除了 iowait，软中断（softirq）CPU 使用率升高也是最常见的一种性能问题。

中断其实是一种异步的事件处理机制，可以提高系统的并发处理能力。

为了减少对正常进程运行调度的影响， 中断处理程序就需要尽可能快地运行。

中断

事实上，为了 解决中断处理程序执行过长和中断丢失的问题，Linux 将中断处理过程分成了两个阶段， 也就是上半部和下半部：

• 上半部用来快速处理中断，它在中断禁止模式下运行，主要处理跟硬件紧密相关的或时 间敏感的工作。

• 下半部用来延迟处理上半部未完成的工作，通常以内核线程的方式运行。

比如，网卡接收到数据包后，会通过硬件中断的方式，通知内核有新的数据到了。这时，内核就应该调用中断处理程序来响应它。

对上半部来说，既然是快速处理，其实就是要把网卡的数据读到内存中，然后更新一下硬件寄存器的状态（表示数据已经读好了），最后再发送一个软中断信号，通知下半部做进 一步的处理。

而下半部被软中断信号唤醒后，需要从内存中找到网络数据，再按照网络协议栈，对数据进行逐层解析和处理，直到把它送给应用程序。

上半部直接处理硬件请求，也就是我们常说的硬中断，特点是快速执行；

而下半部则是由内核触发，也就是我们常说的软中断，特点是延迟执行。

实际上，上半部会打断 CPU 正在执行的任务，然后立即执行中断处理程序。而下半部以内核线程的方式执行，并且每个 CPU 都对应一个软中断内核线程，名字为 “ksoftirqd/CPU 编号”，比如说， 0 号 CPU 对应的软中断内核线程的名字就是 ksoftirqd/0。

不过要注意的是，软中断不只包括了刚刚所讲的硬件设备中断处理程序的下半部，一些内核自定义的事件也属于软中断，比如内核调度和 RCU 锁（Read-Copy Update 的缩写， RCU 是 Linux 内核中最常用的锁之一）等。

查看软中断和内核线程

proc 文件系统。它是一种内核空间和用户空间进行 通信的机制，可以用来查看内核的数据结构，或者用来动态修改内核的配置。其中：

/proc/softirqs 提供了软中断的运行情况；

/proc/interrupts 提供了硬中断的运行情况。

运行下面的命令，查看 /proc/softirqs 文件的内容，你就可以看到各种类型软中断在不同 CPU 上的累积运行次数：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

$ cat /proc/softirqs
                    CPU0       CPU1       CPU2       CPU3      
          HI:       8461       8068      71646       6973 
       TIMER:    8230306    7987541    8161728    7841311
      NET_TX:         16      10617          3          5 
      NET_RX:    3623232    4104722    3646147    3308572 
       BLOCK:        140        106      20924    2040460 
    IRQ_POLL:          0          0          0          0  
     TASKLET:       7117       6986          2         39  
       SCHED:    8357290    8106624    8204435    7835192  
     HRTIMER:          0          0          0          0 
         RCU:   27169415   28669453   27117521   28376442  

TIMER（定时中断）、 NET_RX（网络接收）、SCHED（内核调度）、RCU（RCU 锁）

在查看 /proc/softirqs 文件内容时，你要特别注意以下这两点。

第一，要注意软中断的类型，也就是这个界面中第一列的内容。从第一列你可以看到，软中断包括了 10 个类别，分别对应不同的工作类型。比如 NET_RX 表示网络接收中断，而 NET_TX 表示网络发送中断

第二，要注意同一种软中断在不同 CPU 上的分布情况，也就是同一行的内容。正常情况 下，同一种中断在不同 CPU 上的累积次数应该差不多。比如这个界面中，NET_RX 在 CPU0 和 CPU1 上的中断次数基本是同一个数量级，相差不大。

不过你可能发现，TASKLET 在不同 CPU 上的分布并不均匀。TASKLET 是最常用的软中断实现机制，每个 TASKLET 只运行一次就会结束 ，并且只在调用它的函数所在的 CPU 上 运行。

因此，使用 TASKLET 特别简便，当然也会存在一些问题，比如说由于只在一个 CPU 上运 行导致的调度不均衡，再比如因为不能在多个 CPU 上并行运行带来了性能限制。

另外，刚刚提到过，软中断实际上是以内核线程的方式运行的，每个 CPU 都对应一个软中 断内核线程，这个软中断内核线程就叫做 ksoftirqd/CPU 编号。那要怎么查看这些线程的 运行状况呢？

其实用 ps 命令就可以做到，比如执行下面的指令：

1
2
3
4
5

$ ps -ef|grep softirq
root         7     2  0 Nov04 ?        00:00:53 [ksoftirqd/0]
root        16     2  0 Nov04 ?        00:00:51 [ksoftirqd/1]
root        22     2  0 Nov04 ?        00:00:53 [ksoftirqd/2]
root        28     2  0 Nov04 ?        00:00:53 [ksoftirqd/3]

注意，这些线程的名字外面都有中括号，这说明 ps 无法获取它们的命令行参数 （cmline）。一般来说，ps 的输出中，名字括在中括号里的，一般都是内核线程。

排查流程

当系统出现卡顿时，使用top进行查看，若cpu使用率很低，但是都用在了软中断si上，极可能是软中断ksoftirqd造成的。

此时，通过watch -d cat /proc/softirqs命令，查看中断次数的变化速率，找出变化率最大的类型，其中TIMER（定时中断）、SCHED（内核调度）、RCU（RCU 锁）类型的软中断，是保证 Linux 调度、时钟和临界区保护这些正常工作所必需的，所以它们有一定的变化倒是正常的。

一般情况是网络造成的软中断，这里以NET_RX（网络接收）软中断为例，使用下面的工具进行检查

sar 是一个系统活动报告工具，既可以实时查看系统的当前活动，又可以配置保存和报 告历史统计数据。

tcpdump 是一个常用的网络抓包工具，常用来分析各种网络问题。

hping3 是一个可以构造 TCP/IP 协议数据包的工具，可以对系统进行安全审计、防火墙 测试等。

sar 可以用来查看系统的网络收发情况，还有一个好处是，不仅可以观察网络收发的吞吐 量（BPS，每秒收发的字节数），还可以观察网络收发的 PPS，即每秒收发的网络帧数。

1
2
3
4
5
6
7
8

# -n DEV 表示显示网络收发的报告， 间隔 1 秒输出一组数据 
$ sar -n DEV 1 
11:41:19 AM     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
11:41:20 AM        lo     19.00     19.00      1.30      1.30      0.00      0.00      0.00      0.00
11:41:20 AM veth65178e2      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
11:41:20 AM    wlp2s0     2400.00     21.00    100.04      3.76      0.00      0.00      0.00      0.00
11:41:20 AM    eth0     12607.00   6304.00     664.86    358.11     0.00      0.00      0.00      0.00
11:41:20 AM   docker0      6302.00 12604.00 270.79     664.66      0.00      0.00      0.00      0.00

对于 sar 的输出界面，我先来简单介绍一下，从左往右依次是：

第一列：表示报告的时间。

第二列：IFACE 表示网卡。

第三、四列：rxpck/s 和 txpck/s 分别表示每秒接收、发送的网络帧数，也就是 PPS。

第五、六列：rxkB/s 和 txkB/s 分别表示每秒接收、发送的千字节数，也就是 BPS。

后面的其他参数基本接近 0，显然跟今天的问题没有直接关系，你可以先忽略掉。

对网卡 eth0 来说，每秒接收的网络帧数比较大，达到了 12607，而发送的网络帧数则 比较小，只有 6304；每秒接收的千字节数只有 664 KB，而发送的千字节数更小，只有 358 KB。

既然怀疑是网络接收中断的问题，我们还是重点来看 eth0 ：接收的 PPS 比较大，达到 12607，而接收的 BPS 却很小，只有 664 KB。直观来看网络帧应该都是比较小的，我们 稍微计算一下，664*1024/12607 = 54 字节，说明平均每个网络帧只有 54 字节，这显然是很小的网络帧，也就是我们通常所说的小包问题。

使用 tcpdump 抓取 eth0 上的包就可以了。我们事先已经知道， Nginx 监听在 80 端 口，它所提供的 HTTP 服务是基于 TCP 协议的，所以我们可以指定 TCP 协议和 80 端口 精确抓包。

接下来，我们在第一个终端中运行 tcpdump 命令，通过 -i eth0 选项指定网卡 eth0，并 通过 tcp port 80 选项指定 TCP 协议的 80 端口：

1
2
3
4
5

# -i eth0 只抓取 eth0 网卡， -n 不解析协议名和主机名 
# tcp port 80 表示只抓取 tcp 协议并且端口号为 80 的网络帧 
$ tcpdump -i eth0 -n tcp port 80 
15:11:32.678966 IP 192.168.0.2.18238 > 192.168.0.30.80: Flags [S], seq 458303614, win 51 
...

从 tcpdump 的输出中，你可以发现

192.168.0.2.18238 > 192.168.0.30.80 ，表示网络帧从 192.168.0.2 的 18238 端口发 送到 192.168.0.30 的 80 端口，也就是从运行 hping3 机器的 18238 端口发送网络 帧，目的为 Nginx 所在机器的 80 端口。

Flags [S] 则表示这是一个 SYN 包。

再加上前面用 sar 发现的， PPS 超过 12000 的现象，现在我们可以确认，这就是从 192.168.0.2 这个地址发送过来的 SYN FLOOD 攻击。

到这里，我们已经做了全套的性能诊断和分析。从系统的软中断使用率高这个现象出发， 通过观察 /proc/softirqs 文件的变化情况，判断出软中断类型是网络接收中断；再通过 sar 和 tcpdump ，确认这是一个 SYN FLOOD 问题。

SYN FLOOD 问题最简单的解决方法，就是从交换机或者硬件防火墙中封掉来源 IP，这样 SYN FLOOD 网络帧就不会发送到服务器中。

小结

Linux 中的中断处理程序分为上半部和下半部：

• 上半部对应硬件中断，用来快速处理中断。

• 下半部对应软中断，用来异步处理上半部未完成的工作。

Linux 中的软中断包括网络收发、定时、调度、RCU 锁等各种类型，可以通过查看 /proc/softirqs 来观察软中断的运行情况。

附