如何將一個(gè)已經(jīng)創(chuàng)建TCP連接斷開(kāi)？

platinum

從哪里看到的一直是 ESTABLISHED 且保持 2 天呢？
-I 換成 -D 就是刪除

wufeiwf

看了一下man，刪掉了這條規(guī)則。關(guān)鍵是系統(tǒng)用lsof也能看到這個(gè)連接占用的資源還存在，非常奇怪，都兩天了，這條tcp連接在系統(tǒng)里仍然存在。
[root@ /root]# lsof|grep 7600
s_man_con 24477 xbsystem    7u  IPv4 1402101203                   TCP *:7600 (LISTEN)
s_man_con 24477 xbsystem    8u  IPv4 1403107045                   TCP xbserver:7600->;10.103.4.40:1366 (ESTABLISHED)

platinum

netstat -an|grep "10.103.4.40" 呢？

wufeiwf

因?yàn)槠渌�的�?yīng)用都不可能訪問(wèn)這個(gè)端口了，而我一直在監(jiān)控這個(gè)端口上的連接，兩天了沒(méi)有其他應(yīng)用訪問(wèn)到這個(gè)端口，這個(gè)狀態(tài)是我兩天前監(jiān)控到的，兩天沒(méi)有其他的訪問(wèn)到這個(gè)端口一直在用tcpdump監(jiān)控，但是這個(gè)連接在系統(tǒng)里就是沒(méi)有釋放，而且lsof也能看到連接占用的資源。

platinum

netstat -an|grep "10.103.4.40" 呢？我想知道結(jié)果
另外，你說(shuō)用 tcpdump 監(jiān)控，tcpdump 在 iptables 之前運(yùn)作，你用 tcpdump 能說(shuō)明什么問(wèn)題呢？

wufeiwf

# netstat -an|grep 10.103.4.40
tcp        0      0 10.103.4.3:7600         10.103.4.40:1366        ESTABLISHED

# lsof |grep 10.103.4.40|grep 7600
s_man_con 24477 xbsystem    8u  IPv4 1403107045                   TCP xbserver:7600->;10.103.4.40:1366 (ESTABLISHED)

都能夠看到，我倒是可以改進(jìn)server的對(duì)連接的檢測(cè)方式，但是很奇怪系統(tǒng)如何對(duì)這種超長(zhǎng)時(shí)間的tcp連接進(jìn)行處理呢？不可能一直這么保持吧，客戶(hù)端早就斷開(kāi)了。

wufeiwf

用tcpdump只想說(shuō)明兩天以來(lái)沒(méi)有其他任何這個(gè)ip的或者其他ip對(duì)端口7600的訪問(wèn)，最后一次就是這個(gè)ip的訪問(wèn)，而且系統(tǒng)一直把這個(gè)tcp連接的狀態(tài)保持下來(lái)了。你的防火墻規(guī)則當(dāng)然能夠阻止此ip的訪問(wèn)，但是不能將系統(tǒng)原來(lái)所維持的tcp連接給去掉，我希望能運(yùn)行某個(gè)命令后，在系統(tǒng)的tcp連接中再也查不到這個(gè)連接，當(dāng)然除了kill server或者重啟網(wǎng)絡(luò)或主機(jī)。

wufeiwf

明天接著頂吧，困了，睡了。謝謝platinum老大。

platinum

# sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=600

然后你再試試，應(yīng)該就好了，默認(rèn) TCP 連接癡呆保持是 120 小時(shí)，也就是 5 天
這樣就改成 10 分鐘了，數(shù)值可隨你心意去調(diào)

ericshei

原帖由 "wufeiwf"]謝謝樓上的，但是不解決問(wèn)題。不能把server的監(jiān)聽(tīng)進(jìn)程kill，只能把已經(jīng)建立的tcp連接通過(guò)操作系統(tǒng)命令斷開(kāi)，一直沒(méi)有找到思路。[/quote 發(fā)表：



[quote]mail:~# netstat -anp | more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      7886/sshd
tcp        0     52 123.123.123.123:22         192.168.4.145:2946       ESTABLISHED 20183/sshd: ericshe

kill 20183 只會(huì)把ESTABLISHED給中斷掉,但原本LISTEN在22 port的sshd還是會(huì)持續(xù)監(jiān)聽(tīng).若這不是您想要的結(jié)果,那就是我會(huì)錯(cuò)意了.