什么是 GRE？

封裝的數(shù)據(jù)包——將不受支持的數(shù)據(jù)包放在網(wǎng)絡(luò)支持的數(shù)據(jù)包內(nèi)

GRE 允許使用網(wǎng)絡(luò)通常不支持的協(xié)議，因為數(shù)據(jù)包被包裝在其他確實使用受支持協(xié)議的數(shù)據(jù)包中。要了解其工作原理，請想像一下汽車和渡輪之間的區(qū)別。汽車在陸地上行駛，而渡輪在水上行駛。汽車通常不能在水上行駛，但是可以將汽車裝載到渡輪上。

在這個類比當(dāng)中，地形類型好比是支持某些路由協(xié)議的網(wǎng)絡(luò)，而車輛則好比是數(shù)據(jù)包。GRE 是一種將一種類型的數(shù)據(jù)包裝載到另一種類型的數(shù)據(jù)包中的方式，以便第一個數(shù)據(jù)包可以穿越它通常無法穿越的網(wǎng)絡(luò)，就像一種類型的運輸工具（汽車）被裝載到到另一種類型的運輸工具（渡輪）上，以便穿越原本無法行駛的地形。

例如，假設(shè)一家公司需要在位于兩個不同辦公室的局域網(wǎng)（LAN）之間建立連接。兩個 LAN 都使用最新版本的 互聯(lián)網(wǎng)協(xié)議 IPv6。但是，為了從一個辦公網(wǎng)絡(luò)到達(dá)另一個辦公網(wǎng)絡(luò)，流量必須通過一個由第三方管理的網(wǎng)絡(luò) — 該網(wǎng)絡(luò)有些過時，僅支持較舊的 IPv4 協(xié)議。

借助 GRE，該公司可以將 IPv6 數(shù)據(jù)包封裝在 IPv4 數(shù)據(jù)包中，然后便可通過此網(wǎng)絡(luò)傳輸流量。回到那個類比，IPv6 數(shù)據(jù)包是汽車，IPv4 數(shù)據(jù)包是渡輪，而第三方網(wǎng)絡(luò)則是水。

GRE 隧道是什么意思？

將數(shù)據(jù)包封裝在其他數(shù)據(jù)包中稱為“隧道”。GRE 隧道通常配置在兩個路由器之間，每個路由器的作用好比隧道的一端。路由器設(shè)置為彼此直接發(fā)送和接收 GRE 數(shù)據(jù)包。兩個路由器之間的任何路由器都不會打開封裝的數(shù)據(jù)包；它們僅引用封裝數(shù)據(jù)包外層的標(biāo)頭進行轉(zhuǎn)發(fā)。

為了理解為什么將其稱為“隧道”，我們可以對類比稍作更改。如果汽車需要從山一側(cè)的 A 點繞到另一側(cè)的 B 點，則最有效的方法就是直接穿過大山。但是，普通汽車無法直接穿過堅硬的巖石。因此，汽車必須一直繞著山脈行駛，才能從 A 點到達(dá) B 點。

但不妨想象一下有條隧道穿過了山體�，F(xiàn)在，汽車可以從 A 點直行到 B 點，這要快得多，而且沒有隧道就無法做到。

現(xiàn)在，把 A 點視作一臺聯(lián)網(wǎng)設(shè)備，把 B 點視作另一臺聯(lián)網(wǎng)設(shè)備，再把大山視作兩臺設(shè)備之間的網(wǎng)絡(luò)，將汽車視作需要從 A 點行到 B點的數(shù)據(jù)包。想象一下，這個網(wǎng)絡(luò)不支持 A 點和 B 點設(shè)備需要交換的那種數(shù)據(jù)包類型。就像汽車試圖穿越大山一樣，數(shù)據(jù)包無法直接通過，可能需要通過其他網(wǎng)絡(luò)走上更長的路。

但 GRE 創(chuàng)建了穿過“大山”網(wǎng)絡(luò)的一個虛擬的“隧道”，以允許數(shù)據(jù)包通過。就像隧道為汽車提供了一種直接穿過陸地的方式一樣，GRE（以及其他隧道協(xié)議）也為數(shù)據(jù)包穿過不支持它們的網(wǎng)絡(luò)提供了一種方式。

GRE 標(biāo)頭中包含什么？

通過網(wǎng)絡(luò)發(fā)送的所有數(shù)據(jù)都被分解為較小的部分，稱為數(shù)據(jù)包，所有數(shù)據(jù)包都包括兩部分：有效負(fù)載和標(biāo)頭。有效負(fù)載是數(shù)據(jù)包的實際內(nèi)容，即正被發(fā)送的數(shù)據(jù)。標(biāo)頭包含有關(guān)數(shù)據(jù)包來自何處以及它屬于哪個數(shù)據(jù)包組的信息。每種網(wǎng)絡(luò)協(xié)議都會將標(biāo)頭附加到每個數(shù)據(jù)包上。

GRE 向每個數(shù)據(jù)包添加兩個標(biāo)頭：GRE 標(biāo)頭（4 個字節(jié)長）和 IP 標(biāo)頭（20 個字節(jié)長）。GRE 標(biāo)頭表明封裝數(shù)據(jù)包所使用的協(xié)議類型。IP 標(biāo)頭封裝了原始數(shù)據(jù)包的標(biāo)頭和有效負(fù)載。這意味著 GRE 數(shù)據(jù)包通常包含兩個 IP 標(biāo)頭：一個用于原始數(shù)據(jù)包，另一個由 GRE 協(xié)議添加。僅 GRE 隧道兩端的路由器將引用原始的、非 GRE IP 標(biāo)頭。

GRE 的使用如何影響 MTU 和 MSS 要求？

MTU 和 MSS 是用來限制通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包最大長度的度量單位，就像對過橋車輛限重一樣。MTU 測量數(shù)據(jù)包的總大小，包括標(biāo)頭；MSS僅測量有效負(fù)載。超過 MTU 值的數(shù)據(jù)包將被分成幾段或分解成較小的數(shù)據(jù)包，使之適合在網(wǎng)絡(luò)上傳輸。

像任何協(xié)議一樣，使用 GRE 會在數(shù)據(jù)包原有大小基礎(chǔ)上增加幾個字節(jié)。在數(shù)據(jù)包的 MSS 和 MTU 設(shè)置中必須考慮這個因素。如果 MTU 設(shè)為 1,500 字節(jié)，MSS 設(shè)為 1,460 字節(jié)（考慮到必要的 IP 和 TCP 標(biāo)頭大小），則增加 GRE 24字節(jié)標(biāo)頭將導(dǎo)致數(shù)據(jù)包超過 MTU 限值：

1,460 字節(jié) [有效負(fù)載] + 20 字節(jié) [TCP 標(biāo)頭] + 20 字節(jié) [IP 標(biāo)頭] + 24 字節(jié) [GRE 標(biāo)頭+ IP 標(biāo)頭] = 1,524字節(jié)

因此，數(shù)據(jù)包將被分段。分段會減慢數(shù)據(jù)包傳遞，并增加算力開銷，因為超出 MTU 的數(shù)據(jù)包必須分解然后重新組合。

通過減少 MSS 長度以包含 GRE 標(biāo)頭，可以避免這種情況。如果將 MSS 設(shè)置為 1,436 而不是 1,460，那么，GRE 標(biāo)頭的問題就得到了解決，并且數(shù)據(jù)包不會超過 MTU 值 1,500：

1,436 字節(jié) [有效負(fù)載] + 20 字節(jié) [TCP 標(biāo)頭] + 20 字節(jié) [IP 標(biāo)頭] + 24 字節(jié) [GRE 標(biāo)頭+ IP 標(biāo)頭] = 1,500 字節(jié)

盡管避免了分段，但結(jié)果卻是有效載荷變小，這意味著需要額外的數(shù)據(jù)包來傳遞數(shù)據(jù)。例如，如果目標(biāo)是傳遞 150,000 字節(jié)的內(nèi)容（或大約 150 kB），假設(shè) MTU 設(shè)置為 1,500，且未使用其他 3 層協(xié)議，那么，比較一下使用 GRE 和不使用 GRE 時分別需要多少個數(shù)據(jù)包：

不使用 GRE，MSS 為 1,460： 103 個數(shù)據(jù)包

使用 GRE，MSS 為 1,436： 105 個數(shù)據(jù)包

額外的兩個數(shù)據(jù)包會增加毫秒級的數(shù)據(jù)傳輸延遲。但是，使用 GRE 比不使用 GRE 可以使這些數(shù)據(jù)包選擇更快的網(wǎng)絡(luò)路徑，進而可以彌補損失的時間。

在 DDoS 攻擊中如何使用 GRE？

在分布式拒絕服務(wù)（DDoS）攻擊中 ，攻擊者試圖用垃圾網(wǎng)絡(luò)流量淹沒目標(biāo)服務(wù)器或網(wǎng)絡(luò)，這有點像用虛假的訂單轟炸一家餐館，直到它無法為合法客戶提供服務(wù)。

就像任何網(wǎng)絡(luò)協(xié)議一樣，GRE 可以用來進行 DDoS 攻擊。有史以來最大的 DDoS 攻擊之一發(fā)生在 2016 年 9 月。它針對安全研究人員的網(wǎng)站，并使用 Mirai 僵尸網(wǎng)絡(luò)進行攻擊。該網(wǎng)站被使用 GRE 協(xié)議的數(shù)據(jù)包淹沒。

與某些其他協(xié)議不同，GRE 數(shù)據(jù)包的源無法被偽造或欺騙 。為發(fā)起大型 GRE DDoS 攻擊，攻擊者必須控制僵尸網(wǎng)絡(luò)中大量真實存在的計算設(shè)備。

如何防御 GRE DDoS 攻擊？

天下數(shù)據(jù)CDN可抵御各種網(wǎng)絡(luò)層 DDoS 攻擊 ，包括使用 GRE 的攻擊。天下數(shù)據(jù)CDN通過將天下數(shù)據(jù)全球網(wǎng)絡(luò)的 DDoS 緩解功能擴展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施來保護本地 云和混合網(wǎng)絡(luò)。任何攻擊網(wǎng)絡(luò)流量都會被過濾掉，而不會減慢合法流量。

天下數(shù)據(jù)與全球近120多個國家頂級機房直接合作，提供包括大陸、香港、美國、韓國、日本、臺灣、新加坡、荷蘭、法國、英國、德國、埃及、南非、巴西、印度、越南等國家和地區(qū)的服務(wù)器租用、云服務(wù)器的租用服務(wù)解決方案，詳詢天下數(shù)據(jù)客服電話400-6388-808，官網(wǎng)：m.51huadong.com。

本文鏈接：http://m.51huadong.com/cloundnews/11007616.html