文章目录
-
-
-
- MTU 引用
- MTU 介绍
-
- 定义
- MTU 与 VLAN Tag
- VLAN Tag 处理方式
- IP分片
- 可靠传输
- MTU 之 PMTUD
-
- PMTUD介绍
- IP头的DF分片位
-
- DF = 0 可以分片
- DF = 1 不可以分片
- 注意事项
-
-
MTU 引用
以太网最初对报文长度没有限制,网络层最大可以接收65535个字节,但是以太网对于长报文无法可靠地传输,而且丢失后重传也会占用大量的网络资源,而将报文限制在一定的长度,以太网可以将报文大概率传输到目的地,于是就有了MTU
MTU 介绍
定义
Maximum Transmission Unit,即最大传输单元,以太网的数据链路层对网络层数据包的长度会有一个限制,其最大值默认是1500字节,链路层的这个特性称为MTU,由硬件网卡设置,是
数据链路层对网络层的硬性限制。
MTU表示网络层必须将发给网卡API的包 <= 1500byte,否则调用失败,这个1500字节数据长度是针对网络层的,不包含链路层的头部和尾部。
MTU 与 VLAN Tag
如果有的以太网网卡配置了VLAN Tag,通过此网卡的数据帧会携带VLAN Tag,VLAN Tag要算在链路层的Payload里,MTU = 1500里包含802.1Q的头部VLAN Tag(如下图)
当网卡配置VLAN Tag时, VLAN Tag + Data <= MTU ,有时VLAN Tag不只有一个,可能是双标签,那这个VLAN Tag就是8个字节。这时候的MTU如果还是1500,链路层的Payload就不可能是1500了
VLAN Tag 处理方式
可以把添加802.1Q的接口设置MTU=1504或1508(网卡设置,硬件操作)
IP分片
既然链路层的Payload有MTU限制,就意味着
网络层下发到链路层的数据不能超过MTU,如果超过了MTU,就需要在网络层分片,切成<=MTU的IP数据包
网络层如果发现链路层的MTU小于IP包的大小(网络层可以调用函数获取链路层信息),也并不会立刻开始分片,还需要看IP包的是否允许分片位DF(Don’t Fragment)(
在下方内容PMTUD处详述),如果允许分片,就会分成多个ID一样的IP包。
可靠传输
对于UDP包,如果MTU = 1500,那么udp Payload最大值是多少,才可以不用分片?
MTU(1500) = IPHeader(20) + UDPHeader(8) + Payload
Payload = 1500 -20 - 8 = 1472
如果UDP包的Data <= 1472个字节,UDP包(UDPHeader+Data)在网络层不用分片,直接封装上IPHeader发往链路层,如果UDP包的Data > 1472,那么UDP包(UDPHeader + Data)需要在网络层分片 ,如何分片?
网络层并不会在每个分片里复制一次UDP头,它是把完整的UDP包切开,加上IP头发送出去,除了第一个分片有UDP头,后面的分片都不包含UDP头
目的主机的网络层接收到多个UDP分片包后,网络层必须重组才能交给上层,为什么?
因为多个分片包只有第一个是有UDP头的,它可以根据UDP头里的端口号通知相应的应用取走,但是后面的分片包由于没有UDP头,传输层无法把分片包交给正确的应用程序。所以UDP分片包必须在
网络层重组成一个完整的UDP包,交给传输层处理(IP分片会分成多个ID一样的IP包,根据ID重组)。
- 不可靠传输
UDP如果某些分片包没有被目的主机的网络层接收到,UDP包重组失败,接收方会丢弃整个数据包,这是UDP不可靠传输的一个表现。
对于UDP来说,一般选择576个字节通信
- 可靠传输
TCP包重组失败,该包会被重传,保证可靠传输
MTU 之 PMTUD
PMTUD介绍
PMTUD:Path MTU Discovery
收发双方在TCP协议通信时,根据取较小MSS的原则,理论上
避免了发送方在网络层分片,接收方在网卡由于超过MTU而无法接收的情况。
但是,以太网通信不是只有两台主机,它们通信的途中还有路由器和交换机,路由器和交换机都有自己的MTU,主机的网络层可以分片,路由器的网络层也可以分片。
就像木桶理论一样,木桶能装多少水取决于最短的那块,网络通信的路径上决定IP包大小的,取决于源主机、目的主机、路由器中MTU最小的那个,这就是PMTUD。
路由器和交换机都有自己的MTU,如果数据帧超过了它们的MTU,在从出口发出去时,需要进行分片, 网络层能否分片IP包,需要根据IP头的DF分片位决定 。
IP头的DF分片位
DF = 0,表示可以分片
DF = 1,表示不可以分片
DF = 0 可以分片
下图设定,设定左右两台主机在TCP握手阶段,确定了MSS = 1480 - 20 - 20 = 1440,设定发送的IP包就是1440 + 20 + 20 = 1480,如果是直连,这样的IP包在发出去的时候不会分片,而接收端也可以接收到。
但是当IP包到达路由器时,需要从另一个接口发出,而接口MTU为1450,必须分片才能发送,这时候
路由器就会检查IP包的DF位,以确定这个IP包是否支持分片。
发现DF位是0,表示可以分片,就把这个IP包分成两份,1450和30,由于第一份1450是有IP头的,可以直接下发到链路层发出,而第二份30是没有IP头的,需要加上IP头20个字节,形成一份新的IP包,最终大小是50个字节,同样下发到链路层发出
DF = 1 不可以分片
如下图,与上面DF = 0的情况不同的是,路由器发现IP包需要分片,然后查看IP包的DF位,发现值为1,显示不能分片,此时路由器只能丢弃此IP包,同时给源主机回复一个ICMP目的不可达的消息,
Type = 3,code = 4。
- 上图中code = 4的含义
同时,在ICMP消息里还会
携带路由器的MTU的大小,告知源主机这个路由器的MTU是多少,这样源主机就可以继续调整自己的MSS值,如果有多个路由器,多个路由器都会这样操作,最终确定一个这条路径上的最小MTU,这就是PMTUD。
另外,ICMP目的不可达消息,还会把丢弃的IP包的各层报头也放在里面(如下图)
注意事项
路由器的MTU只针对网络通信数据出口,接收数据不受限制
PMTUD只有TCP支持,UDP并不支持
给大家分享一份全套的网络安全>网络安全学习资料,给那些想学习 网络安全>网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全>网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全>网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全>网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全>网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全>网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
本文转自 https://blog.csdn.net/qq_42576109/article/details/127915967?ops_request_misc=%257B%2522request%255Fid%2522%253A%252248b924b356f68c822112663fb0b43b88%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=48b924b356f68c822112663fb0b43b88&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduend~default-2-127915967-null-null.142v101pc_search_result_base3&utm_term=%E4%BC%A0%E8%BE%93%E5%8D%95%E5%85%83&spm=1018.2226.3001.4187,如有侵权,请联系删除。
