Linux 中的 TCP 连接状态,本质是内核对连接生命周期各阶段的标记。它不单是“连上了”或“断开了”的简单判断,而是精确反映当前连接在三次握手、数据传输、四次挥手等过程中的具体位置。掌握这些状态,是排查连接异常、优化服务性能、识别连接泄漏的基础。
常见 TCP 状态及其含义
Linux 通过 /proc/net/tcp、ss 或 netstat 显示的状态码(如 ESTABLISHED、TIME_WAIT)对应 RFC 793 定义的标准状态。关键状态包括:
-
LISTEN:服务端 socket 正在监听某个端口,等待客户端发起连接请求。此时进程已调用
bind()和listen(),但尚未收到 SYN。 -
SYN_SENT:客户端已发出 SYN 报文,正等待服务端的 SYN+ACK。常见于调用
connect()后未及时响应的场景。 - SYN_RECV:服务端收到 SYN,已回复 SYN+ACK,正在等待客户端的最终 ACK。若长期卡在此状态,可能是网络丢包或客户端未响应,也可能是 SYN Flood 攻击迹象。
- ESTABLISHED:三次握手完成,连接已就绪,双方可双向收发数据。这是正常通信时的主力状态。
- FIN_WAIT1 / FIN_WAIT2:主动关闭方已发送 FIN,分别处于等待对方 ACK 和等待对方 FIN 的阶段。若大量连接滞留在 FIN_WAIT2,说明对端未发送 FIN,可能应用未正确关闭连接。
-
CLOSE_WAIT:被动关闭方收到 FIN 并回了 ACK,但本端应用尚未调用
close()。持续堆积表明服务端程序存在连接释放逻辑缺陷。 - TIME_WAIT:主动关闭方收到对方 FIN 并发出 ACK 后进入此状态,需等待 2MSL(通常约 60 秒)后才彻底关闭。作用是防止旧连接的延迟报文干扰新连接,不可跳过或禁用。
- CLOSED:连接已完全终止,socket 资源被回收。用户态不可见,仅存在于内核清理过程中。
如何快速查看和统计连接状态
命令行工具能直观呈现当前连接分布,便于定位瓶颈:
- 用
ss -ant | awk '{print $1}' | sort | uniq -c | sort -nr统计各状态连接数,比netstat更轻量高效; - 查特定端口,如
ss -tuln | grep ':80'可看监听情况,ss -tn state established '( dport = :443 )'可过滤活跃 HTTPS 连接; - 观察
/proc/net/tcp文件时注意:st字段是十六进制值(如01表示 ESTABLISHED),需对照内核定义转换; - 避免在高并发系统中频繁使用
netstat -an,因其遍历所有 socket 开销大,易引发性能抖动。
典型问题与状态关联
很多网络问题会直接映射到异常的状态堆积上:
- 服务无法接受新连接 → 检查 LISTEN 队列是否溢出(
ss -lnt中Recv-Q非零且持续增长),可能因应用处理慢或 backlog 设置过小; - 客户端反复超时 → 大量 SYN_SENT 或 SYN_RECV,需排查防火墙拦截、路由不通或服务端负载过高;
- 服务器内存或文件描述符耗尽 → 常伴随大量 CLOSE_WAIT,说明应用读取完响应后忘记调用
close(); - 端口复用失败(Address already in use)→ 往往因 TIME_WAIT 连接未释放完,可调整
net.ipv4.tcp_tw_reuse(仅对客户端有效)或优化连接复用策略。
状态不是孤立的,而是有明确流转规则
TCP 状态变化严格遵循协议规范,不受应用层主观控制。例如:
- 从 ESTABLISHED 到 CLOSE_WAIT 必须由对端先发 FIN;
- TIME_WAIT 是主动关闭方的必经阶段,不能通过设置跳过;
- 服务端不会出现 FIN_WAIT1,因为关闭动作通常由客户端发起;
- RST 包会强制将连接置为 CLOSED,绕过标准状态机,常用于拒绝非法连接或快速中断。
