IPv6分片？不存在的！

---

IPv6分片？點(diǎn)節(jié)間中于在：為何不存在于中間節(jié)點(diǎn)？

近日，我?guī)椭晃慌?/span>友解決了IPv6的分片問題，這讓我有了分享一些關(guān)于IPv6分片機(jī)制的靈感。IPv6的defrag處理是在PREROUTING的ipv6_defrag這個(gè)HOOK函數(shù)中進(jìn)行的。Linux實(shí)現(xiàn)中，如果加載了Netfilter并配置了處理4層/7層信息的規(guī)則，就需要先將分片進(jìn)行重組，這與IPv4相同。

IPv6分片的設(shè)計(jì)理念

在IPv6網(wǎng)絡(luò)中，只允許源分片，不允許中間轉(zhuǎn)發(fā)節(jié)點(diǎn)進(jìn)行分片。這種設(shè)計(jì)決策是因?yàn)榉制瑢儆诋惓Ｇ闆r，不應(yīng)該減慢正常處理。IPv6的16位凈荷長(zhǎng)度字段是40字節(jié)IPv6首部之后所有內(nèi)容的字段長(zhǎng)度。IPv4的總長(zhǎng)度把首部計(jì)算在內(nèi)，而IPv6沒有。本字段為0表示實(shí)際長(zhǎng)度超過(guò)16位字段的表示范圍，于是放在一個(gè)特大凈荷選項(xiàng)中。

IPv6分片的優(yōu)勢(shì)

IPv6不支持在中途被分片和重組，即不能在路由器和防火墻上被分片，從而減輕了路由器的負(fù)擔(dān)。IPv6拋棄了ARP協(xié)議，所以關(guān)于ARP的攻擊都不存在了，但也引入了一些新的問題。

IPv6分片的實(shí)現(xiàn)機(jī)制

IPv6并沒有完全放棄分片機(jī)制，只是用一種完全不同的機(jī)制來(lái)實(shí)現(xiàn)分片。熟悉IPv4的都知道IP分片這個(gè)特性，它在某種意義上讓應(yīng)用程序忘記了數(shù)據(jù)包還有大小這個(gè)屬性。IPv6分片報(bào)文，研究IPv6協(xié)議頭部的時(shí)候可以使用。

IPv6分片的原因

IPv6只能在源端分片的原因是IPv6的設(shè)計(jì)理念。IPv6在設(shè)計(jì)時(shí)就考慮到了簡(jiǎn)化頭部信息和提高路由器效率的需求。IPv6頭部中不包含分片信息，而是單獨(dú)設(shè)計(jì)一個(gè)頭存放分片信息。

IPv6分片的應(yīng)用場(chǎng)景

例如，可以使用~thc-ipv6-fragment~來(lái)創(chuàng)建分片攻擊，或者~thc-ipv6-replay~進(jìn)行重放攻擊，這些都是識(shí)別潛在安全漏洞的方法。IPv6分片報(bào)文，研究IPv6協(xié)議頭部的時(shí)候可以使用。

IPv6分片機(jī)制與IPv4有所不同，它通過(guò)在源端進(jìn)行分片和重組，減輕了中間節(jié)點(diǎn)的負(fù)擔(dān)，提高了網(wǎng)絡(luò)效率。IPv6分片的設(shè)計(jì)理念和應(yīng)用場(chǎng)景都體現(xiàn)了其對(duì)網(wǎng)絡(luò)性能的優(yōu)化。歡迎用實(shí)際體驗(yàn)驗(yàn)證我們的觀點(diǎn)。

分片 可以使用 設(shè)計(jì)理念 不存在 跳轉(zhuǎn)到 節(jié)間 是在 是因?yàn)?/a> 放在 都不 能在 減輕了 但也 彈出 不支持 時(shí)就 跳轉(zhuǎn) 它在 這些都是 來(lái)實(shí)現(xiàn)

 2025-03-16