tcp阿里云（tcp客户端连接阿里云）

IT服务网

作者

华为云服务器特价优惠火热进行中！

2核2G2兆仅需 38 元；4核4G3兆仅需 79 元。购买时间越长越优惠！更多配置及优惠价格请咨询客服。

合作流程：
1、点击链接注册/关联华为云账号：点击跳转
2、添加客服微信号：cloud7591，确定产品方案、价格方案、服务支持方案等；
3、客服协助购买，并拉微信技术服务群，享受一对一免费技术支持服务；
★技术专家在金蝶、华为、腾讯原厂有多年工作经验，并已从事云计算服务8年，可对域名、备案、网站搭建、系统部署、AI人工智能、云资源规划等上云常见问题提供更专业靠谱的服务，对相应产品提供更优惠的报价和方案，欢迎咨询。

今天给各位分享tcp阿里云的知识，其中也会对tcp客户端连接阿里云进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

微信号：cloud7591
如需了解更多，欢迎添加客服微信咨询。
复制微信号

本文目录一览：

1、记一次解决阿里云服务器偶尔连接不上的问题（由tcp_tw_recycle参数引发的）
2、如何使用 NB-Iot + Arduino 通过MQTT协议上传数据至阿里云平台？
3、串口转tcp连接不到阿里云服务器
4、阿里云轻量级服务器提速
5、阿里云服务器被攻击-
6、阿里云服务器默认远程端口修改

记一次解决阿里云服务器偶尔连接不上的问题（由tcp_tw_recycle参数引发的）

阿里云服务器偶尔连接不上的问题出现在我做了一些TCP优化之后，出现了公司内网偶尔会出现连接不上服务器的问题，但是切换其他的网络就可以正常连接。

1，登陆服务器查看资源使用top，vmstat等命令查看了一番发现服务器各项指标都没有异常。于是将问题转向了网络层。

2，本地使用ping服务器外网ip正常返回，无丢包，延迟也正常。

3，登录服务器查看tcp相关数据。

发现在卡顿时有大量tcp syn包被丢弃，数值一直在增长。

在查阅资料并结合实际情况后，发现该服务器同时启用了 tcp_timestamps和tcp_tw_recycle参数。

后想起，之前同事为改善time_wait连接数过多问题曾改过该内核参数。

解决办法是，关闭tcp_tw_recycle：

再观察，发现服务已正常，偶尔连接不上的现象消失。

我们先来man一下这两个参数(man tcp)：

cp_timestamp 是 RFC1323 定义的优化选项，主要用于 TCP 连接中 RTT(Round Trip Time) 的计算，开启 tcp_timestamp 有利于系统计算更加准确的 RTT，也就有利于 TCP 性能的提升。（默认开启）

关于tcp_timestamps详情请见：

开启tcp_tw_recycle会启用tcp time_wait的快速回收，这个参数不建议在NAT环境中启用，它会引起相关问题。

tcp_tw_recycle是依赖tcp_timestamps参数的，在一般网络环境中，可能不会有问题，但是在NAT环境中，问题就来了。比如我遇到的这个情况，办公室的外网地址只有一个，所有人访问后台都会通过路由器做SNAT将内网地址映射为公网IP，由于服务端和客户端都启用了tcp_timestamps，因此TCP头部中增加时间戳信息，而在服务器看来，同一客户端的时间戳必然是线性增长的，但是，由于我的客户端网络环境是NAT，因此每台主机的时间戳都是有差异的，在启用tcp_tw_recycle后，一旦有客户端断开连接，服务器可能就会丢弃那些时间戳较小的客户端的SYN包，这也就导致了网站访问极不稳定。

主机A SIP:P1 (时间戳T0) --- Server 主机A断开后

主机B SIP:P1 (时间戳T2) T2 T0 --- Server 丢弃

经过此次故障，告诫我们在处理线上问题时，不能盲目修改参数，一定要经过测试，确认无误后，再应用于生产环境。同时，也要加深对相关内核参数的认识和理解。

本文解决灵感来自于

tcp阿里云（tcp客户端连接阿里云）

如何使用 NB-Iot + Arduino 通过MQTT协议上传数据至阿里云平台？

有很多通信模块只有TCP功能，没有MQTT功能，比如WIFI，W5500等模块，还有一些NBIOT模块，但是又想连接阿里云物联网平台，官方提供了操作系统，需要自己移植，很麻烦，比较难看得懂。就在想有没有一些简单一定的方法。

心想MQTT是基于TCP的，能否使用TCP转MQTT？因此就想使用TCP协议然后转MQTT协议连接阿里云物联网平台，经过试验证明是可以的。

首先我们先分析一下如何登陆接入Onenet平台。

先从它数据格式开始分析。首先我们要从后台取出三个信息，我们以这个为例。

我们把产品ID，设备名称，设备秘钥，简称三要素 (具体是什么看你自己的设备)

其实阿里云物联网平台的MQTT协议用的就是标准的，不过它加入了自己的认证方式。

MQTT协议需要上传四个参数，报活时间，clientID，用户名，密码。

那么阿里云的就在clientID，用户名，密码做了手脚。

clientID比较长，按照一定的格式

用户名：设备名和秘钥组成

密码：使用了加密串进行了加密，有sha1或者MD5加密方式

下面我们来介绍一下

MQTT接入都是发十六进制的数据。

么我们发送的时候就是这样子的一串数据

0x74 0x00 0x04 0x4d 0x51 0x54 0x54 0x04 0xC0 0078 0033 0x61 0x62 0x63 0x7c 0x73 0x65 0x63 0x75 0x72 0x65 0x6d 0x6f 0x64 0x65 0x3d 0x33 0x2c 0x73 0x69 0x67

0x6e 0x6d 0x65 0x74 0x68 0x6f 0x64 0x3d 0x68 0x6d 0x61 0x63 0x73 0x68 0x61 0x31 0x2c 0x74 0x69 0x6d 0x65 0x73 0x74 0x61 0x6d 0x70 0x3d 0x31 0x32 0x30 0x7c 0009

0x35 0x36 0x37 0x38 0x26 0x31 0x32 0x33 0x34 0028 0x32 0x32 0x32 0x37 0x35 0x30 0x44 0x45 0x44 0x46 0x45 0x34 0x46 0x37 0x37 0x34 0x30 0x30 0x32 0x45 0x45 0x38 0x37 0x45 0x45 0x44 0x32 0x39 0x43 0x46 0x44 0x30 0x36 0x33 0x38 0x43 0x35 0x46 0x36 0x36

十六进制解释

数据长度：0x74

协议数据长度 0x00 0x04

协议类型： 0x4d 0x51 0x54 0x54

协议数据： 0x04 0xC0

keepAlive数据:0078

ClientID长度:0033

ClientID: 0x61 0x62 0x63 0x7c 0x73 0x65 0x63 0x75 0x72 0x65 0x6d 0x6f 0x64 0x65 0x3d 0x33 0x2c 0x73 0x69 0x67 0x6e 0x6d 0x65 0x74 0x68 0x6f 0x64 0x3d 0x68 0x6d 0x61 0x63 0x73 0x68 0x61 0x31 0x2c 0x74 0x69 0x6d 0x65 0x73 0x74 0x61 0x6d 0x70 0x3d 0x31 0x32 0x30 0x7c

用户名:0009

用户名: 0x35 0x36 0x37 0x38 0x26 0x31 0x32 0x33 0x34

密码长度：0028

密码: 0x32 0x32 0x32 0x37 0x35 0x30 0x44 0x45 0x44 0x46 0x45 0x34 0x46 0x37 0x37 0x34 0x30 0x30 0x32 0x45 0x45 0x38 0x37 0x45 0x45 0x44 0x32 0x39 0x43 0x46 0x44 0x30 0x36 0x33 0x38 0x43 0x35 0x46 0x36 0x36复制代码上面的就是连接服务器的连接包

下面呢，我们来做个发布包(上传数据到服务器)

0x30 0x1D 0009 2f7379732f706f7374 0x7b 0x70 0x61 0x72 0x61 0x6d 0x73 0x3a 0x7b 0x74 0x65 0x6d 0x70 0x3a 0x31 0x30 0x7d 0x7d

十六进制数据解释

数据头：0x30

数据长度：0x1D

TopicName数据长度：0009

TopicName数据内容：2f7379732f706f7374

主体json数据: 0x7b 0x70 0x61 0x72 0x61 0x6d 0x73 0x3a 0x7b 0x74 0x65 0x6d 0x70 0x3a 0x31 0x30 0x7d 0x7d复制代码以上就是连接阿里云的数据包格式及发布数据的格式，由于时间问题没有做订阅的数据包分析，下一次更新订阅的内容。

串口转tcp连接不到阿里云服务器

阿里云相应端口没有开放。截至2022年11月24日，计算机的阿里云相应端口没有开放，因此串口转tcp，连接不到阿里云服务器。阿里云服务器是阿里云提供的一种基础云计算服务。

阿里云轻量级服务器提速

阿里云轻量级服务器自带1T流量包，考虑到国内流量费实在是贵，轻量级服务器是一个更好的选择

但是国内访问轻量级服务器的带宽很低，可以通过以下办法提速

转自老骥伏枥

1.首先卸载阿里云安骑士（阿里云的一个安全（jiandie）软件）

2.删除安骑士残留文件

3.屏蔽安骑士IP

4.安装魔改BBR+（BBR是Google推出的一个TCP反堵塞程序，能大幅提升服务器的速度）

选2，安装重启后再次运行./tcp.sh命令，然后选7，完成BBR+的安装，此时提速明显！

到此为止，整个提速已经完成了，赶紧试试你网站的速度吧，是不是爽歪歪了

实测效果：

提速前：

提速后：

阿里云服务器被攻击-

根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示：2017年上半年，中国以275亿美元的游戏市场收入超过美国和日本，成为全球榜首。

游戏行业的快速发展、高额的攻击利润、日趋激烈的行业竞争，让中国游戏行业的进军者们，每天都面临业务和安全的双重挑战。

游戏行业一直是竞争、攻击最为复杂的一个江湖。曾经多少充满激情的创业团队、玩法极具特色的游戏产品，被互联网攻击的问题扼杀在摇篮里；又有多少运营出色的游戏产品，因为遭受DDoS攻击，而一蹶不振。

DDoS 攻击的危害

小蚁安盾安全发布的2017年上半年的游戏行业DDoS攻击态势报告中指出：2017年1月至2017年6月，游戏行业大于300G以上的攻击超过1800次，攻击最大峰值为608G；游戏公司每月平均被攻击次数高达800余次。

目前，游戏行业因DDoS攻击引发的危害主要集中在以下几点：

• 90%的游戏业务在被攻击后的2-3天内会彻底下线。

• 攻击超过2-3天以上，玩家数量一般会从几万人下降至几百人。

• 遭受DDoS攻击后，游戏公司日损失可达数百万元。

为什么游戏行业是 DDoS 攻击的重灾区？

据统计表明，超过50%的DDoS和CC攻击，都在针对游戏行业。游戏行业成为攻击的重灾区，主要有以下几点原因：

• 游戏行业的攻击成本低，几乎是防护成本的1/N，攻防两端极度不平衡。随着攻击方的手法日趋复杂、攻击点的日趋增多，静态防护策略已无法达到较好的效果，从而加剧了这种不平衡。

• 游戏行业生命周期短。一款游戏从出生到消亡，大多只有半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定只要发起攻击，游戏公司一定会给保护费。

• 游戏行业对连续性的要求很高，需要7 24小时在线。因此如果受到DDoS攻击，很容易会造成大量的玩家流失。在被攻击的2-3天后，玩家数量从几万人掉到几百人的事例屡见不鲜。

• 游戏公司之间的恶性竞争，也加剧了针对行业的DDoS攻击。

游戏行业的 DDoS 攻击类型

• 空连接攻击者与服务器频繁建立TCP连接，占用服务端的连接资源，有的会断开、有的则一直保持。空连接攻击就好比您开了一家饭馆，黑帮势力总是去排队，但是并不消费，而此时正常的客人也会无法进去消费。

• 流量型攻击攻击者采用UDP报文攻击服务器的游戏端口，影响正常玩家的速度。用饭馆的例子，即流量型攻击相当于黑帮势力直接把饭馆的门给堵了。

• CC攻击攻击者攻击服务器的认证页面、登录页面、游戏论坛等。还是用饭馆的例子，CC攻击相当于，坏人霸占收银台结账、霸占服务员点菜，导致正常的客人无法享受到服务。

• 假人攻击模拟游戏登录和创建角色过程，造成服务器人满为患，影响正常玩家。

• 对玩家的DDoS攻击针对对战类游戏，攻击对方玩家的网络使其游戏掉线或者速度慢。

• 对网关DDoS攻击攻击游戏服务器的网关，导致游戏运行缓慢。

• 连接攻击频繁的攻击服务器，发送垃圾报文，造成服务器忙于解码垃圾数据。

游戏安全痛点

• 业务投入大，生命周期短一旦出现若干天的业务中断，将直接导致前期的投入化为乌有。

• 缺少为安全而准备的资源游戏行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长，而安全需求往往没有被游戏公司优先考虑。

• 可被攻击的薄弱点多网关、带宽、数据库、计费系统都可能成为游戏行业攻击的突破口，相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。

• 涉及的协议种类多难以使用同一套防御模型去识别攻击并加以防护，许多游戏服务器多用加密私有协议，难以用通用的挑战机制进行验证。

• 实时性要求高，需要7 24小时在线业务不能中断，成为DDoS攻击容易奏效的理由。

• 行业恶性竞争现象猖獗 DDoS攻击成为打倒竞争对手的工具。

如何判断已遭受 DDoS 攻击？

假定已排除线路和硬件故障的情况下，突然发现连接服务器困难、正在游戏的用户掉线等现象，则说明您很有可能是遭受了DDoS攻击。

目前，游戏行业的IT基础设施一般有 2 种部署模式：一种是采用云计算或者托管IDC模式，另外一种是自行部署网络专线。无论是前者还是后者接入，正常情况下，游戏用户都可以自由流畅地进入服务器并进行游戏娱乐。因此，如果突然出现以下几种现象，可以基本判断是被攻击状态：

• 主机的IN/OUT流量较平时有显著的增长。

• 主机的CPU或者内存利用率出现无预期的暴涨。

• 通过查看当前主机的连接状态，发现有很多半开连接；或者是很多外部IP地址，都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接攻击。

• 游戏客户端连接游戏服务器失败或者登录过程非常缓慢。

• 正在进行游戏的用户突然无法操作、或者非常缓慢、或者总是断线。

DDoS 攻击缓解最佳实践

目前，有效缓解DDoS攻击的方法可分为 3 大类：

• 架构优化

• 服务器加固

• 商用的DDoS防护服务

您可根据自己的预算和遭受攻击的严重程度，来决定采用哪些安全措施。

架构优化

在预算有限的情况下，建议您优先从自身架构的优化和服务器加固上下功夫，减缓DDoS攻击造成的影响。

部署 DNS 智能解析

通过智能解析的方式优化DNS解析，有效避免DNS流量攻击产生的风险。同时，建议您托管多家DNS服务商。

• 屏蔽未经请求发送的DNS响应信息典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中，在DNS服务器对查询请求进行处理之后，服务器会将响应信息返回给DNS解析器。

但值得注意的是，响应信息是不会主动发送的。服务器在没有接收到查询请求之前，就已经生成了对应的响应信息，这些回应就应被丢弃。

• 丢弃快速重传数据包即便是在数据包丢失的情况下，任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高，这些请求数据包可被丢弃。

• 启用TTL 如果DNS服务器已经将响应信息成功发送了，应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

对于一个合法的DNS客户端，如果已经接收到了响应信息，就不会再次发送相同的查询请求。每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大量查询请求时，可以屏蔽掉不需要的数据包。

• 丢弃未知来源的DNS查询请求和响应数据通常情况下，攻击者会利用脚本对目标进行分布式拒绝服务攻击（DDoS攻击），而且这些脚本通常是有漏洞的。因此，在服务器中部署简单的匿名检测机制，在某种程度上可以限制传入服务器的数据包数量。

• 丢弃未经请求或突发的DNS请求这类请求信息很可能是由伪造的代理服务器所发送的，或是由于客户端配置错误或者是攻击流量。无论是哪一种情况，都应该直接丢弃这类数据包。

非泛洪攻击 (non-flood) 时段，可以创建一个白名单，添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法能够有效地保护服务器不受泛洪攻击的威胁，也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。

• 启动DNS客户端验证伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状，便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

• 对响应信息进行缓存处理如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中，缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。

• 使用ACL的权限很多请求中包含了服务器不具有或不支持的信息，可以进行简单的阻断设置。例如，外部IP地址请求区域转换或碎片化数据包，直接将这类请求数据包丢弃。

• 利用ACL，BCP38及IP信誉功能托管DNS服务器的任何企业都有用户轨迹的限制，当攻击数据包被伪造，伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

同时，也存在某些伪造的数据包可能来自与内部网络地址的情况，可以利用BCP38通过硬件过滤清除异常来源地址的请求。

部署负载均衡

通过部署负载均衡（SLB）服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式，对DDoS攻击中的CC攻击进行防护。

部署负载均衡方案后，不仅具有CC攻击防护的作用，也能将访问用户均衡分配到各个服务器上，减少单台服务器的负担，加快访问速度。

使用专有网络

通过网络内部逻辑隔离，防止来自内网肉鸡的攻击。

提供余量带宽

通过服务器性能测试，评估正常业务环境下能承受的带宽和请求数，确保流量通道不止是日常的量，有一定的带宽余量可以有利于处理大规模攻击。

服务器安全加固

在服务器上进行安全加固，减少可被攻击的点，增大攻击方的攻击成本：

• 确保服务器的系统文件是最新的版本，并及时更新系统补丁。

• 对所有服务器主机进行检查，清楚访问者的来源。

• 过滤不必要的服务和端口。例如，WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上做阻止策略。

• 限制同时打开的SYN半连接数目，缩短SYN半连接的timeout时间，限制SYN/ICMP流量。

• 仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。

• 限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

• 充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置：流控、包过滤、半连接超时、垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用ICMP和UDP广播。

• 通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接、传输速率。

• 识别游戏特征，自动将不符合游戏特征的连接断开。

• 防止空连接和假人攻击，将空连接的IP地址直接加入黑名单。

• 配置学习机制，保护游戏在线玩家不掉线。例如，通过服务器搜集正常玩家的信息，当面对攻击时，将正常玩家导入预先准备的服务器，并暂时放弃新进玩家的接入，以保障在线玩家的游戏体验。

商用 DDoS 攻击解决方案

针对超大流量的攻击或者复杂的游戏 CC攻击，可以考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

当宽带资源充足时，此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司本身的成本要求也比较高。

DDoS攻击解决方案——高防IP

新式高防技术，替身式防御，具备4Tbps高抗D+流量清洗功能，无视DDoS,CC攻击，不用迁移数据，隐藏源服务器IP，只需将网站解析记录修改为小蚁DDoS高防IP，将攻击引流至小蚁集群替身高防服务器，是攻击的IP过滤清洗拦截攻击源，正常访问的到源服务器，保证网站快速访问或服务器稳定可用，接入半小时后，即可正式享受高防服务。