8.5 MD5选项

最新推荐文章于 2023-07-13 15:29:59 发布
原创 最新推荐文章于 2023-07-13 15:29:59 发布 · 4.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux内核 #tcp

TCP MD5选项通过在BGP协议的TCP报文段中携带MD5摘要,增强安全性,防止报文伪造。RFC 2385定义了该选项,要求每个报文携带16字节的digest。在Linux内核中,需启用CONFIG_TCP_MD5SIG编译选项,并使用TCP_MD5SIG socket选项导入密钥。应用双方需导入对方地址及共享密钥以启用MD5选项进行安全通信。

8.5.1 选项功能

  TCP MD5选项用于强化BGP协议的安全性,其基本原理是在TCP报文段的选项中携带MD5摘要。这个摘要的行为类似于这个报文的签名,其中包含这只有通信双方才能理解的信息。如果BGP协议使用TCP作为其传输层协议,使用MD5选项会有效减少安全隐患。

8.5.2 协议规范

  TCP MD5选项的规范由RFC 2385提出。

  每一个TCP报文段都应该携带MD5选项(包含一个16字节的MD5 digest)。MD5算法的输入数据如下(严格按照顺序):

(1)TCP伪首部(源IP,目的IP,填充0的协议号,报文长度)

(2)TCP首部,不包含选项,checksum计为0

(3)TCP数据段(如果有)

(4)密钥或口令,这个需要TCP通信双方和连接规范都知晓

  接收方收到TCP报文时,必须根据报文的信息以及自己的密钥来计算digest,并与报文中的digest进行比较。如果比较失败则必须丢弃报文,并且不能产生任何响应。这样就大大增加了攻击者通过伪造TCP报文实施对BGP协议的攻击的难度。

8.5.3 开启方法

  Linux内核需要开启CONFIG_TCP_MD5SIG编译选项才能支持TCP MD5选项功能。应用进程还需要使用TCP_MD5SIG socket选项导入密钥:

struct tcp_md5sig cmd;
...
setsockopt(sockfd, SOL_TCP, TCP_MD5SIG,  &cmd, sizeof(cmd));
  其中struct tcp_md5sig的定义为: 
191 #define TCP_MD5SIG_MAXKEYLEN    80
192 
193 struct tcp_md5sig {
194     struct __kernel_sockaddr_storage tcpm_addr; /* address associated */
195     __u16   __tcpm_pad1;                /* zero */
196     __u16   tcpm_keylen;                /* key length */
197     __u32   __tcpm_pad2;                /* zero */
198     __u8    tcpm_key[TCP_MD5SIG_MAXKEYLEN];     /* key (binary) */
199 };

  其中tcpm_addr是要通信的服务器的地址(IP地址、端口等),如果sockfd要与N个机器进行通信则需要调用N此setsockopt系统调用来导入相应的地址-密钥对。举个例子,如果A要与B通信,则A需要调用setsockopt来导入B的地址和一个密钥Key,而B也需要调用setsockopt来导入A的地址和与A相同的密钥Key,然后双方才能使用MD5选项进行通信。

8.5.4 内核实现

  TCP_MD5SIG socket选项对应的内核代码为:

2371 static int do_tcp_setsockopt(struct sock *sk, int level,
2372         int optname, char __user *optval, unsigned int optlen)
2373 {
...
2605 #ifdef CONFIG_TCP_MD5SIG
2606     case TCP_MD5SIG:
2607         /* Read the IP->Key mappings from userspace */
2608         err = tp->af_specific->md5_parse(sk, optval, optlen); //指向tcp_v4_parse_md5_keys函数
2609         break;
2610 #endif
...
  tcp_v4_parse_md5_keys用于导入MD5签名的密钥(key): 

1083 static int tcp_v4_parse_md5_keys(struct sock *sk, char __user *optval,
1084                  int optlen)
1085 {  
1086     struct tcp_md5sig cmd;
1087     struct sockaddr_in *sin = (struct sockaddr_in *)&cmd.tcpm_addr;
1088    
1089     if (optlen < sizeof(cmd))
1090         return -EINVAL;
1091    
1092     if (copy_from_user(&cmd, optval, sizeof(cmd)))
1093         return -EFAULT;
1094 
1095     if (sin->sin_family != AF_INET)
1096         return -EINVAL;
1097 
1098     if (!cmd.tcpm_key || !cmd.tcpm_keylen)
1099         return tcp_md5_do_del(sk, (union
最低0.47元/天 解锁文章

200万优质内容无限畅学
linux内核协议栈 TCP层数据发送之TSO/GSO
10-11 8221
TSO相关的内容充斥着TCP的整个发送过程,弄明白其机制对理解TCP的发送过程至关重要,这篇笔记就来看看TSO相关内容。 1. 基本概念 我们知道,网络设备一次能够传输的最大数据量就是MTU,即IP传递给网络设备的每一个数据包不能超过MTU个字节,IP层的分段和重组功能就是为了适配网络设备的MTU而存在的。从理论上来讲,TCP可以不关心MTU的限定,只需要按照自己的意愿随意的将数据包丢给IP,是否需要分段可以由IP透明的处理,但是由于分片会带来效率和性能上的损失,所以TCP在实现时总是会基于MTU设定自
Linux网络编程---TCP三次握手,SYN洪水攻击,
小张的专栏
10-20 5249
TCP三次握手,四次挥手图解,SYN洪水攻击实例。
Linux 34 网络编程socket选项实践
分享各种网络协议知识
07-10 657
SOCKET选项 获取或者设置与某个套接字关联的选项选项可能存在于多层协议中,他们总会出现在最上面的套接字层。当操作套接字选项时,选项位于的层和选项的名称必须给出。为了操作套接字层的选项,应该将层的值指定为SOL_SOCKET。为了操作其它层的选项,控制选项的合适协议号必须给出。例如,为了表示一个选项TCP协议解析,层应该设定为协议号TCP。 用法: int getsockopt(int so...
Linux内核网络-拥塞控制系列(一)
youzhangjing_的博客
07-13 695
没错,这是一种经典网络拥塞控制算法的基础理论,但在实际的实现时不同的拥塞控制算法,有很大差别。如果想安装特定的拥塞控制算法可以通过modprobe命令对指定的拥塞控制算法进行安装,如下所示安装了Vegas拥塞控制算法,此时再查看当前系统中可以使用的拥塞控制算法,多了一个Vegas算法。如果留意的话,在本文开始时提到了很多传统的拥塞控制算法,那么在上面的命令中没有看到,其实有众多拥塞控制算法在Linux中没有进行安装,如下命令。具体如下图所示,通过参数看到当前可支持的拥塞控制算法以及当前使用的拥塞控制算法。
TCP协议传输大文件(使用了md5校验保证传输的正确性)
ma_cainiao_ming的博客
04-10 1138
需求背景: 将嵌入式系统的系统文件下载到下位机的sd卡中并替换旧的系统文件;达到系统升级的目标; 开发环境: 上位机发送端使用windows系统,Labwindow/CVI软件; 下位机接收端使用linux16.04系统,Zynq提供的SDK开发环境; 上位机发送端代码: //声明套接字缓冲区和一次发送文件数据的缓冲区大小 #define SOCKET_BUFF 80000 //套接字缓冲区大小 #define PACK_BUFF 50000
c语言socket编程md5校验,TCP是可靠传输,应用层是否还需要做校验
weixin_39949584的博客
05-19 775
为建立中文知识库加块砖       ——中科大胡不归这是一篇转载的文章,主要回答此文标题“TCP是可靠传输,应用层是否还需要做校验”。1. 背景最近面试了很多的学生,发现很多TCP的新手对于TCP的使用有一些误区,而这些坑也是当初我曾经疑惑过得地方。网上很少有文章对这些问题有过详细的解析,即是有也只是直接给出结论和做法,没有人将其中的来龙去脉讲解清楚,所以我将这些问题的来龙去脉在这一系列的文章中讲...
spice-client-win-x64-8.5-5.el8.tar.gz
最新发布
08-19
标题“spice-client-win-x64-8.5-5.el8.tar.gz”指明了这是一个tar.gz格式的压缩包文件,适用于64位的Windows操作系统,版本号为8.5-5.el8。这个文件很可能包含了针对CentOS 8版本的SPICE客户端相关文件。SPICE...
openssh8.5p1离线升级文件.rar
03-12
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --without-openssl-md5 --with-ssl-dir=/usr/lib64/openssl ``` 编译源代码: ```bash make ``` 然后,作为root用户安装新编译的OpenSSH二进制文件...
myeclipse 8.5插件
08-21
该文件的大小约为825.84 MB,MD5校验值为a9038148dcde9066abc3711bf8ee636c,这有助于确保下载文件的完整性和安全性。 #### 二、MyEclipse 8.5 性能优化 ##### 2.1 内存管理优化 MyEclipse 8.5 占用较大的内存资源...
Eclipse3.5集成 Myeclipse8.5
04-21
### Eclipse3.5集成Myeclipse8.5详解 #### 一、背景介绍 ...**MyEclipse8.5**:下载链接为[http://downloads.myeclipseide.com/downloads/products/eworkbench/galileo/myeclipse-8.5.0-win32.exe]...
quagga源码学习--BGP协议对等体连接tcp md5签名认证选项
weixin_30885111的博客
01-26 315
bgp使用tcp连接,每个bgp实例自身是peer的一个tcp server端,同时也是peer的tcp client端。 1、在bgp_create之后都建立自己的socket服务端开始监听179端口: 1 bgp = bgp_create(as, name); 2 bgp_router_id_set(bgp, &router_id_zebra); 3 ...
传输层协议TCP(1)
weixin_45537413的博客
02-10 1099
1 TCP报文结构 TCP 是一种面向连接的、可靠的、基于字节流的端到端的传输层通信协议(RFC 793)。其报文结构如下。 可以看到,TCP 报文位于 IP 报文头之后,从 IP 的视角来看,TCP 报文属于 IP 的数据(对应着 IP Header 中的“协议”字段等于6)。 进一步打开报文的结构,如下所示: (1)源目端口号 源端口号、目的端口号的数据类型都是无符号整数,各占据16 bits,所以其取值范围都是 0~65535(64...
TCP连接建立系列 — TCP选项解析
zhangskd的专栏
01-06 1万+
TCP选项解析   清零TCP选项。 static inline void tcp_clear_options(struct tcp_options_received *rx_opt) { rx_opt->tstamp_ok = rx_opt->sack_ok = 0; rx_opt->wscale_ok = rx_opt->snd_wscale = 0; r
BGP2
荆盼的博客
08-18 473
Example:Next Hop on a Multiaccess Network The following takes place in a multiaccess netowrk: *Router B advertises network 172.30.0.0 to  router A in EBGP with  a next hop of 10.10.10.2, not 10.10.1
学习网络协议
Fiverya的博客
01-05 1454
IP协议、TCP协议、DNS协议、SMTP协议、IMAP协议、POP协议、HTTP协议、HTTPS协议、SSL协议、TLS协议、ARP协议、NDP协议、ICMP协议、NTLM协议
常用的TCP Option
热门推荐
blakegao的专栏
02-18 3万+
TCP Options   当前,TCP常用的Option如下所示 ———— Kind (Type) Length Name Reference 描述 & 用途 0 1 EOL RFC 793 选项列表结束
TCP/UDP HTTP md5
nculph的专栏
03-16 520
1.TCP 与UDP 区别和联系 如何使用TCP的定义及特点: TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。UDP的定义及特点: UDP—用户数据报协议,是一个简单的面向数据报的运输层协议。提供的是非面向连接的、
linux C语言多文件网络传输(+MD5校验)
Skynet的博客
06-16 1227
linux操作系统了,写了一个C语言的网络文件传输,基于TCP/IP协议,同时加了MD5校验 客户端client.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <fcntl.h> #include <sys/types.h> ...
使用Socket模拟服务端和客户端进行MD5校验
zaoanmiao的博客
08-13 510
因为都是使用的java自己的类,所以搭建普通的java工程即可 1、MD5的工具类 import java.security.MessageDigest; public class MD5Utils { public static String strMD5ByUTF8(String originString){ if (originString != null) { try { MessageDigest md= M
Rocky Linux8.5升级OpenSSH
01-03
### 如何在 Rocky Linux 8.5 上升级 OpenSSH 为了确保系统的安全性,在 Rocky Linux 8.5 中升级 OpenSSH 至最新版本是一个重要的维护工作。以下是详细的步骤说明: #### 准备阶段 确认当前使用的 OpenSSH 版本,可以使用如下命令来查看: ```bash ssh -V ``` #### 更新软件包列表 更新本地的 yum 数据库以获取最新的可用软件包信息: ```bash sudo dnf update -y ``` #### 添加 EPEL 源 由于官方源可能不提供最新的 OpenSSH 版本,因此推荐添加额外的扩展源如 EPEL 来获得更广泛的软件支持: ```bash sudo dnf install epel-release -y ``` #### 安装或编译更高版本的 OpenSSH 如果希望直接从二进制安装,则可以通过以下方式尝试安装来自第三方仓库的安全增强型 SSH 实现或其他社区贡献的新版本;然而对于特定需求或者想要完全掌控配置的情况下可以选择自行下载并编译源码。 ##### 方法一:通过 DNF 安装新版本(假设目标版本为 8.7p1) 先移除旧版本防止冲突: ```bash sudo dnf remove openssh-server openssh-clients -y ``` 接着安装指定版本: ```bash sudo dnf install https://example.com/path/to/openssh-8.7p1.rpm -y ``` 注意这里的 URL 和路径应替换为你实际找到可信来源处提供的 RPM 文件链接[^2]。 ##### 方法二:手动编译安装 当需要自定义选项或是追求绝对最新特性时,可以从官方网站获取 tarball 并按照标准流程进行编译部署: ```bash cd /usr/local/src/ wget http://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.7p1.tar.gz tar zxfv openssh-8.7p1.tar.gz cd openssh-8.7p1 ./configure --prefix=/usr \ --sysconfdir=/etc/ssh \ --with-md5-passwords \ --with-pam \ --with-selinux\ --without-openssl-header-check make && sudo make install ``` 完成上述任一步骤之后记得重启服务使更改生效: ```bash sudo systemctl restart sshd.service ``` 最后再次验证版本号是否正确变更: ```bash ssh -V ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值