1 案例

1.1 环境部署

环境1：WEB服务器

docker run -itd --name=nginx -p 80:80 nginx

环境2：SYN攻击

curl http://xxx.xxx.xxx.xxx/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
...

# -S 参数表示设置 TCP 协议的 SYN（同步序列号），-p 表示目的端口为 80
# -i u100 表示每隔 100 微秒发送一个网络帧
# 注：如果你在实践过程中现象不明显，可以尝试把 100 调小，比如调成 10 甚至 1
$ hping3 -S -p 80 -i u1 xxx.xxx.xxx.xxx

1.2 分析过程

1、CPU使用率不高但是软中断已经到了10%，从非idle状态的全部用在了软中断上面。

2、确认是哪个软中断导致的问题

watch -d cat /proc/softirqs

TIMER（定时中断）、NET_RX（网络接收）、SCHED（内核调度）、RCU（RCU 锁）中，网络接收变化最快。

3、确认了网络问题，继续观察下网络收发包的情况

# -n DEV 表示显示网络收发的报告，间隔 1 秒输出一组数据
sar -n DEV 1

报告时间 | 网卡 | rxpck/s txpck/s收发帧数 | exkB/s txkB/s收发千字节数

• 对网卡et0来说，收帧很大112924.00，但是数据量很小5955.00。
• 计算一下5955.00*1024Byte/112924.00=54Byte平均每个包只有54字节即小包问题。

4、抓包确认问题

tcpdump -i eth0 -n tcp port 80

21:59:25.549573 IP 源端.40615 > 目标端.http: Flags [S], seq 270293337, win 512, length 0
21:59:25.549592 IP 源端.40616 > 目标端.http: Flags [S], seq 830767629, win 512, length 0

Flags [S]表示syn包，PPS超过1.2W确认syn flood攻击。

2 概念

2.1 软中断概念

linux的中断会打断CPU当前的工作，中断一般都设计的短小精悍。但是也为了解决中断处理程序执行时间过长和中断丢失的问题，Linux的中断分为两个阶段：

• 上半部用来快速处理中断，它在中断禁止模式下运行，主要处理硬件相关和时间敏感的工作
• 下半部用来延迟处理上半部未完成的工作，通常以内核线程的方式运行

网卡收数据包的例子：

网卡收到数据包后会通过硬件中断的方式，通知内核有新的数据到了：对上半部来说，既然是快速处理，其实就是要把网卡的数据读到内存中，然后更新一下硬件寄存器的状态（表示数据已经读好了），最后再发送一个软中断信号，通知下半部做进一步的处理。而下半部被软中断信号唤醒后，需要从内存中找到网络数据，再按照网络协议栈，对数据进行逐层解析和处理，直到把它送给应用程序。

• 上半部直接处理硬件请求，也就是我们常说的硬中断，特点是快速执行
• 而下半部则是由内核触发，也就是我们常说的软中断，特点是延迟执行

实际上，上半部会打断 CPU 正在执行的任务，然后立即执行中断处理程序。而下半部以内核线程的方式执行，并且每个CPU都对应一个软中断内核线程，名字为 “ksoftirqd/CPU 编号”，比如说， 0 号 CPU 对应的软中断内核线程的名字就是 ksoftirqd/0。不过要注意的是，软中断不只包括了刚刚所讲的硬件设备中断处理程序的下半部，一些内核自定义的事件也属于软中断，比如内核调度和RCU 锁（Read-Copy Update 的缩写，RCU是 Linux 内核中最常用的锁之一）等。

2.2 查看软中断和内核线程

• cat /proc/interrupts软中断
• cat /proc/softirqs硬中断