当前位置：首页 > article >正文

从TCP连接被重置到下载成功：一次curl (35)报错的排查与解决实录

article 2026/3/23 11:44:48

1. 当curl突然罢工一次TCP连接重置的离奇遭遇那天下午我正在给一台CentOS 7服务器配置Docker环境。按照官方文档的指引我需要用curl下载Docker Compose二进制文件。输入命令后终端却弹出了让我心头一紧的报错curl: (35) TCP connection reset by peer这个错误看起来简单背后却可能藏着各种妖魔鬼怪。TCP连接重置就像你正和朋友通电话对方突然毫无征兆地挂断了而且连句再见都没说。更让人抓狂的是这种情况可能由至少七八种不同的原因导致。我首先检查了最基本的网络连通性ping github.com能ping通说明网络基础连接没问题。然后我尝试用telnet测试443端口telnet github.com 443发现连接也能建立。这就奇怪了——既然基础网络没问题为什么curl会失败我开始怀疑是不是TLS握手出了问题于是加上-v参数查看详细输出curl -v -L https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)在详细输出中我看到连接确实建立起来了但在TLS握手阶段被重置。这让我想到可能是服务器端的限制比如连接数限制或者速率限制。2. 抽丝剥茧排查TCP连接重置的五大常见原因2.1 网络瞬时中断最容易被忽略的元凶在实际运维中瞬时网络抖动是最常见但也最容易被忽视的问题。特别是在跨运营商、跨地区的网络环境中数据包丢失和重传是家常便饭。我做了个简单测试mtr -rw github.com这个命令会显示到目标服务器的路由情况和丢包率。果然在第三跳有个节点有2%的丢包。虽然看起来不高但如果在关键握手阶段丢包就可能导致连接被重置。2.2 服务器端的限制看不见的门槛大型网站如GitHub都会实施各种保护措施包括连接速率限制短时间内来自同一IP的过多连接请求会被限制并发连接数限制防止单个客户端占用过多服务器资源地理限制某些地区可能会被限制访问我尝试用不同的下载方式验证wget https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)发现同样的问题这进一步指向服务器端的限制可能性。2.3 防火墙和中间设备的干扰企业网络中的防火墙、IDS/IPS设备可能会对TLS流量进行深度检测有时会导致连接异常终止。我检查了本地防火墙规则iptables -L -n没有发现明显拦截规则。然后我尝试用标准HTTP端口测试curl -v http://github.com:80这次连接成功了说明问题可能确实出在TLS/443端口上。3. 简单重试被低估的故障解决神器3.1 为什么简单重试经常有效在排查了各种可能性后我决定尝试最简单的解决方案多次重试。这看似是个笨办法但在分布式系统中有其合理性瞬时问题会自然消失网络抖动、服务器过载等问题通常是暂时的负载均衡的随机性重试可能会连接到不同的后端服务器限制策略的弹性很多限流算法允许短时突发我写了个简单的重试脚本for i in {1..5}; do curl -L https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose break sleep $((i*2)) done这个脚本会尝试最多5次每次失败后等待时间指数级增加2,4,6,8,10秒。3.2 更可靠的重试策略对于生产环境我们可以实现更智能的重试max_retries5 retry_delay2 for ((i1; imax_retries; i)); do if curl -L https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose; then echo Download succeeded on attempt $i exit 0 fi echo Attempt $i failed, retrying in $retry_delay seconds... sleep $retry_delay retry_delay$((retry_delay * 2)) done echo Failed after $max_retries attempts exit 1这种指数退避策略是处理瞬时故障的标准做法避免给已经过载的系统增加压力。4. 进阶排查当简单重试不够用时4.1 使用更底层的工具诊断如果重试多次仍然失败就需要更深入的排查。tcpdump是网络故障排查的瑞士军刀tcpdump -i any host github.com -w github.pcap这个命令会捕获所有与github.com的通信并保存到文件可以用Wireshark等工具分析。4.2 检查TLS握手细节有时问题出在TLS协议版本或加密套件不匹配上。我们可以用openssl诊断openssl s_client -connect github.com:443 -showcerts这个命令会显示完整的TLS握手过程包括服务器支持的协议版本和加密套件。4.3 绕过可能的限制如果怀疑是IP被限制可以尝试使用代理需符合公司政策更换网络环境使用Cloudflare CDN等中间节点例如可以通过Cloudflare Workers搭建简单的代理addEventListener(fetch, event { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request) { const url new URL(request.url) const actualUrl url.searchParams.get(url) return fetch(actualUrl, request) }然后通过这个Worker访问curl https://your-worker.your-account.workers.dev/?urlhttps://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)5. 预防胜于治疗构建健壮的下载逻辑5.1 实现自动重试的下载函数对于关键脚本我们可以封装一个带自动重试的下载函数download_with_retry() { local url$1 local output$2 local max_retries${3:-5} local retry_delay${4:-2} for ((i1; imax_retries; i)); do if curl -L $url -o $output; then echo Download succeeded return 0 fi echo Attempt $i failed, retrying in $retry_delay seconds... sleep $retry_delay retry_delay$((retry_delay * 2)) done echo Failed to download after $max_retries attempts return 1 } # 使用示例 download_with_retry \ https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m) \ /usr/local/bin/docker-compose5.2 添加完整性校验下载完成后应该验证文件的完整性可以通过校验和或签名# 下载校验文件 curl -L https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m).sha256 -o docker-compose.sha256 # 验证 sha256sum -c docker-compose.sha2565.3 考虑使用备选镜像对于关键组件最好准备多个下载源MIRRORS( https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m) https://get.daocloud.io/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m) https://mirrors.aliyun.com/docker-toolbox/linux/compose/2.12.2/docker-compose-$(uname -s)-$(uname -m) ) for mirror in ${MIRRORS[]}; do if curl -L $mirror -o /usr/local/bin/docker-compose; then echo Download succeeded from $mirror break fi echo Failed to download from $mirror done这次排查经历让我再次认识到在复杂的网络环境中简单重试往往是最有效的解决方案之一。特别是在云环境和微服务架构中瞬时故障是常态而非例外。作为工程师我们既要掌握深入排查的工具和方法也要懂得在适当的时候选择最简单的解决方案。

从TCP连接被重置到下载成功：一次curl (35)报错的排查与解决实录

相关文章：

从TCP连接被重置到下载成功：一次curl (35)报错的排查与解决实录

系统发育多样性分析避坑指南：从Faith‘s PD计算到树文件修剪的常见错误解析

工业C内存池动态扩容失效？揭秘4类隐蔽内存碎片陷阱及实时补偿算法

为什么大厂都在转C#？看完性能对比我沉默了

Activin A蛋白在癌症恶病质血管内皮功能障碍中的作用机制研究

裸机开发与RTOS：嵌入式系统架构选型核心对比

FM25W256 FRAM驱动设计：10MHz SPI零等待读写实现

从理论到实践：三种经典迭代法在MATLAB中的实现与性能对比

从零开始：在Ubuntu22.04上用Anaconda创建Python3.8虚拟环境并安装Pytorch1.12

使用Lingbot-depth-pretrain-vitl-14实现实时深度估计的优化技巧

Vue2项目实战：用js-audio-recorder和阿里云WebSocket搞定网页录音转文字（附完整代码）

Qwen3-VL-4B Pro快速部署指南：开箱即用的视觉语言模型，看图说话超简单

15｜Prompt 结构化：目标-上下文-约束-输出格式

Python实战：用朴素贝叶斯分类器预测西瓜好坏（附完整代码）

Nginx交叉编译实战：从Ubuntu20.04到ARM64 Linux的完整移植记录

无刷电机PWM控制实战：从占空比到转速曲线的完整测试记录

别再让大文件撑爆你的Git仓库了！手把手教你用Git LFS管理视频和数据集

告别经纬度模糊聚合！用Uber H3 Java库实现六边形地理网格的5个实战场景

移远EC600SCN-AA模组QuecPython开发环境搭建全攻略（含驱动+固件+工具链）

实测有效：ERNIE-4.5-0.3B镜像部署，Chainlit界面聊天体验分享

FLAC3D结果太抽象？手把手教你用Tecplot做出期刊级云图（从导入到出图全流程）

ChatGLM3-6B在金融领域的应用：智能投顾与风险分析

针对开源开发者的GitHub钓鱼攻击与加密钱包窃取机制研究

Linux内核内存管理：虚拟内存、伙伴系统与页表机制

ODD Platform：数据治理的开源技术实践

el-dialog 弹窗多层嵌套后边框不显示问题

漏洞扫描从入门到精通：3个技巧让你效率翻倍（附工具包）

探索改进型低电压穿越控制策略：光伏并网逆变器的关键突破

5分钟搞定图像分类：通用物体识别ResNet18镜像实战体验

别再为部署大模型发愁了！手把手教你用vLLM在双GPU上跑通secGpt14b（附完整命令解析）