UDP报文收不到问题排查

一 背景

同事说告警报文没办法接收了, 程序同时向本机发送UDP告警和另外一台机器发送UDP报文,结果显示,本机UDP是正常收到的,远程的机器收不到UDP报文的.


部署展示

二 问题分析

2.1 基本分析

程序同时发送到本地应用和远程应用的,虽然是不同的IP和端口,但是是同一个逻辑,所以程序的本身的问题可能性比较小,先测试下是否为网络问题:

  • 先用ping测试下,由于ping被禁止了,所以没有测试出什么来.
  • 利用nc -ul xxx 在远程机器新建一个udp监听端口,应用程序所在机器,通过nc -u x.x.x.x xxx 连接后,通过输入一些字符,来看看远程机器是否有屏显,结果本次测试正常,说明网络是通的.
  • 继续在远程的机器抓包,发现不是没有收到,而是收到的包相对来说比较小,大小为400多个字节左右,均是这种小于1千个字节的.
  • 在发送告警的机器通过tcpdump抓包: tcpdump -i eth1 udp port xxxx -A -nn 发现有类似于以下内容的告警:
21:01:39.000550 IP (tos 0x0, ttl 64, id 63736, offset 0, flags [+], proto UDP (17), length 1500)
    xxx.xxx.xxx.xxx.59019 > xxx.xxx.xxx.xxx.documentum: UDP, bad length 6902 > 1472

首先,我们来看下这个1472是怎么来的,在以太网环境中,以太网的帧的body大小为46字节到1500字节之间,本次是处于IPV4的环境,IP包头大小为20个字节,所以还剩下1480字节;UDP的协议的报文头长度为8个字节,所以剩下的udp的包体长度为1480-8 = 1472个字节,具体展示如下图:
格式如下:


协议格式
UDP报文格式

上述告警意思是因为我们环境下网卡的MTU设置为1500个字节,如下:

[root@localhost ~]# ifconfig
em1: flags=4163  mtu 1500

因为发送的UDP报文长度大于可以传输的安全长度1472个字节,这不代表不能发送,只是因为大于了帧的最大传输长度,所以在IP层需要进行分包,一旦网络环境不好,分包产生了丢失问题,会造成IP的组包失败,从而导致UDP的报文丢失.

不过鉴于Internet上的标准MTU值为576字节,所以建议在进行Internet的UDP编程时,最好将UDP的数据长度控制在 (576-8-20)548字节以内

还可以通过netstat -su进行监控:

[root@localhost ~]# netstat -su
IcmpMsg:
    InType0: 141039
    InType3: 72945
    InType8: 1616
    InType13: 1
    OutType0: 1616
    OutType3: 777474
    OutType8: 141039
    OutType14: 1
Udp:
    4039279 packets received
    123325 packets to unknown port received.
    67020 packet receive errors
    4229636 packets sent
    67020 receive buffer errors
    0 send buffer errors
UdpLite:
IpExt:
    InNoRoutes: 2
    InMcastPkts: 26
    InBcastPkts: 723113
    InOctets: 27500413848629
    OutOctets: 27491308862298
    InMcastOctets: 832
    InBcastOctets: 287040162
    InNoECTPkts: 126755848707
    InECT0Pkts: 16

2.2 尝试解决

既然MTU太小了,那么尝试修改下两端的MTU最大值,MTU是取整个路由的MTU最小值,我们尝试把两端的MTU增大下:

ifconfig eth1 mtu 9000 up

两端MTU增加后,仍然会报错,那么可能的原因是中间路由设备设置的MTU比较小,查看下,由于主机上没有traceroute命令来跟踪,尝试使用另外一个命令:

tracepath xxx.xxx.xx.xx.xx

类似于traceroute,可以追踪路由,结束后打印MTU值.
还可以带个端口,测试这个UDP端口.

[root@localhost ~]# tracepath 1xx.xx.xx.2xx/10001
 1?: [LOCALHOST]                                         pmtu 1500
 1:  xx.xx.xx.xx                                         0.502ms reached
 1:  xx.xx.xx.xx                                          0.323ms reached
     Resume: pmtu 1500 hops 1 back 1 

在实际环境中,由于中间很多路由都看不到,而且让中间的所有路由都改MTU值不是太现实.

在MTU为1500字节的情况下,如果发送的UDP报文大于MTU,比如发送8000个字节,如果包缓存足够,且分包按照正确的顺序到来,通过recvfrom(9000) 还是可以收到一个完整的UDP包的. 如果IP分片丢失,校验失败,包就会丢弃.recvfrom(9000)将阻塞.

2.3 更改socket缓冲区大小

为防止socket缓冲区溢出造成的问题,特意增加了socket的缓冲区.
cat /proc/sys/net/core/rmem_defaultcat /proc/sys/net/core/rmem_max可以查看socket缓冲区的缺省值和最大值。
可以通过echo xxx >/proc/sys/net/core/rmem_default的方法来临时修改,也通过更改/etc/sysctl.conf文件添加以下配置来修改:

net.core.rmem_default=262144
net.core.wmem_default=262144
net.core.rmem_max=262144
net.core.wmem_max=262144

修改完成后记得运行以下命令来生效:

sysctl -p

但是在本次仍然没起到效果.

2.4 最终解决方法

最终解决方法是绕过了这个问题,直接改了接口,不采用UDP发送了,而是采用文件采集形式.
这是一次不成功的经验,有这方面经验的朋友,可以留言交流下还有什么原因造成这种问题.

三 诗词欣赏

阵雨
夏令欣逢细雨濛,花轩廊下看斜风。
天光忽觉流云散,忙向东边盼彩虹。

 
夏
雨后偷闲竹椅横,葡萄架下梦初成。
荷风偏扰昏昏睡,偶送鸣蛙四五声。

你可能感兴趣的:(UDP报文收不到问题排查)