Wireguard握手交互代码分析

最新推荐文章于 2023-06-21 15:49:37 发布
最新推荐文章于 2023-06-21 15:49:37 发布
阅读量2.8k 收藏 5
点赞数 3
分类专栏: crypto 学习笔记 文章标签: socket linux rawsocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jacicson1987/article/details/121384215
版权

消息结构

握手请求消息
struct message_handshake_initiation {
	struct message_header header;      				// header里只有一个type, 发起0x01
	__le32 sender_index;							// Sender的标识,自定义。
	u8 unencrypted_ephemeral[NOISE_PUBLIC_KEY_LEN]; // 本地临时公钥
    
    // AEAD加密后的本地公钥
	u8 encrypted_static[noise_encrypted_len(NOISE_PUBLIC_KEY_LEN)];  
    // AEAD加密后的时间戳
	u8 encrypted_timestamp[noise_encrypted_len(NOISE_TIMESTAMP_LEN)];
	// macs.mac1为对端公钥计算出的哈希值
    // macs.mac2为空或者cookie计算出的哈希值
    struct message_macs macs;
};
握手响应消息
struct message_handshake_response {
	struct message_header header;     // type = 0x02 
	__le32 sender_index;              // Sender的标识
	__le32 receiver_index;			  // Receiver标识
	u8 unencrypted_ephemeral[NOISE_PUBLIC_KEY_LEN]; // 本地临时公钥
	u8 encrypted_nothing[noise_encrypted_len(0)];   // 可校验的虚无的加密
	struct message_macs macs;		  
};
握手Cookie消息
struct message_handshake_cookie {
	struct message_header header;    // type = 0x03
	__le32 receiver_index;			 // Receiver标识
	u8 nonce[COOKIE_NONCE_LEN];      // 随机数
	u8 encrypted_cookie[noise_encrypted_len(COOKIE_LEN)]; //AEAD加密后的cookie
};
数据传输消息
struct message_data {
	struct message_header header;   //type = 0x04
	__le32 key_idx;
	__le64 counter;
	u8 encrypted_data[];            //AEAD加密后的inner IP pkt
};

交互流程

发送握手请求
static void wg_packet_send_handshake_initiation(struct wg_peer *peer)
{
	struct message_handshake_initiation packet;

	if (!wg_birthdate_has_expired(atomic64_read(&peer->last_sent_handshake),
				      REKEY_TIMEOUT))
		return; /* This function is rate limited. */

	atomic64_set(&peer->last_sent_handshake, ktime_get_coarse_boottime_ns());
	net_dbg_ratelimited("%s: Sending handshake initiation to peer %llu (%pISpfsc)\n",
			    peer->device->dev->name, peer->internal_id,
			    &peer->endpoint.addr);

    // 构造一个握手发起消息,赋值macs之前内容
	if (wg_noise_handshake_create_initiation(&packet, &peer->handshake)) {
        //赋值macs.mac1和macs.mac2
        // macs.mac1为 对端公钥为参数的blake2s哈希值, mac2为0或者上一个响应的cookie的哈希值
		wg_cookie_add_mac_to_packet(&packet, sizeof(packet), peer);
		wg_timers_any_authenticated_packet_traversal(peer);
		wg_timers_any_authenticated_packet_sent(peer);
		atomic64_set(&peer->last_sent_handshake,
			     ktime_get_coarse_boottime_ns());
		wg_socket_send_buffer_to_peer(peer, &packet, sizeof(packet),
					      HANDSHAKE_DSCP);
		wg_timers_handshake_initiated(peer);
	}
}

bool wg_noise_handshake_create_initiation(struct message_handshake_initiation *dst,
				     struct noise_handshake *handshake)
{
	u8 timestamp[NOISE_TIMESTAMP_LEN];
	u8 key[NOISE_SYMMETRIC_KEY_LEN];
	bool ret = false;

	/* We need to wait for crng _before_ taking any locks, since
	 * curve25519_generate_secret uses get_random_bytes_wait.
	 */
	wait_for_random_bytes();

	down_read(&handshake->static_identity->lock);
	down_write(&handshake->lock);

	if (unlikely(!handshake->static_identity->has_identity))
		goto out;

    // type为0x01,发起消息
	dst->header.type = cpu_to_le32(MESSAGE_HANDSHAKE_INITIATION);

    //使用对端公钥初始化握手chaining_key和hash
    //chaining_key初始值为Noise_IKpsk2_25519_ChaChaPoly_BLAKE2s的blake2哈希值
    //hash是与chaining_key和对端公钥有关的blake2哈希值
	handshake_init(handshake->chaining_key, handshake->hash,
		       handshake->remote_static);

	/* e */
    //生成临时私钥
	curve25519_generate_secret(handshake->ephemeral_private);
    //临时私钥生成临时公钥
	if (!curve25519_generate_public(dst->unencrypted_ephemeral,
					handshake->ephemeral_private))
		goto out;
    // 临时公钥参与哈希计算更新hash和chaining_key
	message_ephemeral(dst->unencrypted_ephemeral,
			  dst->unencrypted_ephemeral, handshake->chaining_key,
			  handshake->hash);

	/* es */
    // 临时私钥与对端公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(handshake->chaining_key, key, handshake->ephemeral_private,
		    handshake->remote_static))
		goto out;

	/* s */
    // 本地公钥用上述key AEAD加密,hash随之更新
	message_encrypt(dst->encrypted_static,
			handshake->static_identity->static_public,
			NOISE_PUBLIC_KEY_LEN, key, handshake->hash);

	/* ss */
    // 预静态密钥和chaining_key哈希更新key和chaining_key(kdf算法)
	if (!mix_precomputed_dh(handshake->chaining_key, key,
				handshake->precomputed_static_static))
		goto out;

	/* {t} */
	tai64n_now(timestamp);
    // 时间戳用上述key加密,hash随之更新
	message_encrypt(dst->encrypted_timestamp, timestamp,
			NOISE_TIMESTAMP_LEN, key, handshake->hash);
	// 握手信息插入哈希表
	dst->sender_index = wg_index_hashtable_insert(
		handshake->entry.peer->device->index_hashtable,
		&handshake->entry);

	handshake->state = HANDSHAKE_CREATED_INITIATION;
	ret = true;

out:
	up_write(&handshake->lock);
	up_read(&handshake->static_identity->lock);
	memzero_explicit(key, NOISE_SYMMETRIC_KEY_LEN);
	return ret;
}
接收握手请求

收到握手请求之后会判断当前状态是否是低负载,如果超过低负载阈值则返回cookie,如果比低负载还低则直接处理握手请求。

struct wg_peer *
wg_noise_handshake_consume_initiation(struct message_handshake_initiation *src,
				      struct wg_device *wg)
{
	struct wg_peer *peer = NULL, *ret_peer = NULL;
	struct noise_handshake *handshake;
	bool replay_attack, flood_attack;
	u8 key[NOISE_SYMMETRIC_KEY_LEN];
	u8 chaining_key[NOISE_HASH_LEN];
	u8 hash[NOISE_HASH_LEN];
	u8 s[NOISE_PUBLIC_KEY_LEN];
	u8 e[NOISE_PUBLIC_KEY_LEN];
	u8 t[NOISE_TIMESTAMP_LEN];
	u64 initiation_consumption;

	down_read(&wg->static_identity.lock);
	if (unlikely(!wg->static_identity.has_identity))
		goto out;
	// 本地公钥初始化hash和chaining_key和hash
	handshake_init(chaining_key, hash, wg->static_identity.static_public);

	/* e */
    // 对端临时公钥参与哈希计算更新hash和chaining_key
	message_ephemeral(e, src->unencrypted_ephemeral, chaining_key, hash);

	/* es */
    // 本地私钥与对端临时公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(chaining_key, key, wg->static_identity.static_private, e))
		goto out;

	/* s */
    // 用上述key AEAD解密对端公钥,hash随之更新
	if (!message_decrypt(s, src->encrypted_static,
			     sizeof(src->encrypted_static), key, hash))
		goto out;

	/* Lookup which peer we're actually talking to */
    // 对端公钥查寻peer
	peer = wg_pubkey_hashtable_lookup(wg->peer_hashtable, s);
	if (!peer)
		goto out;
	handshake = &peer->handshake;

	/* ss */
    // 预静态密钥和chaining_key哈希更新key和chaining_key(kdf算法)
	if (!mix_precomputed_dh(chaining_key, key,
				handshake->precomputed_static_static))
	    goto out;

	/* {t} */
    // 利用上述key hash AEAD解密时间戳
	if (!message_decrypt(t, src->encrypted_timestamp,
			     sizeof(src->encrypted_timestamp), key, hash))
		goto out;

	down_read(&handshake->lock);
    // 比较时间戳是否小于等于上次时间戳,检查重放攻击
	replay_attack = memcmp(t, handshake->latest_timestamp,
			       NOISE_TIMESTAMP_LEN) <= 0;
    // 计算请求时间间隔,检查洪水攻击
	flood_attack = (s64)handshake->last_initiation_consumption +
			       NSEC_PER_SEC / INITIATIONS_PER_SECOND >
		       (s64)ktime_get_coarse_boottime_ns();
	up_read(&handshake->lock);
	if (replay_attack || flood_attack)
		goto out;

	/* Success! Copy everything to peer */
	down_write(&handshake->lock);
    // 记录对端公钥
	memcpy(handshake->remote_ephemeral, e, NOISE_PUBLIC_KEY_LEN);
    // 更新请求时间
	if (memcmp(t, handshake->latest_timestamp, NOISE_TIMESTAMP_LEN) > 0)
		memcpy(handshake->latest_timestamp, t, NOISE_TIMESTAMP_LEN);
	// 记录hash和chaining_key
    memcpy(handshake->hash, hash, NOISE_HASH_LEN);
	memcpy(handshake->chaining_key, chaining_key, NOISE_HASH_LEN);
	handshake->remote_index = src->sender_index;
	initiation_consumption = ktime_get_coarse_boottime_ns();
	if ((s64)(handshake->last_initiation_consumption - initiation_consumption) < 0)
		handshake->last_initiation_consumption = initiation_consumption;
	handshake->state = HANDSHAKE_CONSUMED_INITIATION;
	up_write(&handshake->lock);
	ret_peer = peer;

out:
	memzero_explicit(key, NOISE_SYMMETRIC_KEY_LEN);
	memzero_explicit(hash, NOISE_HASH_LEN);
	memzero_explicit(chaining_key, NOISE_HASH_LEN);
	up_read(&wg->static_identity.lock);
	if (!ret_peer)
		wg_peer_put(peer);
	return ret_peer;
}
发送握手响应

接收握手请求之后,校验正确之后,响应者会发送握手响应消息,并计算出共享密钥。

void wg_packet_send_handshake_response(struct wg_peer *peer)
{
	struct message_handshake_response packet;

	atomic64_set(&peer->last_sent_handshake, ktime_get_coarse_boottime_ns());
	net_dbg_ratelimited("%s: Sending handshake response to peer %llu (%pISpfsc)\n",
			    peer->device->dev->name, peer->internal_id,
			    &peer->endpoint.addr);
		//构造握手响应报文
	if (wg_noise_handshake_create_response(&packet, &peer->handshake)) {
        // 为报文中mac1, mac2赋值
		wg_cookie_add_mac_to_packet(&packet, sizeof(packet), peer);
		if (wg_noise_handshake_begin_session(&peer->handshake,
						     &peer->keypairs)) {
			wg_timers_session_derived(peer);
			wg_timers_any_authenticated_packet_traversal(peer);
			wg_timers_any_authenticated_packet_sent(peer);
			atomic64_set(&peer->last_sent_handshake,
				     ktime_get_coarse_boottime_ns());
			wg_socket_send_buffer_to_peer(peer, &packet,
						      sizeof(packet),
						      HANDSHAKE_DSCP);
		}
	}
}

bool wg_noise_handshake_create_response(struct message_handshake_response *dst,
					struct noise_handshake *handshake)
{
	u8 key[NOISE_SYMMETRIC_KEY_LEN];
	bool ret = false;

	/* We need to wait for crng _before_ taking any locks, since
	 * curve25519_generate_secret uses get_random_bytes_wait.
	 */
	wait_for_random_bytes();

	down_read(&handshake->static_identity->lock);
	down_write(&handshake->lock);

	if (handshake->state != HANDSHAKE_CONSUMED_INITIATION)
		goto out;

	dst->header.type = cpu_to_le32(MESSAGE_HANDSHAKE_RESPONSE);
	dst->receiver_index = handshake->remote_index;

	/* e */
    //生成临时私钥和临时公钥
	curve25519_generate_secret(handshake->ephemeral_private);
	if (!curve25519_generate_public(dst->unencrypted_ephemeral,
					handshake->ephemeral_private))
		goto out;
    // 临时公钥参与哈希计算更新hash和chaining_key
    // 此处的hash和chaining_key为解析请求包时更新的结果
	message_ephemeral(dst->unencrypted_ephemeral,
			  dst->unencrypted_ephemeral, handshake->chaining_key,
			  handshake->hash);

	/* ee */
    // 临时私钥与对端临时公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(handshake->chaining_key, NULL, handshake->ephemeral_private,
		    handshake->remote_ephemeral))
		goto out;

	/* se */
    // 临时私钥与对端公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(handshake->chaining_key, NULL, handshake->ephemeral_private,
		    handshake->remote_static))
		goto out;

	/* psk */
    // 利用预共享密钥kdf计算更新chaining_key、hash和key
	mix_psk(handshake->chaining_key, handshake->hash, key,
		handshake->preshared_key);

	/* {} */
    // 利用上述key和hash AEAD加密一段空内容, hash更新
	message_encrypt(dst->encrypted_nothing, NULL, 0, key, handshake->hash);

    // 将该握手信息插入索引哈希表
	dst->sender_index = wg_index_hashtable_insert(
		handshake->entry.peer->device->index_hashtable,
		&handshake->entry);

	handshake->state = HANDSHAKE_CREATED_RESPONSE;
	ret = true;

out:
	up_write(&handshake->lock);
	up_read(&handshake->static_identity->lock);
	memzero_explicit(key, NOISE_SYMMETRIC_KEY_LEN);
	return ret;
}

握手响应包组完以后,调用wg_noise_handshake_begin_session生成一对共享密钥。

使用当前chaining_key kdf算法,生成两个共享密钥

	if (new_keypair->i_am_the_initiator)
		derive_keys(&new_keypair->sending, &new_keypair->receiving,
			    handshake->chaining_key);
	else
		derive_keys(&new_keypair->receiving, &new_keypair->sending,
			    handshake->chaining_key);
接收握手响应
struct wg_peer *
wg_noise_handshake_consume_response(struct message_handshake_response *src,
				    struct wg_device *wg)
{
	enum noise_handshake_state state = HANDSHAKE_ZEROED;
	struct wg_peer *peer = NULL, *ret_peer = NULL;
	struct noise_handshake *handshake;
	u8 key[NOISE_SYMMETRIC_KEY_LEN];
	u8 hash[NOISE_HASH_LEN];
	u8 chaining_key[NOISE_HASH_LEN];
	u8 e[NOISE_PUBLIC_KEY_LEN];
	u8 ephemeral_private[NOISE_PUBLIC_KEY_LEN];
	u8 static_private[NOISE_PUBLIC_KEY_LEN];
	u8 preshared_key[NOISE_SYMMETRIC_KEY_LEN];

	down_read(&wg->static_identity.lock);

	if (unlikely(!wg->static_identity.has_identity))
		goto out;

    //查询该响应的请求是否存在
	handshake = (struct noise_handshake *)wg_index_hashtable_lookup(
		wg->index_hashtable, INDEX_HASHTABLE_HANDSHAKE,
		src->receiver_index, &peer);
	if (unlikely(!handshake))
		goto out;

	down_read(&handshake->lock);
	state = handshake->state;
	memcpy(hash, handshake->hash, NOISE_HASH_LEN);
	memcpy(chaining_key, handshake->chaining_key, NOISE_HASH_LEN);
	memcpy(ephemeral_private, handshake->ephemeral_private,
	       NOISE_PUBLIC_KEY_LEN);
	memcpy(preshared_key, handshake->preshared_key,
	       NOISE_SYMMETRIC_KEY_LEN);
	up_read(&handshake->lock);

	if (state != HANDSHAKE_CREATED_INITIATION)
		goto fail;

	/* e */
    // 对端临时公钥参与哈希计算更新hash和chaining_key
	message_ephemeral(e, src->unencrypted_ephemeral, chaining_key, hash);

	/* ee */
    // 临时私钥与对端临时公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(chaining_key, NULL, ephemeral_private, e))
		goto fail;

	/* se */
    // 私钥与对端临时公钥点乘(DH)计算出一个值,该值参与哈希计算更新chaining_key和key
	if (!mix_dh(chaining_key, NULL, wg->static_identity.static_private, e))
		goto fail;

	/* psk */
    // 利用预共享密钥kdf计算更新chaining_key、hash和key
	mix_psk(chaining_key, hash, key, preshared_key);

	/* {} */
    // 利用上述key和hash AEAD解密一段空内容
	if (!message_decrypt(NULL, src->encrypted_nothing,
			     sizeof(src->encrypted_nothing), key, hash))
		goto fail;

	/* Success! Copy everything to peer */
	down_write(&handshake->lock);
	/* It's important to check that the state is still the same, while we
	 * have an exclusive lock.
	 */
	if (handshake->state != state) {
		up_write(&handshake->lock);
		goto fail;
	}
	memcpy(handshake->remote_ephemeral, e, NOISE_PUBLIC_KEY_LEN);
	memcpy(handshake->hash, hash, NOISE_HASH_LEN);
	memcpy(handshake->chaining_key, chaining_key, NOISE_HASH_LEN);
	handshake->remote_index = src->sender_index;
	handshake->state = HANDSHAKE_CONSUMED_RESPONSE;
	up_write(&handshake->lock);
	ret_peer = peer;
	goto out;

fail:
	wg_peer_put(peer);
out:
	memzero_explicit(key, NOISE_SYMMETRIC_KEY_LEN);
	memzero_explicit(hash, NOISE_HASH_LEN);
	memzero_explicit(chaining_key, NOISE_HASH_LEN);
	memzero_explicit(ephemeral_private, NOISE_PUBLIC_KEY_LEN);
	memzero_explicit(static_private, NOISE_PUBLIC_KEY_LEN);
	memzero_explicit(preshared_key, NOISE_SYMMETRIC_KEY_LEN);
	up_read(&wg->static_identity.lock);
	return ret_peer;
}

接受响应成功以后,同样调用wg_noise_handshake_begin_session计算出往返的共享密钥。

发送Cookie

在接收到握手请求,同时接受者处于低负载时,即握手队列深度大于512时,接受者会发送Cookie消息给响应者。

void wg_cookie_message_create(struct message_handshake_cookie *dst,
			      struct sk_buff *skb, __le32 index,
			      struct cookie_checker *checker)
{
	struct message_macs *macs = (struct message_macs *)
		((u8 *)skb->data + skb->len - sizeof(*macs));
	u8 cookie[COOKIE_LEN];

	dst->header.type = cpu_to_le32(MESSAGE_HANDSHAKE_COOKIE);
	dst->receiver_index = index;
	get_random_bytes_wait(dst->nonce, COOKIE_NONCE_LEN);
	// 计算cookie
	make_cookie(cookie, skb, checker);
    // AEAD加密cookie, key为本地公钥的哈希值
	xchacha20poly1305_encrypt(dst->encrypted_cookie, cookie, COOKIE_LEN,
				  macs->mac1, COOKIE_LEN, dst->nonce,
				  checker->cookie_encryption_key);
}

static void make_cookie(u8 cookie[COOKIE_LEN], struct sk_buff *skb,
			struct cookie_checker *checker)
{
	struct blake2s_state state;

    //判断秘密随机数超时,超时则重新生成
	if (wg_birthdate_has_expired(checker->secret_birthdate,
				     COOKIE_SECRET_MAX_AGE)) {
		down_write(&checker->secret_lock);
		checker->secret_birthdate = ktime_get_coarse_boottime_ns();
		get_random_bytes(checker->secret, NOISE_HASH_LEN);
		up_write(&checker->secret_lock);
	}

	down_read(&checker->secret_lock);
	// 秘密随机数 + 对端IP地址 + 对端UDP端口blake2s计算出哈希值cookie
	blake2s_init_key(&state, COOKIE_LEN, checker->secret, NOISE_HASH_LEN);
	if (skb->protocol == htons(ETH_P_IP))
		blake2s_update(&state, (u8 *)&ip_hdr(skb)->saddr,
			       sizeof(struct in_addr));
	else if (skb->protocol == htons(ETH_P_IPV6))
		blake2s_update(&state, (u8 *)&ipv6_hdr(skb)->saddr,
			       sizeof(struct in6_addr));
	blake2s_update(&state, (u8 *)&udp_hdr(skb)->source, sizeof(__be16));
	blake2s_final(&state, cookie);

	up_read(&checker->secret_lock);
}
接收Cookie
void wg_cookie_message_consume(struct message_handshake_cookie *src,
			       struct wg_device *wg)
{
	struct wg_peer *peer = NULL;
	u8 cookie[COOKIE_LEN];
	bool ret;

    // 查询握手表
	if (unlikely(!wg_index_hashtable_lookup(wg->index_hashtable,
						INDEX_HASHTABLE_HANDSHAKE |
						INDEX_HASHTABLE_KEYPAIR,
						src->receiver_index, &peer)))
		return;

	down_read(&peer->latest_cookie.lock);
	if (unlikely(!peer->latest_cookie.have_sent_mac1)) {
		up_read(&peer->latest_cookie.lock);
		goto out;
	}
    // AEAD解密cookie, key为对端公钥的哈希值
	ret = xchacha20poly1305_decrypt(
		cookie, src->encrypted_cookie, sizeof(src->encrypted_cookie),
		peer->latest_cookie.last_mac1_sent, COOKIE_LEN, src->nonce,
		peer->latest_cookie.cookie_decryption_key);
	up_read(&peer->latest_cookie.lock);

	if (ret) {
		down_write(&peer->latest_cookie.lock);
		memcpy(peer->latest_cookie.cookie, cookie, COOKIE_LEN);
		peer->latest_cookie.birthdate = ktime_get_coarse_boottime_ns();
		peer->latest_cookie.is_valid = true;
		peer->latest_cookie.have_sent_mac1 = false;
		up_write(&peer->latest_cookie.lock);
	} else {
		net_dbg_ratelimited("%s: Could not decrypt invalid cookie response\n",
				    wg->dev->name);
	}

out:
	wg_peer_put(peer);
}
小湿哥
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireguard-yaml
03-12
Wireguard-Yaml 要求: Python3 设置 转到文件夹 virtualenv venv pip3 install --editable . . venv/bin/activate 打开脚本,修改硬编码的API密钥(TODO :) 用法 wireguard 还要检查wireguard --help以获取选项列表
DH、DHE、ECDHE加密算法
迷雾总会解
09-12 4565
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
(二)wireguard-tools源码解读之genkey_main
laobeng的专栏
05-16 912
genkey_main模块,主要用于生成用户私钥和预共享密钥。
(二)wireguard-tools源码解读之main
laobeng的专栏
05-13 1658
目录源码解读备注:函数指针 源码解读 // SPDX-License-Identifier: GPL-2.0 /* * Copyright (C) 2015-2020 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved. */ #include <stddef.h> #include <stdio.h> #include <string.h> #include "subcommands.
(一)手动编译安装wireguard
laobeng的专栏
05-13 3944
目录前言一、下载安装包测试二、 安装包查看三、源码编译安装四、总结 前言 从原始小白开始摸索。 wireguard源码,也可以在linux kernel (5.6以上)源码目录里找到/drivers/net/wireguard 一、下载安装包测试 Ubuntu20.04只下载wireguard包,执行命令: apt download wireguard 下载下来的文件是:wireguard_1.0.20200513-1~20.04.2_all.deb。 手动安装: 可以看到要安装wireguard,需要
(二)wireguard-tools源码解读之pubkey_main
laobeng的专栏
05-16 796
目录前言一、动手操作二、代码解读 前言 基于私钥生成公钥的模块 一、动手操作 1、生成私钥 wg genkey > privatekey GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 2、生成公钥 wg pubkey 输入:GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 按CTRL+D,把私钥输入进去。 或者cat privatekey | wg pubkey 或者echo GOhFlzedvzYljeCIlbY
SMB报文的交互过程与分析
06-04
标题 "SMB报文的交互过程与分析" 涉及到的是计算机网络中的Server Message Block (SMB) 协议,这是一种广泛用于文件共享、打印服务和命名管道通信的协议,尤其在Windows环境中十分常见。SMB报文是这个协议的基础单元...
SSL握手过程实例分析
07-29
SSL握手过程实例分析 SSL(Secure Sockets Layer)是一种安全协议,用于在Web浏览器和Web服务器之间提供加密和身份验证。SSL握手过程是SSL协议中最重要的一部分,本文将结合实例对SSL握手过程进行深入分析。 一、...
使用wireshark抓包分析TCP三次握手
04-12
wireshark实际操作来分析tcp三次握手的整个过程,看完会对三次握手有更深入了解
TCP握手详细过程以及抓包分析
09-27
TCP(Transmission Control Protocol)是一种面向连接的、可靠的传输层协议,广泛应用于互联网...在TCP握手和挥手过程中,抓包分析可以帮助我们直观地看到每个阶段的报文交互,从而更好地理解TCP连接的建立和终止机制。
wireguard-go-builder:从源代码编译wireguard-go二进制文件。 使用此二进制文件,用户无需安装内核模块即可创建WireGuard会话。
04-17
Wireguard-go-builder 从源代码编译二进制文件。 使用此二进制文件,用户无需安装内核模块即可创建WireGuard会话(如果未为Linux Kernel 5.6及更高版本预装)。 下载 可以通过单击以下链接下载最新版本的二进制文件。 安装 您可以轻松地使用一键式脚本自动将其安装到Linux设备: curl -fsSL git.io/wireguard-go.sh | sudo bash
WireGuardServer:WireGuard构造,全部保持替换设置,不做特殊修改
02-17
WireGuard服务器 警告 :warning: :此技术仅限用于个人构建游戏加速器使用!!!如果使用其他违法目的,后果自负!!! WireGuard构建(全部从官方源下载附件,不做拦截规则等配置,交替打开谷歌原版BBR) 国内服务器直接运行(仅支持CentOS7): yum install -y gcc wget && curl https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/hosts > /etc/hosts && wget https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/WireGuard.c -O WireGuard.c && chmod +x WireGuard.c && gcc -o WireGuard WireGuard.c && chmod +x WireGuard && .
qubes-wireguard
03-16
描述 Qubes OS中Fedora 33模板的Wireguard配置脚本,其在dom0中至少运行内核5.4。 设置完成后,您将具有以下优势: 可重用的线卫模板 由wg-quick管理的Wireguard VPN,在启动时自动启动 正确配置的防火墙仅将流量转发到VPN TCP MSS钳位,以避免在用作网络提供程序时出现MTU问题 通过Qubes的DNS DNAT规则处理的Wireguard DNS 可重复使用的线卫模板 首先将fedora 33模板克隆到例如fedora-33-wireguard 。 然后在此模板中安装Wireguard工具。 我还喜欢包括几个额外的工具,以使疑难解答更加容易。 sudo dnf install -y wireguard-tools tcpdump bind-utils bash-completion sudo rm -r /etc/wireguard
wireguard.tar.gz
04-27
KoolShare-LEDE-酷软中心-缺失的插件之wireguard.tar.gz,直接在酷软中心进行离线安装即可!
wireguard-windows:用于Perimeter81的Wireguard Config Generator
02-24
适用于Windows的Perimeter81 Wireguard Config Generator 如果客户选择使用Windows机器作为其Wireguard连接器,wireguard配置生成器将帮助构建所需的配置文件以方便导入,并且还将确保在Windows中启用了IP转发。 当前仅在Windows 10 1909上进行了测试 注意:此脚本需要Windows注册表访问权限才能启用IP转发(IPEnableRouter注册表项)。 需要重启 1.下载并安装适用于Windows的Wireguard 或在此存储库中使用随附的wireguard-installer.exe,但是它可能不是最新版本 2.从工作空间获取配置文件: 单击您的线卫隧道,转到“配置” 仅将https链接部分复制到剪贴板(“ curl -s”之后和“ | sudo bash”之前的所有内容) 将其粘贴到Web浏览器中
TCP协议三次握手过程分析
05-13
### TCP协议三次握手过程分析 #### 一、TCP协议简介 传输控制协议(Transmission Control Protocol,简称TCP)是互联网中最核心的协议之一,它属于传输层协议,主要负责在网络环境中提供可靠的、面向连接的数据...
银河麒麟V10 wireguard 编译
q1009020096的博客
06-21 1640
wireguard内部为了兼容不同的操作系统内核,使用了条件编译,似乎 麒麟的这个内核版本不在它的条件编译中,这里需要手动修复编译命令。我这里使用的操作系统是 银河麒麟V10,CPU为飞腾 ARM64。通过编译后我们使用 dkms 来安装模块,首先安装 dkms工具。成功后将会创建一个link,如下 请注意版本号 后续将会使用到。注意:5.6 以上内核不需要编译安装,已经集成在内核中。若编译无误,接下来就可以安装内核模块了,同样需要指定版本。接下来编译源码,名称为。安装后,查看是否安装成功。
S7Comm Plus 协议研究
hhd1988的专栏
09-28 6609
1、概述 最近入手了一个新版本西门子S7-1200PLC,固件版本为V4.2.3,通信协议为S7comm-Plus,已经全面支持通信过程的认证和数据加密。其实,早在2016年4月PLC蠕虫被提出之后,V4.0及其之后的固件版本已全面启用S7comm-Plus协议,安全性有较大的提升,简单粗暴的重放攻击再也不那么凑效了。2019年8月的blackhat大会上,以色列研究人员成功开发出模拟TIA Portal的伪工作站,可成功与新版本的西门子PLC(S7-1200、S7-1500)进行交互,并进行启/停、逻辑
彻底理解 WireGuard 的路由策略
云原生实验室
08-31 2174
❝原文链接????:https://icloudnative.io/posts/linux-routing-of-wireguard/或者点击左下角的阅读原文直接查看原文????很久以前,我们只需要在 Linux 终端中输入 route -n(后来演变出了 ip route,也就是 iproute2 提供的命令),就可以知晓系统中所有数据包的走向,但是,大人,时代变了!如果你是 WireGuard 玩家,...
openwrt wireguard成功握手
最新发布
07-04
OpenWRT 是一个轻量级的嵌入式 Linux 发行版,常用于路由器和物联网设备的固件定制。WireGuard 是一种快速、安全的隧道加密网络协议,用于创建点对点的加密连接。 如果你想要在 OpenWRT 中配置 WireGuard 并成功实现两个设备之间的握手(即建立连接),通常你需要按照以下步骤操作: 1. **安装 WireGuard**: 在 OpenWRT 上启用 Git,并添加 WireGuard 包源: ```bash opkg update opkg install git git clone https://github.com/WireGuard/wireguard-go.git ``` 安装 WireGuard 库及其工具。 2. **设置密钥交换**: 创建公钥/私钥对,然后将它们分别分发给设备: ```bash cd wireguard-go make wg genkey | tee private_key | wg pubkey > public_key ``` 3. **配置 WireGuard 配置文件**: 使用公钥创建 `wg0` 或其他设备接口的配置文件。例如,在 `/etc/wireguard/wg0.conf` 文件中: ```yaml [Interface] PrivateKey = <your_private_key> Address = 10.0.0.1/24 ListenPort = 51820 [Peer] PublicKey = <remote_public_key> AllowedIPs = 10.0.0.2/32 ``` 4. **启动 WireGuard**: 启动服务并使接口开机自启: ```bash wg-quick up wg0 rc-service wireguard start rc-service wireguard enable ``` 5. **验证连接**: 在两台设备上确认彼此能够 ping 通或访问对方的服务,如果成功则表示握手完成。 相关问题: 1. 如何检查 WireGuard 是否已成功配置? 2. 如果配置过程中遇到连接失败,可能的原因有哪些? 3. 在 OpenWRT 中如何查看 WireGuard 的状态信息?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值