Ending the "silent drop": how Dynamic Path MTU Discovery makes the Cloudflare One Client more resilient

Context

기존 네트워크에서 패킷이 MTU 제한을 초과하면 라우터가 ICMP "Destination Unreachable" 메시지를 보내야 하지만, 방화벽이나 미들박스가 이 피드백을 무시하면서 "PMTUD Black Hole"이 발생한다. 결과적으로 송신자는 도착하지 않는 큰 패킷을 계속 보내고 애플리케이션은 타임아웃될 때까지 좀비 상태로 대기하게 된다. 현대의 보안 프로토콜(FIPS 140-2 준수, 암호화 오버헤드)이 추가되면서 패킷 크기가 증가했는데, 구형 인프라는 여전히 고정된 1500바이트 MTU 기대값을 유지하고 있다.

Technical Solution

• RFC 8899 Datagram Packetization Layer PMTUD를 Cloudflare One Client에 구현: ICMP 피드백 의존성 제거
• MASQUE 프로토콜(QUIC 기반) 위에서 능동적 엔드투엔드 네트워크 경로 탐침 수행: 다양한 크기의 암호화 패킷을 Cloudflare Edge로 전송하여 MTU 확인
• 지원하는 MTU 범위의 상한값에서 시작해 중간값까지 이진 탐색 방식으로 정확한 MTU 결정: 프로브 수신 여부로 네트워크 용량 즉시 파악
• 클라이언트의 가상 인터페이스 MTU를 동적으로 재설정: 연결 설정 시 결정된 용량을 주기적으로 검증
• Wi-Fi(1500 바이트)에서 셀룰러 백홀(1300 바이트) 전환 시에도 애플리케이션 세션 중단 없이 자동 적응: 배경에서 투명하게 진행되는 협상

Impact

아티클에 정량적 성능 수치(지연시간 감소, 처리량 증가 등)가 명시되어 있지 않다.

Key Takeaway

레거시 네트워크 피드백 루프의 신뢰성에 의존하기보다 클라이언트가 능동적으로 경로를 탐침하고 동적으로 적응하는 설계를 통해, 사용자가 인지하기 전에 네트워크 병목을 자동 해결할 수 있다. 이는 현대 보안 요구사항과 구형 인프라 간의 괴리를 메우는 핵심 패턴이다.