分片是分組交換的思想體現，也是IP協議解決的兩個主要問題之一。在IP協議中的分片演算法主要解決不同物理網路最大傳輸單元(MTU) 的不同造成的傳輸問題。但是分組在傳輸過程中不斷地分片和重組會帶來很大的工作量還會增加一些不安全的因素。我們將在這篇小論文中討論IP分片的原因、原理、實現以及引起的安全問題。

一、什麼是IP分片

IP分片是網路上傳輸IP報文的一種技術手段。IP協議在傳輸資料包時，將資料報文分為若干分片進行傳輸，並在目標系統中進行重組。這一過程稱為分片（fragmentation）。

二、為什麼要進行IP分片

每一種物理網路都會規定鏈路層資料幀的最大長度，稱為鏈路層MTU(Maximum Transmission Unit).IP協議在傳輸資料包時，

三、IP分片原理及分析

分片和重新組裝的過程對傳輸層是透明的，其原因是當IP資料報進行分片之後，只有當它到達目的站時，才可進行重新組裝，且它是由目的端的IP層來完成的。分片之後的資料報根據需要也可以再次進行分片。

IP分片和完整IP報文差不多擁有相同的IP頭，ID域對於每個分片都是一致的，這樣才能在重新組裝的時候識別出來自同一個IP報文的分片。在IP頭裡面，16位識別號唯一記錄了一個IP包的ID，具有同一個ID的IP分片將會重新組裝；而13位片偏移則記錄了某IP片相對整個包的位置；而這兩個表中間的3位標誌則標誌著該分片後面是否還有新的分片。這三個標誌就組成了IP分片的所有資訊(將在後面介紹)，接受方就可以利用這些資訊對IP資料進行重新組織。

1、標誌欄位的作用

標誌欄位在分片資料報中起了很大作用，在資料報分片時把它的值複製到每片中的標誌欄位的其中一個位元稱作“不分片”位，用其中一個位元來表示“更多的片”。除了最後一片外，其他每個組成資料報的片都要把該位元置1。片偏移欄位指的是該片偏移原始資料報開始處的位置。另外，當資料報被分片後，每個片的總長度值要改為該片的長度值。如果將標誌欄位的位元置1，則IP將不對資料報進行分片，若在某個中間路由器上需要對其分片，則僅僅把資料報丟棄併發送一個ICMP不可達差錯報文給源主機。如果不是特殊需要，則不應該置1；最右位元置1表示該報文不是最後一個IP分片。故意傳送部分IP分片而不是全部，則會導致目標主機總是等待分片消耗並佔用系統資源。某些分片風暴攻擊就是這種原理。這裡以乙太網為例，由於乙太網傳輸電氣方面的限制，每個乙太網幀都有最小的大小64bytes最大不能超過1518bytes

下面是標誌位在IP首部中的格式以及各個標誌的意義：

   R：保留未用；DF：Don’t Fragment,“不分片”位，如果將這一位元置1，IP 層將不對資料報進行分片；MF：More Fragment,“更多的片”，除了最後一片外，其它每個組成資料報的片都要把位元置1；Fragment Offset：該片偏移原始資料包開始處的位置。偏移的位元組數是該值乘以8。

2、MTU原理

當兩臺遠端PC需要通訊的時候，它們的資料需要穿過很多的路由器和各種各樣的網路媒介才能到達對端，網路中不同媒介的MTU各不相同，就好比一長段的水管，由不同粗細的水管組成(MTU不同)通過這段水管最大水量就要由中間最細的水管決定。

對於網路層的上層協議而言(這裡以TCP/IP協議族為例)它們對“水管”粗細不在意，它們認為這個是網路層的事情。網路層IP協議會檢查每個從上層協議下來的資料包的大 小，並根據本機MTU的大小決定是否作“分片”處理。分片最大的壞處就是降低了傳輸效能，本來一次可以搞定的事情，分成多次搞定，所以在網路層更高一層(就是傳輸層) 的實現中往往會對此加以注意!有些高層因為某些原因就會要求我這個麵包不能切片，我要完整地面包，所以會在IP資料包包頭裡面加上一個標籤:DF(Don‘t Fragment)。這樣當這個IP資料包在一大段網路(水管裡面)傳輸的時候，如果遇到MTU小於IP資料包的情況，轉發裝置就會根據要求丟棄這個資料包。然後返回一個錯誤資訊給傳送者。這樣往往會造成某些通訊上的問題，不過幸運的是大部分網路鏈路MTU都是1500或者大於1500(僅X.25網路的576和點對點網路的296小於1500)。

對於UDP協議而言，這個協議本身是無連線的協議，對資料包的到達順序以及是否正確到達並不關心，所以一般UDP應用對分片沒有特殊要求。

對於TCP協議而言就不一樣了，這個協議是面向連線的協議，對於TCP協議而言它非常在意資料包的到達順序以及是否傳輸中有錯誤發生。所以有些TCP應用對分片有要求---不能分片(DF)。

3、MSS的原理

MSS(Maxmum Sigmentation Size)就是TCP資料包每次能夠傳輸的最大資料分段。為了達到最佳的傳輸效能TCP協議在建立連線的時候通常要協商雙方的MSS值，這個值TCP協議在實現的時候往往用MTU值代替(需要減去IP資料包包頭的大小20位元組和TCP資料段的包頭20位元組)所以往往MSS為1460。通訊雙方會根據雙方提供的MSS值的最小值確定為這次連線的最大MSS值。

    當IP資料報被分片後，每一片都成為一個分組，具有自己的IP首部，並在選擇路由時與其他分組獨立。這樣，當資料報的這些片到達目的端時有可能會失序，但是在IP首部中有足夠的資訊讓接收端能正確組裝這些資料報片。

    儘管IP分片過程看起來是透明的，但有一點讓人不想使用它：即使只丟失一片資料也要重傳整個資料報。因為IP層本身沒有超時重傳的機制——由更高層來負責超時和重傳（TCP有超時和重傳機制，但UDP沒有。一些UDP應用程式本身也執行超時和重傳）。當來自TCP報文段的某一片丟失後，TCP在超時後會重發整個TCP報文段，該報文段對應於一份IP資料報。沒有辦法只重傳資料報中的一個數據報片。事實上，如果對資料報分片的是中間路由器，而不是起始端系統，那麼起始端系統就無法知道資料報是如何被分片的。就這個原因，經常需要避免分片。

四、IP分片演算法的原理

分片重組是IP層一個最重要的工作，其處理的主要思想：當資料包從一個網路A進入另一個網路B時，若原網路的資料包大於另一個網路或者介面的MTU長度，則需要進行分片(若設定DF為1，則丟棄，並回送ICMP不可達差錯報文)。因而在IP資料包的報頭有若干標識域註明分片包的共同標識號、分片的偏移量、是否最後一片及是否允許分片。傳輸途中的閘道器利用這些標識域進可能的再行分片，目有主機把收到的分片進行重組以恢重資料。因此，分片包在經過網路監測裝置、安全裝置、系統管理裝置時，為了獲取資訊、處理資料，都必須完成資料包的分片或重組。

五、IP分片的安全問題

IP分片是在網路上傳輸IP報文時常採用的一種技術，但是其中存在一些安全隱患。Ping of Death, teardrop等攻擊可能導致某些系統在重組IP分片的過程中宕機或者重新啟動。一些IP分片攻擊除了用於進行拒絕服務攻擊之外，還常用於躲避防火牆或者網路入侵檢測系統的一種手段。部分路由器或者基於網路的入侵檢測系統（NIDS），由於IP分片重組能力的欠缺，導致無法進行正常的過濾或者檢測。

介紹一下Tiny fragment 攻擊：