[GH-ISSUE #75] ngx_http_waf_module 存在内存泄漏 #190

New issue

Closed

opened 2026-03-13 16:54:11 +03:00 by kerem · 18 comments

kerem commented 2026-03-13 16:54:11 +03:00

Owner

Copy link

Originally created by @purplegrape on GitHub (Dec 14, 2021).
Original GitHub issue: https://github.com/ADD-SP/ngx_waf/issues/75

操作系统： amazon linux 2
nginx： 1.20.2
ngx_http_waf_module： 6.1.7

使用ngx_http_waf_module 模块之后，内存明显增加，6.1.4之后应该都有类似问题

nginx运行时间较长之后，内存使用量持续增加，到一定程度之后，error日志中报错 “ngx_slab_alloc() failed: no memory”

应该是内存泄漏无疑了。

Originally created by @purplegrape on GitHub (Dec 14, 2021). Original GitHub issue: https://github.com/ADD-SP/ngx_waf/issues/75 操作系统： amazon linux 2 nginx： 1.20.2 ngx_http_waf_module： 6.1.7 使用ngx_http_waf_module 模块之后，内存明显增加，6.1.4之后应该都有类似问题 nginx运行时间较长之后，内存使用量持续增加，到一定程度之后，error日志中报错 “ngx_slab_alloc() failed: no memory” 应该是内存泄漏无疑了。

kerem 2026-03-13 16:54:11 +03:00

• closed this issue
• added the
  bug
  stale
  Nginx
  labels

kerem commented 2026-03-13 16:54:28 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 14, 2021):

nginx -s reload 可回收部分内存，但无法阻止内存增长，重启nginx回收内存更彻底。

<!-- gh-comment-id:993301599 --> @purplegrape commented on GitHub (Dec 14, 2021):  nginx -s reload 可回收部分内存，但无法阻止内存增长，重启nginx回收内存更彻底。

kerem commented 2026-03-13 16:54:33 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

内存会无限增长么？因为 LTS 版本的内存回收机制是除非共享内存耗尽，否则不会回收，所以曲线应该是一直上升，然后在峰值左右轻微波动。

<!-- gh-comment-id:993308962 --> @ADD-SP commented on GitHub (Dec 14, 2021): 内存会无限增长么？因为 LTS 版本的内存回收机制是除非共享内存耗尽，否则不会回收，所以曲线应该是一直上升，然后在峰值左右轻微波动。

kerem commented 2026-03-13 16:54:38 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

出现错误日志是应该的，应为只有出错才会意识到共享内存不足，然后回收。

<!-- gh-comment-id:993310006 --> @ADD-SP commented on GitHub (Dec 14, 2021): 出现错误日志是应该的，应为只有出错才会意识到共享内存不足，然后回收。

kerem commented 2026-03-13 16:54:43 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 14, 2021):

目前配置是 waf_mode STATIC
升级到6.1.7之后，我尝试改为 waf_mode GET POST UA URL 继续观察下

<!-- gh-comment-id:993322504 --> @purplegrape commented on GitHub (Dec 14, 2021): 目前配置是 waf_mode STATIC 升级到6.1.7之后，我尝试改为 waf_mode GET POST UA URL 继续观察下

kerem commented 2026-03-13 16:54:48 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 14, 2021):

内存会无限增长么？因为 LTS 版本的内存回收机制是除非共享内存耗尽，否则不会回收，所以曲线应该是一直上升，然后在峰值左右轻微波动。

内存增长到一定程度日志会报错ngx_slab_alloc() failed: no memory ，服务器CPU是4核，nginx 1个master+4个worker进程使用最大内存561m，master基本不占内存，worker吃内存。

current 版本的内存机制是否有改善？是否值得一试？

<!-- gh-comment-id:993327433 --> @purplegrape commented on GitHub (Dec 14, 2021): > 内存会无限增长么？因为 LTS 版本的内存回收机制是除非共享内存耗尽，否则不会回收，所以曲线应该是一直上升，然后在峰值左右轻微波动。 内存增长到一定程度日志会报错ngx_slab_alloc() failed: no memory ，服务器CPU是4核，nginx 1个master+4个worker进程使用最大内存561m，master基本不占内存，worker吃内存。 current 版本的内存机制是否有改善？是否值得一试？

kerem commented 2026-03-13 16:54:53 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

只要不是每次请求多会日志报错就行。

Current 版本的内存回收机制已经改了，每次处理请求后就会回收内存（大概），具体的回收行为由环境决定。比如有 4 个 worker 进程，每个进程处理完每个请求后就有 25% 的概率进行一次内存回收。如果某次处理过程中内存不足，则会采用更激进的回收方式。

<!-- gh-comment-id:993329789 --> @ADD-SP commented on GitHub (Dec 14, 2021): 只要不是每次请求多会日志报错就行。 Current 版本的内存回收机制已经改了，每次处理请求后就会回收内存（大概），具体的回收行为由环境决定。比如有 4 个 worker 进程，每个进程处理完每个请求后就有 25% 的概率进行一次内存回收。如果某次处理过程中内存不足，则会采用更激进的回收方式。

kerem commented 2026-03-13 16:54:58 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 14, 2021):

如果真的是因为共享内存增长快速而惰性回收的话，那应该就不是内存泄漏了，但是ngx_slab_alloc() failed: no memory 这个日志很难解释

<!-- gh-comment-id:993336162 --> @purplegrape commented on GitHub (Dec 14, 2021): 如果真的是因为共享内存增长快速而惰性回收的话，那应该就不是内存泄漏了，但是ngx_slab_alloc() failed: no memory 这个日志很难解释

kerem commented 2026-03-13 16:55:03 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

很容易解释，因为只要共享内存耗尽就会有这个日志。

<!-- gh-comment-id:993336567 --> @ADD-SP commented on GitHub (Dec 14, 2021): 很容易解释，因为只要共享内存耗尽就会有这个日志。

kerem commented 2026-03-13 16:55:08 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 14, 2021):

我只想要一个basic 的版本，能够简单的维护静态规则就好，我去尝试下current 版本看看

<!-- gh-comment-id:993405205 --> @purplegrape commented on GitHub (Dec 14, 2021): 我只想要一个basic 的版本，能够简单的维护静态规则就好，我去尝试下current 版本看看

kerem commented 2026-03-13 16:55:13 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

忘记说了，新的内存回收机制仅限于使用共享内存的功能，即所有需要指定 zone 参数的配置项，比如 waf_cc_deny。指令 waf_cache 所使用的内存不是共享内存，所以依然是惰性回收。

<!-- gh-comment-id:993466354 --> @ADD-SP commented on GitHub (Dec 14, 2021): 忘记说了，新的内存回收机制仅限于使用共享内存的功能，即所有需要指定 `zone` 参数的配置项，比如 `waf_cc_deny`。指令 `waf_cache` 所使用的内存不是共享内存，所以依然是惰性回收。

kerem commented 2026-03-13 16:55:18 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 14, 2021):

@purplegrape 建议尽快更换为 v10.1.0，刚刚发现内存回收机制并未正常运行，虽然不会导致内存泄漏，但是会退化为惰性回收。

<!-- gh-comment-id:993499179 --> @ADD-SP commented on GitHub (Dec 14, 2021): @purplegrape 建议尽快更换为 v10.1.0，刚刚发现内存回收机制并未正常运行，虽然不会导致内存泄漏，但是会退化为惰性回收。

kerem commented 2026-03-13 16:55:24 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 20, 2021):

升级到10.1.0之后，4个workder, 内存直接干到500多m，虽然目前没什么异常，但感觉太废内存了。

配置文件
http {
...
waf on;
waf_mode STD;
waf_rule_path /etc/nginx/ngx_http_waf/rules/;
...
}

<!-- gh-comment-id:997559611 --> @purplegrape commented on GitHub (Dec 20, 2021): 升级到10.1.0之后，4个workder, 内存直接干到500多m，虽然目前没什么异常，但感觉太废内存了。  配置文件 http { ... waf on; waf_mode STD; waf_rule_path /etc/nginx/ngx_http_waf/rules/; ... }

kerem commented 2026-03-13 16:55:29 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 20, 2021):

其实昨天已经发现内存泄漏问题了，只是没时间修复，缓解方法就是 reload。

<!-- gh-comment-id:997562304 --> @ADD-SP commented on GitHub (Dec 20, 2021): 其实昨天已经发现内存泄漏问题了，只是没时间修复，缓解方法就是 reload。

kerem commented 2026-03-13 16:55:34 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 20, 2021):

可以使用sonarqube之类的静态工具多检查一下代码
真心建议功能不要贪多求全，简单好用才是王道

<!-- gh-comment-id:997566417 --> @purplegrape commented on GitHub (Dec 20, 2021): 可以使用sonarqube之类的静态工具多检查一下代码 真心建议功能不要贪多求全，简单好用才是王道

kerem commented 2026-03-13 16:55:39 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Dec 20, 2021):

已经在分支 current-dev 修复，可以下载重新安装试试。

<!-- gh-comment-id:997826352 --> @ADD-SP commented on GitHub (Dec 20, 2021): 已经在分支 `current-dev` 修复，可以下载重新安装试试。

kerem commented 2026-03-13 16:55:44 +03:00

Author

Owner

Copy link

@purplegrape commented on GitHub (Dec 22, 2021):

还是等你发正式版吧

<!-- gh-comment-id:999199070 --> @purplegrape commented on GitHub (Dec 22, 2021): 还是等你发正式版吧

kerem commented 2026-03-13 16:55:49 +03:00

Author

Owner

Copy link

@stale[bot] commented on GitHub (Jan 5, 2022):

This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.
此 issue 因为最近没有任何活动已经被标记，如果在此之后的一段时间内仍没有任何活动则会被关闭。感谢您对项目的支持。

<!-- gh-comment-id:1005609729 --> @stale[bot] commented on GitHub (Jan 5, 2022): This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions. 此 issue 因为最近没有任何活动已经被标记，如果在此之后的一段时间内仍没有任何活动则会被关闭。感谢您对项目的支持。

kerem commented 2026-03-13 16:55:54 +03:00

Author

Owner

Copy link

@ADD-SP commented on GitHub (Jan 7, 2022):

This bug has been fixed in v6.1.8 and v10.1.1.

此 bug 已经在 v6.1.8 和 v10.1.1 中修复。

<!-- gh-comment-id:1007127929 --> @ADD-SP commented on GitHub (Jan 7, 2022): This bug has been fixed in `v6.1.8` and `v10.1.1`. 此 bug 已经在 `v6.1.8` 和 `v10.1.1` 中修复。

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

lts

lts-dev

add_sp/refactor-replace-libcurl-with-subreq

current-dev

current

current-dev-backup

v6.1.10

v10.1.2

v6.1.9

v6.1.8

v10.1.1

v10.1.0

v6.1.7

v10.0.1

v10.0.0

v9.0.6

v9.0.5

v6.1.6

v6.1.5

v9.0.4

v9.0.3

v9.0.2

v9.0.1

v9.0.0

v8.0.3

v6.1.4

v8.0.2

v8.0.1

v6.1.3

v8.0.0

v7.1.0

v6.1.2

v7.0.1

v7.0.0

v6.1.1

v6.1.0

v6.0.3

v6.0.2

v6.0.2-beta.1

v6.0.1

v6.0.1-beta.2

v6.0.1-beta.1

v6.0.0

v6.0.0-beta.4

v5.5.1

v6.0.0-beta.2

v6.0.0.beta.3

v6.0.0-beta.1

v5.5.0

v5.4.2

v5.4.2-beta.2

v5.4.2-beta.1

v5.4.1

v5.4.1-beta.1

v5.4.0

v5.4.0-beta.1

v5.3.2

v5.3.1

v5.3.0

v5.3.0-beta.4

v5.3.0-beta.3

v5.3.0-beta.2

v5.3.0-beta.1

v5.2.0

v5.2.0-beta.2

v5.2.0-beta.1

v5.1.1

v5.1.1-beta.1

v5.1.0

v5.0.0

v5.0.0-beta.5

v5.0.0-beta.4

v5.0.0-beta.3

v5.0.0-beta.2

v5.0.0-beta.1

v4.1.0-beta.4

v4.1.0-beta.3

v4.1.0-beta.2

v4.1.0-beta.1

v4.0.0

v4.0.0-beta.2

v3.1.6

v3.2.0-beta.1

v3.1.5

v3.1.4

v3.1.3

v3.1.2

v3.1.1

v3.1.0

v3.1.0-beta-1

v3.0.3-beta-3

v3.0.2

v3.0.3-beta-2

v3.0.3-beta-1

v3.0.2-beta-2

v3.0.2-beta-1

v3.0.1

v3.0.0

v3.0.0-beta-2

v3.0.0-beta-1

v2.1.1

v2.1.0

v2.0.2

v2.0.1

v2.0.1-beta-1

v2.0.0

v2.0.0-beta.1

v1.0.1

v1.0.0

v1.0.0-RC2

v1.0.0-RC1

Labels

Clear labels   

MacOS

  

Nginx

  

OpenResty

  

Tengine

  

bug

  

documentation

  

enhancement

  

needs-investigation

  

pull-request

Mirrored from GitHub Pull Request

  

question

  

stale

  

stale

  

stale

  

timeout

  

wontfix

No labels

MacOS

Nginx

OpenResty

Tengine

bug

documentation

enhancement

needs-investigation

pull-request

question

stale

stale

stale

timeout

wontfix

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

starred/ngx_waf#190

No description provided.