linux抓取僵尸进程,Linux-僵尸进程-产生-清除
以前就大约了解一点的概念,今天再好好地通过网上资源并实际写C程序实验了,现在对僵尸进程总结一下。
1. 僵尸进程概念:
僵尸进程(
):就是已经结束了的进程,但是没有从进程表中删除。太多了会导致进程表里面条目满了,进而导致系统崩溃,倒是不占用系统资源。
在进程的状态中,僵尸进程是非常特殊的一种,它已经放弃了几乎所有内存空间,没有任何可执行代码,也不能被调度,仅仅在进程列表中保留一个位置,记载该进程的退出状态等信息供其他进程收集,除此之外,僵尸进程不再占有任何内存空间。它需要它的父进程来为它收尸,如果他的父进程没安装SIGCHLD信号处理函数调用wait或waitpid()等待子进程结束,又没有显式忽略该信号,那么它就一直保持僵尸状态,如果这时父进程结束了,那么init进程自动会接手这个子进程,为它收尸,它还是能被清除的。但是如果如果父进程是一个循环,不会结束,那么子进程就会一直保持僵尸状态,这就是为什么系统中有时会有很多的僵尸进程。
2.僵尸进程产生的原因:
每个
Linux进程在进程表里都有一个进入点(entry),核心程序执行该进程时使用到的一切信息都存储在进入点。当用ps命令察看系统中的进程信息时,看到的就是进程表中的相关数据。当以fork()系统调用建立一个新的进程后,核心进程就会在进程表中给这个新进程分配一个进入点,然后将相关信息存储在该进入点所对应的进程表内。这些信息中有一项是其父进程的识别码。当这个进程走完了自己的生命周期后,它会执行exit()系统调用,此时原来进程表中的数据会被该进程的退出码(exit
code)、执行时所用的CPU时间等数据所取代,这些数据会一直保留到系统将它传递给它的父进程为止。由此可见,进程的出现时间是在子进程终止后,但是父进程尚未读取这些数据之前。
3.僵尸进程的查看:
用 top命令,可以看到
Tasks: 123 total, 1 running,
122 sleeping, 0
stopped, 0 zombie
zombie前面的数量就是僵尸进程到数量;
ps -ef
出现:
root 13028 12956 0 10:51
pts/2 00:00:00 [ls]
最后有 defunct的标记,就表明是僵尸进程。
4.僵尸进程解决办法:
4.1
改写父进程,在子进程死后要为它收尸。具体做法是接管SIGCHLD信号。子进程死后,会发送SIGCHLD信号给父进程,父进程收到此信号后,执行
waitpid()函数为子进程收尸。这是基于这样的原理:就算父进程没有调用wait,内核也会向它发送SIGCHLD消息,尽管对的默认处理是忽略,如果想响应这个消息,可以设置一个处理函数。
4.2
把父进程杀掉。父进程死后,僵尸进程成为"孤儿进程",过继给1号进程init,init始终会负责清理僵尸进程.它产生的所有僵尸进程也跟着消失。
kill -9 `ps -ef | grep "Process Name" | awk '{ print $3 }'`
其中,“Process Name”为处于zombie状态的进程名。
4.3 杀父进程不行的话,就尝试用skill -t
TTY关闭相应终端,TTY是进程相应的tty号(终端号)。但是,ps可能会查不到特定进程的tty号,这时就需要自己判断了。
4.4 实在不行,重启系统吧,这也是最常用到方法之一。
5.僵尸进程实例:
#include "sys/types.h"
#include "sys/wait.h"
#include "stdio.h"
#include "unistd.h"
int main(int argc, char* argv[])
{
while(1)
{
pid_t chi =
fork();
if(chi ==
0)
{
execl("/bin/bash","bash","-c","ls",NULL);
}
sleep(2);
}
会不停地产生僵死进程ls;
#include
#include
main()
{
if(!fork())
{
printf("child pid=%d\n",
getpid());
exit(0);
}
sleep(60);
printf("parent pid=%d \n", getpid());
exit(0);
}
60s内会不断产生僵尸进程,知道父进程exit(0);
如果在调用wait/waitpid来为子进程收尸,就不会产生僵尸进程了。
PS:运行例子,先gcc zombie1.c -o zombie编译,然后运行zombie;
然后可以可用ps
-ef来查看是否产生了僵尸进程。
其他知识:
execl:進程進入了環境執行 執行完進程結束
system=fork+exec+waitpid:執行完進程仍然存在,只是用它的子進程執行了操作。
在fork()/execve()过程中,假设子进程结束时父进程仍存在,而父进程fork()之前既没安装SIGCHLD信号处理函数调用waitpid()等待子进程结束,又没有显式忽略该信号,则子进程成为僵尸进程,无法正常结束,此时即使是root身份kill-9也不能杀死僵尸进程。补救办法是杀死僵尸进程的父进程(僵尸进程的父进程必然存在),僵尸进程成为"孤儿进程",过继给1号进程init,init始终会负责清理僵尸进程。
僵尸进程是指的父进程已经退出,而该进程dead之后没有进程接受,就成为僵尸进程.(zombie)进程
怎样产生僵尸进程的:
一个进程在调用exit命令结束自己的生命的时候,其实它并没有真正的被销毁,而是留下一个称为僵尸进程(Zombie)的数据结构(系统调用exit,它的作用是使进程退出,但也仅仅限于将一个正常的进程变成一个僵尸进程,并不能将其完全销毁)。在Linux进程的状态中,僵尸进程
是非常特殊的一种,它已经放弃了几乎所有内存空间,没有任何可执行代码,也不能被调度,仅仅在进程列表中保留一个位置,记载该进程的退
出状态等信息供其他进程收集,除此之外,僵尸进程不再占有任何内存空间。它需要它的父进程来为它收尸,如果他的父进程没安装SIGCHLD信
号处理函数调用wait或waitpid()等待子进程结束,又没有显式忽略该信号,那么它就一直保持僵尸状态,如果这时父进程结束了,那么init进程自动
会接手这个子进程,为它收尸,它还是能被清除的。但是如果如果父进程是一个循环,不会结束,那么子进程就会一直保持僵尸状态,这就是为什么系统中有时会有很多的僵尸进程。
Linux系统对运行的进程数量有限制,如果产生过多的僵尸进程占用了可用的进程号,将会导致新的进程无法生成。这就是僵尸进程对系统的最大危害。
僵尸进程实例:
#include "sys/types.h"
#include "sys/wait.h"
#include "stdio.h"
#include "unistd.h"
int
main(int argc, char* argv[])
{
while(1)
{
pid_t
chi = fork();
if(chi
== 0)
{
execl("/bin/bash","bash","-c","ls",NULL);
}
sleep(2);
}
会不停地产生僵死进程ls;
#include
#include
main()
{
if(!fork())
{
printf("child pid=%d\n", getpid());
exit(0);
}
sleep(60);
printf("parent pid=%d \n", getpid());
exit(0);
}
60s内会不断产生僵尸进程,知道父进程exit(0);
如果在调用wait/waitpid来为子进程收尸,就不会产生僵尸进程了。
PS:运行例子,先gcc zombie1.c -o
zombie编译,然后运行zombie;
然后可以可用ps -ef来查看是否产生了僵尸进程。
怎么查看僵尸进程:
利用命令ps,可以看到有标记为Z的进程就是僵尸进程。
怎样来清除僵尸进程:
1.改写父进程,在子进程死后要为它收尸。具体做法是接管SIGCHLD信号。子进程死后,会发送SIGCHLD信号给父进程,父进程收到此信号后,执行
waitpid()函数为子进程收尸。这是基于这样的原理:就算父进程没有调用wait,内核也会向它发送SIGCHLD消息,尽管对的默认处理是忽略,如果想响应这个消息,可以设置一个处理函数。
2.把父进程杀掉。父进程死后,僵尸进程成为"孤儿进程",过继给1号进程init,init始终会负责清理僵尸进程.它产生的所有僵尸进程也跟着消失。
在Linux中可以用
ps
auwx
发现僵尸进程
a all
w/ tty, including other users 所有窗口和终端,包括其他用户的进程
u
user-oriented 面向用户(用户友好)
-w,w
wide output 宽格式输出
x
processes w/o controlling ttys
在僵尸进程后面
会标注
ps
axf
看进程树,以树形方式现实进程列表
ps
axm
会把线程列出来,在linux下进程和线程是统一的,是轻量级进程的两种方式。
ps
axu
显示进程的详细状态
===========================================
killall
kill
-15
kill
-9
一般都不能杀掉
defunct进程
用了kill
-15,kill -9以后 之后反而会多出更多的僵尸进程
kill
-kill pid
fuser
-k pid
可以考虑杀死他的parent process,
kill -9
他的parent process
===========================================
一个已经终止,但是其父进程尚未对其进行善后处理(获取终止子进程的有关信息、释放它仍占用的资源)的进程被称为僵死进程(Zombie
Process)。
避免zombie的方法:
1)在SVR4中,如果调用signal或sigset将SIGCHLD的配置设置为忽略,则不会产生僵死子进程。另外,使用SVR4版的
sigaction,则可设置SA_NOCLDWAIT标志以避免子进程僵死。
Linux中也可使用这个,在一个程序的开始调用这个函数
signal(SIGCHLD,SIG_IGN);
2)调用fork两次。程序8 - 5 实现了这一点。
3)用waitpid等待子进程返回.
===========================================
zombie进程是僵死进程。防止它的办法,一是用wait,waitpid之类的函数获得
进程的终止状态,以释放资源。另一个是fork两次
===========================================
defunct进程只是在process
table里还有一个记录,其他的资源没有占用,除非你的系统的process个数的限制已经快超过了,zombie进程不会有更多的坏处。
可能唯一的方法就是reboot系统可以消除zombie进程。
===========================================
任何程序都有僵尸状态,它占用一点内存资源(也就是进程表里还有一个记录),仅仅是表象而已不必害怕。如果程序有问题有机会遇见,解决大批量僵尸简单有效的办法是重起。kill是无任何效果的
fork与zombie/defunct"
在Unix下的一些进程的运作方式。当一个进程死亡时,它并不是完全的消失了。进程终止,它不再运行,但是还有一些残留的小东西等待父进程收回。这些残留的东西包括子进程的返回值和其他的一些东西。当父进程
fork()一个子进程后,它必须用 wait() 或者 waitpid() 等待子进程退出。正是这个 wait()
动作来让子进程的残留物消失。
自然的,在上述规则之外有个例外:父进程可以忽略 SIGCLD 软中断而不必要
wait()。可以这样做到(在支持它的系统上,比如Linux):
main()
{
signal(SIGCLD, SIG_IGN);
.
.
fork();
fork();
fork();
}
现在,子进程死亡时父进程没有 wait(),通常用 ps 可以看到它被显示为“”。它将永远保持这样 直到
父进程 wait(),或者按以下方法处理。
这里是你必须知道的另一个规则:当父进程在它wait()子进程之前死亡了(假定它没有忽略
SIGCLD),子进程将把
init(pid1)进程作为它的父进程。如果子进程工作得很好并能够控制,这并不是问题。但如果子进程已经是defunct,我们就有了一点小麻烦。看,原先的父进程不可能再
wait(),因为它已经消亡了。这样,init 怎么知道 wait() 这些zombie 进程。
答案:不可预料的。在一些系统上,init周期性的破坏掉它所有的defunct进程。在另外一些系统中,它干脆拒绝成为任何defunct进程的父进程,而是马上毁灭它们。如果你使用上述系统的一种,可以写一个简单的循环,用属于init的defunct进程填满进程表。这大概不会令你的系统管理员很高兴吧?
你的任务:确定你的父进程不要忽略 SIGCLD,也不要 wait() 它 fork()
的所有进程。不过,你也未必 要总是这样做(比如,你要起一个 daemon 或是别的什么东西),但是你必须小心编程,如果你是一个
fork()的新手。另外,也不要在心理上有任何束缚。
总结:
子进程成为
defunct 直到父进程 wait(),除非父进程忽略了 SIGCLD 。
更进一步,父进程没有 wait() 就消亡(仍假设父进程没有忽略 SIGCLD )的子进程(活动的或者
defunct)成为 init 的子进程,init 用重手法处理它们。
原文出自【比特网】,转载请保留原文链接:http://soft.chinabyte.com/os/5/12172005.shtml