为 CLOSE_WAIT, 这个状态仍然能发闹败送数据。 我们叫做
半关闭
, 下面用个例子来分析:
这个是我实际生产环境碰到的一个问题,长连接会话场景,server端收到client的rpc call 请求1,处理发现请求包有问题,就强制关闭结束这次会话, 但是 因为client 发送 第二次请求之前,并没有去调用recv,所以并不知道 这个连接被server关闭, 继续发送 请求2 , 此时是半连接,能够成功发送到对端机器,但是recv结果后,搏兆遇到连接已经关闭错误。
如果 client 和 server 恰好同时发起关闭连接。这种情况下,两边都是主动连接,都会进入 TIME_WAIT状态
1、
被动关闭方在LAST_ACK状态(已经发送FIN),等待主动关闭方的ACK应答,但是 ACK丢掉, 主动方并不知道,以为成功关闭。因为没有TIME_WAIT等待时间,可以立即创建新的连接, 新的连接发送SYN到前面那个未关闭的被动方,被动方认为是收到错误指令,会发送RST。导致创建连接失败。
2、
主动关闭方断开连接,如果没有TIME_WAIT等待时间,可以马上建立一个新的连接,但是前一个已经断开连接的,延迟到达的数据包。 被新建的连接接收,如果刚好seq 和 ack字段 都正确, seq在滑动窗口范围内(只能说机率非常小,但是还是有可能会发生),会被当成正确数据包接收,导致数据串包。 如果不在window范围内,则没有影响( 发送一个确认报文(ack 字段为期望ack的序列号,seq为当前发送序列号),状态变保持原样)
TIME_WAIT 问题比较比较常见,特别是CGI机器,并发量高,大量连接后段服务的tcp短连接。因此也衍生出了多种手段解决。虽然每种方法解决不是那么完美,但是带来的好处一般多于坏处。还是在日常工作中会使用。
1、改短TIME_WAIT 等待时间
这个是之一个想到的解决办法,既然等待时间太长,就改成时间短,快速回收端口。但是实际情况往往不乐观,对于并发的机器,你改多短才能保证回收速度呢,有时候几秒钟就几万个连接。太短的话,就会有前面两种问题小概率发生。
2、禁止Socket lingering
这种情况下关闭连接,会直接抛弃缓冲区中待发送的数据,会发送一个RST给对端,相当于直接抛弃TIME_WAIT, 进入CLOSE状态。同样因为取消了 TIME_WAIT 状态,会有前面两种问题小概率发生。
3、tcp_tw_reuse
net.ipv4.tcp_tw_reuse选项是 从 TIME_WAIT 状态的队列中,选取条件:1、remote 的 ip 和端口相同, 2、选取一个时间戳小于当前时间戳; 用来解决端口不足的尴尬。
现在端口可以复用了,看看如何面对前面TIME_WAIT 那两种问题。 我们仔细回顾用一下前面两种问题。
都是在新建连接中收到老连接的包导致的问题
, 那么如果我能在新连接中识别出此包为非法包,是不是就可以丢掉这些无用包,解决问题呢。
需要实现这些功能,需要扩展一下tcp 包头。 增加 时间戳字段。 发送者 在每次发送的时候。 在tcp包头里面带上发送时候的时间戳。 当接收者接收的时候,在ACK应答中除了TCP包头中带自己此时发送的时间戳,并且把收到的时间戳附加在后面。也就是说ACK包中有两个时间戳字段。结构如下:
那我们接下来一个个分析tcp_tw_reuse是如何解决TIME_WAIT的两个问题的
4、tcp_tw_recycle
tcp_tw_recycle 也是借助 timestamp机制。顾名思义, tcp_tw_reuse 是复用 端口,并不会减少 TIME-WAIT 数量。你去查询机器上TIME-WAIT 数量,还是 几千几万个,这点对有强迫症的同学感觉很不舒服。tcp_tw_recycle 是 提前 回收 TIME-WAIT资源。会减少 机器上 TIME-WAIT 数量。
linux 网卡tcp禁用的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux 网卡tcp禁用,Linux系统中如何禁用网卡TCP?,如何在Linux下禁用IPv6,畅谈linux下TCP(上)的信息别忘了在本站进行查找喔。
