linuxudp优化

『壹』 linux系统如何阻挡UDP攻击

UDP Server程序
1、编写UDP Server程序的步骤
(1)使用socket()来建立一个UDP socket，第二个参数为SOCK_DGRAM。
(2)初始化sockaddr_in结构的变量，并赋值。sockaddr_in结构定义：
struct sockaddr_in {
uint8_t sin_len;
sa_family_t sin_family;
in_port_t sin_port;
struct in_addr sin_addr;
char sin_zero[8];
};
这里使用“08”作为服务程序的端口，使用“INADDR_ANY”作为绑定的IP地址即任何主机上的地址。
(3)使用bind()把上面的socket和定义的IP地址和端口绑定。这里检查bind()是否执行成功，如果有错误就退出。这样可以防止服务程序重复运行的问题。
(4)进入无限循环程序，使用recvfrom()进入等待状态，直到接收到客户程序发送的数据，就处理收到的数据，并向客户程序发送反馈。这里是直接把收到的数据发回给客户程序。

2、udpserv.c程序内容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_echo(int sockfd, struct sockaddr *pcliaddr, socklen_t clilen)
{
int n;
socklen_t len;
char mesg[MAXLINE];

for(;;)
{
len = clilen;
/* waiting for receive data */
n = recvfrom(sockfd, mesg, MAXLINE, 0, pcliaddr, &len);
/* sent data back to client */
sendto(sockfd, mesg, n, 0, pcliaddr, len);
}
}

int main(void)
{
int sockfd;
struct sockaddr_in servaddr, cliaddr;

sockfd = socket(AF_INET, SOCK_DGRAM, 0); /* create a socket */

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_addr.s_addr = htonl(INADDR_ANY);
servaddr.sin_port = htons(SERV_PORT);

/* bind address and port to socket */
if(bind(sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr)) == -1)
{
perror("bind error");
exit(1);
}

do_echo(sockfd, (struct sockaddr *)&cliaddr, sizeof(cliaddr));

return 0;
}

UDP Client程序
1、编写UDP Client程序的步骤
(1)初始化sockaddr_in结构的变量，并赋值。这里使用“8888”作为连接的服务程序的端口，从命令行参数读取IP地址，并且判断IP地址是否符合要求。
(2)使用socket()来建立一个UDP socket，第二个参数为SOCK_DGRAM。
(3)使用connect()来建立与服务程序的连接。与TCP协议不同，UDP的connect()并没有与服务程序三次握手。上面我们说了UDP是非连接的，实际上也可以是连接的。使用连接的UDP，kernel可以直接返回错误信息给用户程序，从而避免由于没有接收到数据而导致调用recvfrom()一直等待下去，看上去好像客户程序没有反应一样。
(4)向服务程序发送数据，因为使用连接的UDP，所以使用write()来替代sendto()。这里的数据直接从标准输入读取用户输入。
(5)接收服务程序发回的数据，同样使用read()来替代recvfrom()。
(6)处理接收到的数据，这里是直接输出到标准输出上。

2、udpclient.c程序内容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>
#include <arpa/inet.h>
#include <unistd.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_cli(FILE *fp, int sockfd, struct sockaddr *pservaddr, socklen_t servlen)
{
int n;
char sendline[MAXLINE], recvline[MAXLINE + 1];

/* connect to server */
if(connect(sockfd, (struct sockaddr *)pservaddr, servlen) == -1)
{
perror("connect error");
exit(1);
}

while(fgets(sendline, MAXLINE, fp) != NULL)
{
/* read a line and send to server */
write(sockfd, sendline, strlen(sendline));
/* receive data from server */
n = read(sockfd, recvline, MAXLINE);
if(n == -1)
{
perror("read error");
exit(1);
}
recvline[n] = 0; /* terminate string */
fputs(recvline, stdout);
}
}

int main(int argc, char **argv)
{
int sockfd;
struct sockaddr_in srvaddr;

/* check args */
if(argc != 2)
{
printf("usage: udpclient <IPaddress>\n");
exit(1);
}

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_port = htons(SERV_PORT);
if(inet_pton(AF_INET, argv[1], &servaddr.sin_addr) <= 0)
{
printf("[%s] is not a valid IPaddress\n", argv[1]);
exit(1);
}

sockfd = socket(AF_INET, SOCK_DGRAM, 0);

do_cli(stdin, sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr));

return 0;
}

运行例子程序
1、编译例子程序
使用如下命令来编译例子程序：
gcc -Wall -o udpserv udpserv.c
gcc -Wall -o udpclient udpclient.c
编译完成生成了udpserv和udpclient两个可执行程序。

2、运行UDP Server程序
执行./udpserv &命令来启动服务程序。我们可以使用netstat -ln命令来观察服务程序绑定的IP地址和端口，部分输出信息如下：
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:8888 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:882 0.0.0.0:*
可以看到udp处有“0.0.0.0:8888”的内容，说明服务程序已经正常运行，可以接收主机上任何IP地址且端口为8888的数据。
如果这时再执行./udpserv &命令，就会看到如下信息：
bind error: Address already in use
说明已经有一个服务程序在运行了。

3、运行UDP Client程序
执行./udpclient 127.0.0.1命令来启动客户程序，使用127.0.0.1来连接服务程序，执行效果如下：
Hello, World!
Hello, World!
this is a test
this is a test
^d
输入的数据都正确从服务程序返回了，按ctrl+d可以结束输入，退出程序。
如果服务程序没有启动，而执行客户程序，就会看到如下信息：
$ ./udpclient 127.0.0.1
test
read error: Connection refused
说明指定的IP地址和端口没有服务程序绑定，客户程序就退出了。这就是使用connect()的好处，注意，这里错误信息是在向服务程序发送数据后收到的，而不是在调用connect()时。如果你使用tcpmp程序来抓包，会发现收到的是ICMP的错误信息。
参考资料：http://www.cnpaf.net/Class/UDP/0532918532729212.html

『贰』 Linux安全优化和内核参数优化方案有那些

入口安全优化

• ssh配置优化

  修改之前，需要将/etc/ssh/sshd_config备份一个，比如/etc/ssh/sshd_config.old， 主要优化如下参数：

  Port 12011
  PermitRootLogin no
  UseDNS no
  #防止ssh客户端超时#
  ClientAliveInterval 30
  ClientAliveCountMax 99
  GSSAuthentication no
  

  主要目的更改ssh远程端口、禁用root远程登录（本地还是可以root登录的）、禁用dns、防止ssh超时、解决ssh慢，当然也可以启用密钥登录，这个根据公司需求。

  注意：修改以后需重启ssh生效，另外需要iptables放行最新ssh端口。

• iptables优化

  原则：用到哪些放行哪些，不用的一律禁止。

  举下简单的例子：敏感服务比如mysql这种3306控制，默认禁止远程，确实有必要可以放行自己指定IP连接或者通过vpn拨号做跳板连接，不可直接放置于公网； 如单位有自己的公网IP或固定IP，那只允许自己的公网IP进行连接ssh或者指定服务端口就更好了。

用户权限以及系统安全优化

非root用户添加以及sudo权限控制

用户配置文件锁定

服务控制

默认无关服务都禁止运行并chkconfig xxx off，只保留有用服务。这种如果是云计算厂商提供的，一般都是优化过。如果是自己安装的虚拟机或者托管的机器，那就需要优化下，默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务，一些无关紧要的服务就可以off掉了，

内核参数优化

• 进程级文件以及系统级文件句柄数量参数优化

默认ulinit -n看到的是1024，这种如果系统文件开销量非常大，那么就会遇到各种报错比如：

localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等，那就是文件句柄打开数量已经超过系统限制，就需要优化了。

这个参数我们进程级优化文件如下：

vim /etc/security/limits.conf

# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535

好了，退出当前终端以后重新登录可以看到ulimit -n已经改成了65535。另外需要注意，进程级参数优化还需要修改文件：

/etc/security/limits.d/90-nproc.conf 这个会影响到参数。查看某一个进程的limits可以通过cat /proc/pid/limits查看。默认这个文件参数推荐设置：

[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited

• 系统级文件句柄优化

修改/etc/sysctl.conf添加如下参数：

fs.file-max=65535

内核参数优化（这个是非常重要的）。具体优化的文件为/etc/sysctl.conf，后尾追加优化参数：

net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2

net.ipv4.tcp_synack_retries = 2

#参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。

net.ipv4.tcp_syn_retries = 1

#表示在内核放弃建立连接之前发送SYN包的数量。

net.ipv4.tcp_max_syn_backlog = 262144

#这个参数表示TCP三次握手建立阶段接受SYN请求列队的最大长度，默认1024，将其设置的大一些可以使出现Nginx繁忙来不及accept新连接的情况时，Linux不至于丢失客户端发起的链接请求。

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。系统优化这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

net.ipv4.tcp_timestamps = 1 #开启时间戳，配合tcp复用。如遇到局域网内的其他机器由于时间戳不同导致无法连接服务器，有可能是这个参数导致。注：阿里的slb会清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #这个参数用于设置启用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，该参数默认为180000，过多的TIME_WAIT套接字会使Web服务器变慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当服务器主动关闭链接时，选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。net.ipv4.tcp_keepalive_time = 600 #当keepalive启动时，TCP发送keepalive消息的频度；默认是2小时，将其设置为10分钟，可以更快的清理无效链接。net.ipv4.ip_local_port_range = 1024 65000#定义UDP和TCP链接的本地端口的取值范围。fs.file-max=65535 #表示最大可以打开的句柄数；

设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。这个内核对系统本身安全以及高并发都非常的有效（可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等）。

『叁』 在Linux上，编写一个每秒接收100万UDP数据包的程序究竟有多难

UDP接收比TCP接收要简单很多，性能也要高很多
假设你要接受的UDP包都是最大MTU，不回大于答1500字节一个包，100万个UDP包也就是1.5GBps的流量，这个并不困难，当然首先网口要有足够的带宽。我以前开发的流媒体转发服务，在生产环境下，一台设备上游UDP包可以接收2.7GBps，并同时转发出去。
当然这个和程序运行的设备配置是有关系的，主要是网卡和CPU
给你几个建议：
1：多线程处理，单个线程处理能力还是有限的，同时尽量把线程绑定到CPU核上。
2：linux系统的网络参数要优化，包括读写缓冲区大小
3：如果非必要，可以采用阻塞模式接收，性能比非阻塞要好。

『肆』 我的linux服务器成肉鸡了，向同一ip地址发送大量的udp包，把我的服务器资源都消耗光了，怎么解决，

1连上服务器 找出发包进程kill掉（这一步做不到可以无视）
2数据备份（有重要数据的话）
3重做系统
4还原数据
5做好安全防护（iptables禁用不用的端口，不需要的服务关闭，升级bash最近有漏洞）

『伍』 linux中有哪些办法提高UDP的发送速度

代码如下:

#include <winsock2.h>
#pragma comment(lib,"ws2_32.lib")
#include <iostream>

#include <time.h>

int main()
{

char log[256] = "20100119161638|20100118184827|20100119235141|3|10.90.177.67|53391|117.136.31.195|21920|211.136.192.6|53391|0.0.0.0|0|0|0|17|218|1";
WSADATA wsd;
if(WSAStartup(MAKEWORD(2,2),&wsd)) {
cerr << "WSAStartup error..." << endl;
return INVALID_SOCKET;
}

SOCKET sockClient = socket(AF_INET,SOCK_DGRAM,0);
SOCKADDR_IN addrSrv;
addrSrv.sin_family = AF_INET;
addrSrv.sin_addr.S_un.S_addr = inet_addr("172.18.11.32");
addrSrv.sin_port = htons(514);
bind(sockClient,(SOCKADDR*)&sockClient,sizeof(SOCKADDR));

unsigned long sendTime = 20;//发送时间

time_t nowTime = time(NULL);
time_t endTime = nowTime + sendTime ;

while(time(NULL) < endTime)
{
sendto(sockClient,log,strlen(log)+1,0,(SOCKADDR*)&addrSrv,sizeof(SOCKADDR));
}

std::cout << "finished sending " << std::endl;

closesocket(sockClient);
WSACleanup();

getchar();

}

『陆』 请教Linux关于UDP最大缓冲区设置

有3点值得说明： 1. 上面我们仅仅写了接收的内核缓冲区， 关键字是SO_RCVBUF， 如果是发送的内版核缓权冲区， 那就用SO_SNDBUF, 有兴趣的童鞋可以稍微修改一下上面程序即可。
2. 从程序的结果我们可以看到， sockClient1和sockClient2两者的发送内核缓冲区没有任何关系。
3. 听一网友说过， tcp才有所谓的内核缓冲区， udp没有。