原文 http://www.jianshu.com/p/741cb12ab0c9

测试环境: 利用iOS的NE从TUN抓取IP packets,如下代码分析ip包:

            uint16_t iphid = IPH_ID(iphdr);
            uint16_t iphflagoff = ntohs(IPH_OFFSET(iphdr));
            uint16_t iphoff = iphflagoff & IP_OFFMASK;
            uint8_t iphflag = iphflagoff >> 13;
            NSLog(@"iphid=%02x, off=%02x, flag=%02x",iphid,iphoff,iphflag);

这儿iphdr是ip包首部,iphflagoff是flag和off所占的16bit。IP_OFFMASK是0x1fffU。

iphoff为实际的offset值

iphflag为flag的3个bit

如果有分片flag不为0,且分别中的包flag为1.

注:flag三个bit分别为 0(保留); 0(可分片)1(不可分片);0(最后一个分片的包)1(分片中的包)

可用这三个mask分别取得:

#define IP_RF 0x8000U        /* reserved fragment flag */

#define IP_DF 0x4000U        /* dont fragment flag */

#define IP_MF 0x2000U        /* more fragments flag */

因为前两个bit通常为0(第2bit不可分片为1是什么情况不了解),我直接>>13就是第3个bit,相当于直接&IP_MF。

测试,我发了一个3003的udp数据(payload,不包含udp首部的8字节),MTU为1500(默认值)

iphid=5cff, off=00, flag=01, len=1500

iphid=5cff, off=b9, flag=01, len=1500

iphid=5cff, off=172, flag=00, len=71

看这三个分包的id是相同的,说明他们是同一个ip包拆分的,注意他们是不一定按顺序到达的。

第一个分包,长度为1500,减去20字节的ip首部和8字节的udp首部,payload数据为1472字节,注意因为offset是以8字节为单位的,所以payload数据(加上udp首部)也必须是8字节的整数倍,这里1472=8*184。所以是可以的。然后第二个分包就应该从185位置开始,看一下0xb9正好就是185。第二个分包的playload为1500-20 = 1480字节,因为只有第一个分包包含udp首部,ip分包对于ip首部后面的数据都是透明的。因为一共3003字节,现在还剩下3003-1472-1480=51个字节需要发送,所以还要发第3个分包。

第三个分包,flag为0说明后面没有分包了,长度为71,正好是20+51。offset为0x172,即370*8=2960=1472+1480+8,就是发送的第三段payload数据的便宜。始终要注意分包是以8字节为单位的。

再测试一下,把MTU改为1600会怎么样,第一个分包会是1600大小吗?

看下发送的log:

iphid=e2be, off=00, flag=01, len=1596
iphid=e2be, off=c5, flag=00, len=1455

第一个包大小为1596!为啥?MTU不是1600吗,4个字节去哪儿了??

回忆一下上面讲的,ip分包中payload大小(包括udp首部)必须是8的整数倍。1600-20=1580,1580/8=197,减去一个udp首部的8, 实际payload可以发196个8。因此第一个分包大小为20+8+196*8=1596,也可以这么算20+197*8=1596,因为实际udp的8个字节首部也算作ip的payload的。

因此第一个分包少了4字节是因为加上4字节就不满足8倍数payload的条件了,如果多4字节是能满足,但是超过MTU了也不行,所以分包大小为不大于MTU的8的整数倍的字节数。

再看第二个包,off为0xc5即197,没错,就是payload数据中(不算udp header)的第197个8。然后1455=20+(3003-196*8)。发送的payload是从197*8开始的,3003字节剩余的1435字节。

OK,总结几点:

1)MTU为IP包的最大值,但IP分包可能达不到这个值。分包大小为不大于MTU的8的整数倍的字节数

2)IP分包将IP首部后面的所有数据进行分割,并不区别UDP或TCP首部,且分割以8字节为单位。因此只有第一个分包含有UDP/TCP首部。

3)offset是以8字节作为单位的,因此只有13个bit的offset可以表示2^13 * 8 = 65536个字节的偏移,而IP和UDP的最大大小都64k-1,因此足够用了。这里其实是以牺牲偏移的颗粒度为代价换取偏移值的存储空间。

补充一点,虽然通过设置TUN的MTU,可以控制分包大小和数量。但是MTU也不能乱设置的,比如说MTU设置为3200,足够发送我们3003+28的包,log如下:

iphid=de2d, off=00, flag=00, len=3031

确实没有分包,ip包大小为3031。但是我们发现这个包最终并没有被发送出去。

这是因为链路中的MTU小于3031。正常以太网内的MTU是1500,有些链路甚至更小,通常internet中支持的MTU至少为576(来源于512+xxxhead),所以正常UDP发送数据576-28=548以内是没问题的。

实际能发送多大的数据就要看实际情况测试了,我简单测试了一下用例环境,1000多的payload是没问题的,1400就不行了

ip分包研究-以UDP为例的更多相关文章

  1. 以太网数据包、IP包、TCP/UDP 包的结构(转)

    源:以太网数据包.IP包.TCP/UDP 包的结构 版本号(Version):长度4比特.标识目前采用的IP协议的版本号.一般的值为0100(IPv4),0110(IPv6). IP包头长度(Head ...

  2. 一些重要的计算机网络协议(IP、TCP、UDP、HTTP)

    一.计算机网络的发展历程 1.计算机网络发展 与其说计算机改变了世界,倒不如说是计算机网络改变了世界.彼时彼刻,你我都因网络而有了交集,岂非一种缘分? 计算机与网络发展大致经历如下过程:

  3. TCP/IP具体解释--TCP/UDP优化设置总结& MTU的相关介绍

    首先要看TCP/IP协议,涉及到四层:链路层,网络层.传输层,应用层. 当中以太网(Ethernet)的数据帧在链路层 IP包在网络层 TCP或UDP包在传输层 TCP或UDP中的数据(Data)在应 ...

  4. TCP/IP协议 | TCP协议 | UDP协议 | 三次握手四次挥手

    TCP/IP协议不仅仅指的是TCP 和IP两个协议,而是指一个由FTP.SMTP.TCP.UDP.IP等协议构成的协议簇, 只是因为在TCP/IP协议中TCP协议和IP协议最具代表性,所以被称为TCP ...

  5. 计算机网络-数据结构-MAC帧头-IP头-TCP头-UDP头

    第0章 数据是如何进行一步步的封装的 第一章:mac帧头定义 帧头数据结构的定义: 一.MAC帧头定义 /*数据帧定义,头14个字节,尾4个字节*/ typedef struct _MAC_FRAME ...

  6. 使用Python计算IP、TCP、UDP校验和

    IP数据报的校验: IP数据报只需要对数据头进行校验,步骤如下: 将接收到的数据的checksum字段设置为0 把需要校验的字段的所有位划分为16位(2字节)的字 把所有16位的字相加,如果遇到进位, ...

  7. 网络中TCP、IP、MAC、UDP的头部格式信息

    TCP头部格式 字段名称 长度(比特) 含义 TCP头部(20字节~) 发送方端口号 16 发送网络包的程序的端口号 接收方端口号 16 网络包的接收方程序的端口号 序号(发送数据的顺序编号) 32 ...

  8. Sendip 命令行发包工具,支持IP、TCP、UDP等

    Sendip是一个linux平台的命令行发数据包工具,目前(2018年2月)支持的协议有ipv4.ipv6.icmp.tcp.udp.bgp.rip.ntp,作者表示其他协议将会后面支持,当他有空写的 ...

  9. [TCP/IP] TCP流和UDP数据报之间的区别

    TCP流和UDP数据报之间的区别 1.TCP本身是面向连接的协议,S和C之间要使用TCP,必须先建立连接,数据就在该连接上流动,可以是双向的,没有边界.所以叫数据流 ,占系统资源多 2.UDP不是面向 ...

随机推荐

  1. Powerdesiger使用技巧

    1.问题:使用CDM在生成LDM文件时,每次都生成Name(LDM)1,Name(LDM)2这样 , 同时遇到一个莫名其妙的问题,就是LDM或者PDM生成到了整个工程外的目录下 疑问回答:是因为原有的 ...

  2. Python 字符串连接问题归结

    一.概述 Python 字符串连接场景较为普遍.由于编者对 Java 等语言较为熟悉,常常将两者语法混淆. 加之,Python 语法较为灵活.例如,单单实现字符串连接,就有数种方法.在此,一并归结! ...

  3. INFO hdfs.DFSClient: Exception in createBlockOutputStream java.net解决办法

    自己安装好Hadoop2.7.x之后,发现dfs中的/bin/hadoop fs -put命令不能够使用,报错如下: [hadoop@master bin]$ ./hadoop fs -put ../ ...

  4. Linux yum源地址

    ----------------------------------Linux yum源地址------------------------------ Zabbix 3.0 yum源 rpm -iv ...

  5. 【原创】无线破解Aircrack-ng套件详解(一)--airmon-ng与airodump-ng

    一:Aircrack-ng详解 1.1 Aircrack-ng概述 Aircrack-ng是一款用于破解无线802.11WEP及WPA-PSK加密的工具,该工具在2005年11月之前名字是Aircra ...

  6. JMeter学习(十四)jmeter_断言使用

    先说一下使用断言的目的:在request的返回层面增加一层判断机制.因为request成功了,并不代表结果一定正确.类似于QTP中的检查点检查点.断言的使用方法: step_1:在你选择的Sample ...

  7. cookie 与 session 的区别详解

    [转]cookie 与session 的区别详解 二者的定义: 当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择,都纪录下来.当 ...

  8. “玲珑杯”ACM比赛 Round #13 B -- 我也不是B(二分排序)

    题意:开始有一个空序列s,一个变量c=0,接着从左往右依次将数组a中的数字放入s的尾部,每放一个数字就检测一次混乱度K,当混乱度k大于M时就清空序列并让c=c+1 K = Bi * Vi(1<= ...

  9. eclipse格式化代码快捷键失效解决的一个基本方法

    eclipse格式化代码的快捷键Ctrl+Shift+F,是比较常用的一个快捷键之一. 但是用到时却发现按了也没有反应,百度了说是跟搜狗输入法的快捷键冲突了. 搜狗输入法的快捷键Ctrl+Shift+ ...

  10. MySQL 触发器简单实例 - 转载

    MySQL 触发器简单实例 触发器:可以更新,删除,插入触发器,不同种类的触发器可以存在于同一个表,但同种类的不能有多个.一个更新.一个删除是可以共存的. ~~语法~~ CREATE TRIGGER  ...