int listen(int s, int backlog); 함수에서 backlog는 무엇인가요?

정확히 아는것은 아니고 저도 추정입니다.

백로그 : 실제 데이타의 포인터를 값으로 가지는 카운터로 수신시만 관계하며 송신시는 버퍼 크기가 관여합니다

커널백로그의 경우 sk_buff 가 하나 만들어지면 +1 없어지면 -1 하고 전송 백로그의 경우 sock 이 같이 동작하는데

sk_buff 는 패킷 하나하나마다 무조건 구조체가 만들어지므로 +1 씩 됩니다만 sock 는 전송계층으로 올라왔을 때 +1 됩니다.

ICMP,AoE,ARP 처럼 전송으로 올라가지 않고 처리되는 부분은 sock 이 +1 되지 않으므로 이 2가지는 다릅니다.

• backlog 값이 줄어드는 유일한 경우는
  
  DMA버퍼안의 수신된 패킷 하나가 실제로 없어졌을 때이며
  
  IP단에서 처리해버리고 끝나는 경우는 sk_buff 가 없어지고 끝납니다만
  
  전송계층까지 올라온 것의 경우 이 패킷이 listen() 을 호출한 프로세서가 점유한 사용자공간의 윈도우버퍼로 복사가 완전히 끝나야만 됩니다.이 때 관련 sk_buff 와 함께 sock 도 없어지며 backlog 도 줄어듭니다.
  
• 결국은 응용과 관계된 부분에서는 사용자 프로그램의 효율성 디스크I/O 에 의해 사용자 버퍼로 빨리 덤프가 끝나야만 이 백로그가 원하는 기능을 합니다.
  
  수치가 크다면 결국 덤프되지 못하고 정체된 블럭이 많다는 소리며 거기에는 어떤 문제가 있다는 말이며 대개 응용프로그램 로직 또는 디스크I/O 입니다.
  

커널 백로그 : NIC 이 DMA 을 통해 메모리에 데이타를 MTU 보다 작은 하나의 패킷으로 복사하는데 이 인트럽트가 감지될 때마다 커널은 sk_buff 를 만들고 패킷 하나의 주소를 포인터하고 백로그에 저장

• DMA 버퍼는 하위 16MB 아래 있고 NIC 드라이버에 의해 그 위치와 크기가 정해지는데
• 보통 점보프레임까지 고려하더라도 하나의 패킷은 9KB 이하입니다.따라서 어떤 랜카드가 9MB의 DMA버퍼를 혼자 사용하도록 설정될 수 있다고 가정하면 1000 개의 패킷이 NIC -> 시스템 주메모리 에 복사되어 정체될 수 있다는 뜻입니다.
  MTU=1500 인 일반 경우 훨씬 더 많이 저장할 수 있죠.
• 리눅스 커널은 이 1000 개에 대해 포인터를 만들고 포인터는 연속된 메모리구조안에 1000개가 되겠지요
• 이 때 커널 backlog = 1000 이 됩니다만
  디폴트값이 300 이고 300이 다 차면 랜카드는 블락되며 0 이 될 때까지(DMA 버퍼가 비워질 때까지)랜카드는 상대에게 PAUSE 전압을 보내게 되어 수신이 되지 않습니다.
  300은 충분히 큽니다.문제가 된다면 다른 쪽을 찾아야겠지요.

전송백로그 : listen()을 호출한 프로그램 별로 있는데 그 총합은 디폴트 128 을 넘을 수 없습니다.
즉 아파치를 128 로 주어서 띄운다면 어디선가 이 웹서버로 접속이 오면 backlog +1 되고(이미 sock하나가 생기므로)SYN-ACK-ACK 관계가 동작하며 정상 확립되면 DMA 안의 데이타를 아파치 공간으로 덤프하는데 웹서버에는 이게 데이타 자체가 헤더가 대부분이므로
SYN 갯수와 backlog 가 1:1 관계처럼 보이지만

예를 들어 HTTP로 파일 업을 구현하면 SYN 하나에 sock 는 파일 전송 끝날 때까지 매 패킷 갯수마다 생기고
아파치 수신버퍼에서 디스크로 빨리빨리 저장하지 못하면 backlog 는 계속 늘어납니다.

역으로 보면 SYN 50 개에 backlog 60 개 정도 된다면 정상이라 할 수 있지만 SYN 50 개인데 백로그 1024 다...
그러면 플밍 로직에 문제 있거나 I/O 에 문제 있다는 소리므로
백로그 128 은 어이없는 값이 아닙니다.

그러나 웹서버의 경우
SYN 플러딩을 제외하고는 SYN 갯수가 클라이언트 갯수를 의미하니까 1024 를 잡아놓으면 1:1 을 가정하면 합리적이란 거죠

제 블로그에 이런 들을 쓰고 있습니다만 광고가 되니깐 네이버에서 찾아보시기 바랍니다.