Pourquoi l'indicateur «ne pas fragmenter» est-il défini dans les protocoles https et ssh?

12

J'ai trouvé beaucoup d'informations spécifiant que c'est le cas, cependant, je cherche vraiment la raison derrière cela. Pourquoi est-ce nécessaire? Est-ce nécessaire?

packet-capture packet packet-analyzer ip-fragmentation Aiden Thompson
la source

Réponses:

13

L'indicateur DF indique aux routeurs qui fragmentent normalement le paquet en raison de sa trop grande taille pour le MTU d'un lien (et le remettent potentiellement en panne en raison de cette fragmentation) de laisser tomber le paquet et de renvoyer un paquet ICMP Fragmentation Needed, permettant l'envoi hôte pour tenir compte du MTU inférieur sur le chemin vers l'hôte de destination. Ce processus est appelé « découverte de MTU de chemin ».

Il est généralement préférable de laisser PMTUD seul et de le laisser faire son travail, au lieu d'avoir votre pile TCP traitant des fragments en panne. Cependant, dans certains cas (principalement lorsque l'ICMP nécessaire est bloqué), le PMTUD ne fonctionne pas et la connexion est interrompue.

C'est à ce moment que vous voudrez que le drapeau DF ne soit pas défini - lorsque PMTUD ne peut pas fonctionner correctement et que des problèmes de connexion en résultent.

Shane Madden
la source
1
Y a-t-il une raison pour laquelle le trafic crypté, à savoir. le trafic ssh et https ne doit pas être fragmenté?
Aiden Thompson
5
Voir aussi "Si je vous attrape en train de bloquer ICMP, je vais vous traquer, vous éviscérer et vous étrangler avec vos propres entrailles"
voretaq7
1
@AidenThompson Généralement, laisser PMTUD faire son travail au lieu de laisser la fragmentation se produire est meilleur pour les performances de toutes les connexions TCP, y compris SSH et HTTPS.
Shane Madden
2
(C'est-à-dire, cela n'a rien à voir avec le chiffrement et tout à voir avec TCP.)
C'est l'une de ces choses sur lesquelles les mondes serveur et réseau ne s'entendront jamais.
Smithers