系統(tǒng)自身的后臺(tái)連接會(huì)產(chǎn)生少量 TIME_WAIT（0–13），并且會(huì)在幾秒內(nèi)過(guò)期。這是完全正常的行為。

沖擊階段：溢出前的動(dòng)態(tài)平衡

08:27:38，腳本開始創(chuàng)建連接。不到 30 秒，TIME_WAIT 從 0 上升到約 200，并隨后進(jìn)入平臺(tái)期：

[08:31:37] PHASE=blast | remain=57s  | TIME_WAIT=192

腳本每 2 秒創(chuàng)建約 15 個(gè)連接（約每分鐘 450 個(gè)），而每個(gè) TIME_WAIT 只會(huì)存活 30 秒就被回收。大約 30 秒后，系統(tǒng)進(jìn)入動(dòng)態(tài)平衡：TIME_WAIT 穩(wěn)定在約 200 左右（理論值為 7.5 次/秒 × 30 秒 = 225；略低是因?yàn)椴糠诌B接失?。?。創(chuàng)建與回收保持完美平衡，這就是溢出前的健康狀態(tài)。

溢出瞬間

[08:32:39] PHASE=blast | remain=-5s  | TIME_WAIT=428

腳本使用墻上時(shí)間（date +%s）來(lái)估算溢出倒計(jì)時(shí)，而內(nèi)核的 microuptime() 是單調(diào)時(shí)鐘。經(jīng)過(guò) 49.7 天，兩者會(huì)產(chǎn)生幾十秒的偏差。從完整日志來(lái)看，TIME_WAIT 實(shí)際開始單調(diào)上升是在 remain≈28 秒（約 08:32:06）時(shí)——這才是回收機(jī)制真正停止的時(shí)間點(diǎn)。

連接依然以相同速率被創(chuàng)建，但沒(méi)有任何一個(gè)被回收。

溢出后：TIME_WAIT 只增不減

Machine A 的腳本在溢出后約 50 秒停止，Machine B 則繼續(xù)運(yùn)行了 5 分鐘。兩臺(tái)機(jī)器的監(jiān)控都持續(xù)到手動(dòng)終止。

Machine B 的關(guān)鍵數(shù)據(jù)（腳本在 08:37:55 停止創(chuàng)建連接）：

這就是決定性證據(jù)。在 macOS 中，TIME_WAIT 超時(shí)時(shí)間是 2 × MSL = 30 秒。腳本停止 84 秒后，全部 2,828 個(gè) TIME_WAIT 連接本應(yīng)已經(jīng)歸零。但現(xiàn)實(shí)是，沒(méi)有任何一個(gè)被回收——數(shù)量甚至還在增加，因?yàn)橄到y(tǒng)自身的正常連接也開始不斷堆積。

Machine A（腳本已停止，08:50 手動(dòng)檢查）：

持續(xù)單調(diào)增長(zhǎng)，沒(méi)有任何恢復(fù)跡象。

對(duì)比：溢出前 vs 溢出后

觀測(cè)數(shù)據(jù)：399, 412, 428, 443, 458, 473, 487, 502 ……（單調(diào)增長(zhǎng)）

根本原因：XNU 內(nèi)核中 tcp_now 的 32 位溢出

接下來(lái)解釋為什么會(huì)發(fā)生這個(gè)問(wèn)題，逐行分析 Apple 內(nèi)核源碼。

漏洞分類

這是 TCP 子系統(tǒng)中的 32 位無(wú)符號(hào)整數(shù)計(jì)時(shí)器溢出錯(cuò)誤，具體來(lái)說(shuō)是 TCP 時(shí)間戳計(jì)數(shù)器的溢出。受影響的計(jì)數(shù)器 tcp_now 是內(nèi)核的內(nèi)部 TCP 時(shí)鐘。一旦它停止計(jì)數(shù)，TCP 棧中所有依賴它的定時(shí)器都會(huì)失效。

tcp_now：注定會(huì)溢出的計(jì)數(shù)器

在 XNU 內(nèi)核（Apple 開源項(xiàng)目 apple-oss-distributions/xnu）中，tcp_now 定義在 bsd/netinet/tcp_var.h：

#define TCP_RETRANSHZ   1000           /* TCP 時(shí)間戳的精度，1 毫秒 */

這是一個(gè) 32 位無(wú)符號(hào)整數(shù)，以毫秒為單位遞增，跟蹤自開機(jī)以來(lái)的時(shí)間。每當(dāng) TCP 子系統(tǒng)需要獲取當(dāng)前時(shí)間戳?xí)r，會(huì)調(diào)用 calculate_tcp_clock()（基于 XNU 內(nèi)核源碼分析）：

}

關(guān)鍵在于這一行：(uint32_t)now.tv_sec * 1000。當(dāng)系統(tǒng)運(yùn)行了 4,294,967 秒（約 49.7 天）后，這個(gè)乘法結(jié)果超過(guò)了 uint32_t 的最大值 4,294,967,295。強(qiáng)制轉(zhuǎn)換為 uint32_t 會(huì)導(dǎo)致無(wú)符號(hào)整數(shù)回繞——數(shù)值從接近最大值直接跳回接近零。

為什么 tcp_now 在溢出后會(huì)凍結(jié)

漏洞出現(xiàn)在這一段保護(hù)邏輯中：

}

設(shè)計(jì)意圖很簡(jiǎn)單：“tcp_now 必須只向前移動(dòng)?！痹谡Ｇ闆r下，這段邏輯工作正常。但在溢出瞬間：

比較：4,294,960,000 < 5,000？ → false！

舊值 tmp（接近最大）大于 new 值 current_tcp_now（回繞到接近零），cmpxchg 永遠(yuǎn)不會(huì)執(zhí)行。結(jié)果，tcp_now 鎖定在溢出前的值，再也不會(huì)更新。

內(nèi)核的 TCP 時(shí)鐘徹底停止。

TIME_WAIT 過(guò)期檢查失效機(jī)制

當(dāng) TCP 連接進(jìn)入 TIME_WAIT 狀態(tài)時(shí)，內(nèi)核會(huì)記錄一個(gè)絕對(duì)過(guò)期時(shí)間。在`bsd/netinet/tcp_timer.c`文件中，`add_to_time_wait_locked()`函數(shù)實(shí)現(xiàn)了該邏輯：

}

此處延遲時(shí)長(zhǎng)計(jì)算公式為：延遲 = 2 × TCPTV_MSL = 2 × 15000 = 30000毫秒。

內(nèi)核的垃圾回收函數(shù)`tcp_gc()`會(huì)周期性掃描 TIME_WAIT 隊(duì)列：

}

`TSTMP_GEQ`宏定義在`bsd/netinet/tcp_seq.h`文件中：

#define TSTMP_GEQ(a, b)  ((int)((a)-(b)) >= 0)

這是一種標(biāo)準(zhǔn)的有符號(hào)模運(yùn)算比較方式，專門用于處理序列號(hào)回繞問(wèn)題。正常情況下（`tcp_now`持續(xù)遞增），當(dāng)`tcp_now`大于等于過(guò)期時(shí)間時(shí)，該宏會(huì)返回 true，連接會(huì)被內(nèi)核清理。

但當(dāng)`tcp_now`被凍結(jié)時(shí)：

= -30000 >= 0 ?  → false!

計(jì)算結(jié)果一直是 false，連接永遠(yuǎn)不會(huì)被回收。

完整因果鏈

Application-layer timeouts, services become unreachable

連鎖反應(yīng)：從時(shí)鐘凍結(jié)到 TCP 完全失效

這個(gè)漏洞的致命之處在于靜默失效：不會(huì)觸發(fā)內(nèi)核恐慌、無(wú)錯(cuò)誤日志、無(wú)崩潰報(bào)告。系統(tǒng)表面看起來(lái)完全正常，直到 TCP 服務(wù)徹底癱瘓。

故障演進(jìn)過(guò)程：

1. 溢出后數(shù)分鐘后：TIME_WAIT 連接停止過(guò)期。如果業(yè)務(wù)僅創(chuàng)建少量短連接，數(shù)小時(shí)內(nèi)都無(wú)法察覺(jué)異常；

2. 溢出后數(shù)小時(shí)：TIME_WAIT 連接堆積至數(shù)千個(gè)，系統(tǒng)臨時(shí)端口（macOS 默認(rèn)范圍為 49152~65535，共 16384 個(gè)）開始耗盡；

3. 端口耗盡：新的出站連接無(wú)法綁定本地端口，卡在 SYN_SENT 狀態(tài)并失敗。已建立的長(zhǎng)連接（ESTABLISHED）不受影響，因?yàn)橐颜加枚丝冢?/p>

4. 系統(tǒng)負(fù)載飆升：內(nèi)核持續(xù)消耗 CPU 資源掃描龐大且永不縮減的 TIME_WAIT 隊(duì)列，應(yīng)用不斷重試失敗連接，進(jìn)一步加重負(fù)載；

5. TCP 徹底失效：僅 ICMP 協(xié)議（ping 命令）可用，因?yàn)樗灰蕾?TCP 端口和 TCP 定時(shí)器子系統(tǒng)。

唯一恢復(fù)方案：重啟系統(tǒng) → 重置 tcp_now 為 0，重新開始 49.7 天的倒計(jì)時(shí)。

佐證依據(jù)

RFC 7323 與時(shí)間戳回繞

RFC 7323（高性能 TCP 擴(kuò)展）第 5.4 節(jié)（時(shí)間戳?xí)r鐘）中提到，以 1 毫秒為精度的 32 位時(shí)間戳，大約在 24.8 天（231 ms）后會(huì)發(fā)生符號(hào)位回繞。第 5.5 節(jié)（過(guò)期時(shí)間戳）要求 PAWS 實(shí)現(xiàn)必須在連接空閑超過(guò) 24 天后，將緩存的時(shí)間戳置為無(wú)效。

我們觀測(cè)到的溢出周期是 49.7 天，也就是完整的無(wú)符號(hào)數(shù)回繞周期 232 ms，正好是 RFC 中符號(hào)位回繞周期的兩倍。RFC 討論的是傳輸過(guò)程中對(duì)端 TCP 時(shí)間戳選項(xiàng)的回繞，而不是本地內(nèi)核自身的定時(shí)器變量，后者屬于 XNU 實(shí)現(xiàn)上的缺陷。

社區(qū)中一致的故障現(xiàn)象報(bào)告

蘋果社區(qū)論壇和開源項(xiàng)目中，有多份報(bào)告描述的癥狀與該漏洞完全吻合：

• 蘋果社區(qū)帖子 ：macOS Catalina 下“無(wú)法建立新的 TCP 連接”。新連接進(jìn)入 SYN_SENT 后立即關(guān)閉，已有連接不受影響，只有重啟才能恢復(fù)。

• 蘋果社區(qū)帖子 ：“Mac Pro TCP/IP 停止工作”。TCP 完全失效，但 ping（ICMP）仍然正常。

• Podman 問(wèn)題 ：在 macOS 12 上“podman 虛擬機(jī)在運(yùn)行一段時(shí)間后網(wǎng)絡(luò)連接卡住”。運(yùn)行數(shù)周后，運(yùn)行在 macOS 上的虛擬機(jī)出現(xiàn) TCP 出站失敗，但 ICMP 仍然可用。

這些報(bào)告的共同特征：TCP 失效但 ICMP 正常，只有重啟才能解決，并且發(fā)生在連續(xù)運(yùn)行數(shù)周之后。這與 tcp_now 溢出的預(yù)測(cè)癥狀完全一致。ICMP 不使用 TCP 定時(shí)器子系統(tǒng)，因此不受影響。

影響范圍：哪些設(shè)備會(huì)受影響？

任何同時(shí)滿足以下兩個(gè)條件的 macOS 系統(tǒng)：

1. 連續(xù)運(yùn)行時(shí)間超過(guò) 49 天 17 小時(shí)且未重啟

2. 存在任何 TCP 網(wǎng)絡(luò)活動(dòng)（幾乎所有聯(lián)網(wǎng)的 Mac）

大多數(shù)普通 Mac 會(huì)因?yàn)橄到y(tǒng)更新在 49 天內(nèi)重啟，因此普通用戶很少觸發(fā)此問(wèn)題。但以下場(chǎng)景屬于高風(fēng)險(xiǎn)：

1. 長(zhǎng)期運(yùn)行的服務(wù)器集群（例如我們的 iMessage 監(jiān)控系統(tǒng)）

2. macOS CI/CD 構(gòu)建服務(wù)器（Jenkins、GitHub Actions 自托管運(yùn)行器）

3. Mac Pro 工作站（長(zhǎng)期渲染、編譯或仿真任務(wù)）

4. 托管機(jī)房中的 Mac（遠(yuǎn)程管理，很少重啟）

5. 用作構(gòu)建集群或測(cè)試環(huán)境的 Mac mini 集群

復(fù)現(xiàn) Bug 方法

想在你自己的 macOS 設(shè)備上驗(yàn)證這個(gè)漏洞？只需四步。

步驟 1：計(jì)算溢出時(shí)間

echo "Time until overflow: $((remain/3600))h $((remain%3600/60))m $((remain%60))s"

步驟 2：在溢出前后監(jiān)控 TIME_WAIT 數(shù)量

done

步驟 3：在溢出窗口內(nèi)生成連接

done

步驟 4：觀察現(xiàn)象

停止生成連接，等待 2 分鐘。如果 TIME_WAIT 數(shù)量沒(méi)有下降，說(shuō)明漏洞已復(fù)現(xiàn)。

9.5 小時(shí)后：親眼見(jiàn)證系統(tǒng)癱瘓

溢出后我們沒(méi)有重啟，而是讓兩臺(tái)機(jī)器繼續(xù)運(yùn)行，觀察漏洞自然惡化的全過(guò)程。

溢出后 9.5 小時(shí)的系統(tǒng)狀態(tài)（PDT 18:02）

  Load:         49.74

TIME_WAIT 累積趨勢(shì)

沒(méi)有任何一個(gè) TIME_WAIT 連接被回收。數(shù)量只增不減。

SYN_SENT 堆積：新建連接大量失敗

溢出 9.5 小時(shí)后，兩臺(tái)機(jī)器都積累了 3000 以上的 SYN_SENT 連接，這是 TCP 端口耗盡的典型表現(xiàn)：

• 出站連接卡在三次握手的第一步，無(wú)法申請(qǐng)到端口

• 臨時(shí)端口被永不釋放的 TIME_WAIT 占用

• 只剩下 37–38 個(gè) ESTABLISHED 連接，已有的長(zhǎng)連接仍然正常，但新建連接幾乎無(wú)法建立

• 機(jī)器 B 的系統(tǒng)負(fù)載飆升到 49.74，因?yàn)閮?nèi)核在不斷掃描不斷膨脹的 TIME_WAIT 隊(duì)列，消耗大量 CPU

這與我們預(yù)測(cè)的惡化過(guò)程完全一致：

          → Only recovery: reboot

結(jié)論

一個(gè) 32 位整數(shù)。一段看似無(wú)害的 if (tmp < current_tcp_now) 保護(hù)機(jī)制。49.7 天的等待。就足以埋下一顆定時(shí)炸彈。

這類漏洞非常隱蔽，因?yàn)樗氵^(guò)了所有防御環(huán)節(jié)。它不會(huì)在開發(fā)測(cè)試中被發(fā)現(xiàn)，誰(shuí)會(huì)做連續(xù) 50 天的測(cè)試？它不會(huì)在代碼審查中被標(biāo)記，邏輯看起來(lái)完全合理。它甚至可能在生產(chǎn)環(huán)境中被誤診為網(wǎng)絡(luò)問(wèn)題或硬件故障。只有當(dāng)你剛好盯著一臺(tái)運(yùn)行了 49 天的機(jī)器，并且剛好知道 232 毫秒等于 49.7 天時(shí)，整個(gè)謎題才會(huì)被解開。

我們?cè)诙嗯_(tái)服務(wù)器上復(fù)現(xiàn)了該問(wèn)題，證據(jù)確鑿：溢出前，TIME_WAIT 正常過(guò)期（0–13 個(gè)）；溢出后，TIME_WAIT 永遠(yuǎn)不回收（累積到數(shù)千個(gè)）。tcp_now 被凍結(jié)，內(nèi)核的 TCP 時(shí)鐘停止。其他一切看起來(lái)都正常，直到端口耗盡。

如果你管理長(zhǎng)期運(yùn)行的 macOS 設(shè)備，請(qǐng)記住這個(gè)時(shí)間：

49 天 17 小時(shí) 2 分鐘 47 秒。

我們正在開發(fā)比重啟更好的修復(fù)方案，一個(gè)不需要完整重啟、專門解決 tcp_now 凍結(jié)的臨時(shí)修復(fù)方案。在此之前，請(qǐng)?jiān)跁r(shí)鐘溢出前安排重啟。

【活動(dòng)分享】"48 小時(shí)，與 50+ 位大廠技術(shù)決策者，共探 AI 落地真路徑。"由 CSDN&奇點(diǎn)智能研究院聯(lián)合舉辦的「全球機(jī)器學(xué)習(xí)技術(shù)大會(huì)」正式升級(jí)為「奇點(diǎn)智能技術(shù)大會(huì)」。2026 奇點(diǎn)智能技術(shù)大會(huì)將于 4 月 17-18 日在上海環(huán)球港凱悅酒店正式召開，大會(huì)聚焦大模型技術(shù)演進(jìn)、智能體系統(tǒng)工程、OpenClaw 生態(tài)實(shí)踐及 AI 行業(yè)落地等十二大專題板塊，特邀來(lái)自BAT、京東、微軟、小紅書、美團(tuán)等頭部企業(yè)的 50+ 位技術(shù)決策者分享實(shí)戰(zhàn)案例。旨在幫助技術(shù)管理者與一線 AI 落地人員規(guī)避選型風(fēng)險(xiǎn)、降低試錯(cuò)成本、獲取可復(fù)用的工程方法論，真正實(shí)現(xiàn) AI 技術(shù)的規(guī)?；涞嘏c商業(yè)價(jià)值轉(zhuǎn)化。這不僅是一場(chǎng)技術(shù)的盛宴，更是決策者把握 2026 AI 拐點(diǎn)的戰(zhàn)略機(jī)會(huì)。