SSL_do_handshake 内存泄露问题排查记录

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量600 收藏
点赞数
文章标签: ssl 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/129690853
版权

问题由来:

开发一个基于Openssl的Https服务器,简单地说,每个session都创建一个线程,

采用网上的模型

accept -> SSL_CTX_new -> SSL_new -> SSL_set_fd -> SSL_set_accept_state -> SSL_do_handshake -> 

-> 通信 -> SSL_shutdown -> SSL_free ->SSL_CTX_free

这个流程看似没有问题,new对应free, handshake对应shutdown

然而惊奇发现每次通信session都有泄露内存

排查手段:

重载SSL内存new free 进行匹配,记录trace标记,同时记录SSL函数执行的标记,


void MV_Add(void* ptr, const char * f, int l)
{
	if (ptr)
	{
		CMemView xf(f, l);
		MyTlsData* ptls = GetMyTls();
		xf.call_openssl_stage = ptls ? ptls->call_openssl_stage : -1;
		g_mapWatchMemView[ptr] = xf;
	}
}

void MV_Del(void* p)
{
	if (p)
	{
		map<void*, CMemView>::iterator iter = g_mapWatchMemView.find(p);
		if (iter != g_mapWatchMemView.end()) {
			g_mapWatchMemView.erase(iter);
		}
	}
}

void MV_Clear()
{
	g_mapWatchMemView.clear();
}

void MV_Dump()
{
	wchar_t szFile[MAX_PATH] = {};
	::GetModuleFileName(NULL, szFile,MAX_PATH);
	CString strLog = szFile;
	strLog += L".mdump.log";
	FILE* fp = _wfopen(strLog, L"wb+");
	if (fp)
	{
		for (map<void*, CMemView>::iterator iter = g_mapWatchMemView.begin(); 
			iter != g_mapWatchMemView.end(); iter++)
		{
			fprintf(fp, "0x%p at line %d caller=%d file:%s\r\n"
			,
				iter->first,
				iter->second.line,
				iter->second.call_openssl_stage,
				(LPCSTR)(iter->second.strFile)
			);
		}
		fclose(fp);
	}
}

最终跟踪到是SSL_do_handshake 发生的泄露

 进一步排查发现是ERR_get_state 这块通过TLS机制分配了一块内存,也就是线程句柄存储

经查阅doc 得知需要调用     OPENSSL_thread_stop(); 释放TLS数据

nLif
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl】从openssl的常用接口调用浅谈【内存泄漏】的风险和规避
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
11-29 8456
openssl是一个很有名的开源软件,它在解决SSL/TLS通讯上提供了一套行之有效的解决方案,同时在软件算法领域,它也集成绝大部分常见的算法,真可谓是程序员开发网络通讯和信息安全加解密的一个利器。 熟悉github的朋友,一定在github上目睹过openssl的真容【https://github.com/openssl/openssl】,它的官网地址是【https://...
SSL.gz_ssl_ssl java_ssl证书
09-23
简单的SSL实现 包含证书的交换和文件的传输
查找openssl内存泄漏(代码)
weixin_33720452的博客
04-27 229
#include <stdio.h> #include <string.h> #include <openssl/bio.h> #include <openssl/crypto.h> static BIO *bio_err = NULL; void mem_debug_start() { bio_err = BIO_...
猫头虎分享已解决Bug || SSL证书错误(SSL Certificate Errors):SSLCertificateError, SSLHandshakeException ‍‍
2301_76147196的博客
02-11 998
在运维的世界里,SSL证书问题是一颗棘手的刺,它们可能导致网站安全性下降、用户信任度降低。在本文中,我将详细探讨SSLCertificateError和SSLHandshakeException这两个常见的SSL证书错误。本文将通过实例演示、操作命令和代码示例,为你提供全面的解决方案。🛠️SSL证书错误通常发生在服务器和客户端之间的SSL握手过程中。它可能是由于证书过期、不被信任的颁发机构、或者证书与访问的域名不匹配等原因引起的。问题类别原因解决步骤证书过期、证书链不完整、证书格式错误。
openssl DTLS连接内存泄露问题
zxygww的专栏
11-21 1850
原因是认证对方证书后,未释放该证书空间。 X509 *clientCert; clientCert = SSL_get_peer_certificate(ssl); //verify clientCert if(clientCert) X509_free(clientCert); 参考:http://www.openssl.org/docs/ssl/SSL_
SSL.rar_JAVA SSL _ssl_ssl java
09-24
SSL加密简单的服务端和客户端书写.希望对大家有所帮助
基于OpenSSL实现的安全连接
huang714的专栏
03-09 1896
Web服务器为了支持https访问,通常会使用第三方库openssl实现,而且为了高性能采用异步事件驱动模型,因此连接套接字被设为非阻塞类型,本文在nginx ssl模块的基础上,简化提取它的核心框架,使用面向对象的方式描述,从握手、读写和关闭3个方面进行了分析,由于这3个操作都是异步的,因此操作失败后要调用SSL_get_error来获取错误码,有如下4种情况。 ● SSL_ERRO...
502错误_nginx的SSL_do_handshake()
NoteDing
06-19 1万+
SSL过期出现问题 SSL_do_handshake() failed (SSL: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number) while SSL handshaking to upstream, client:...... 根据反馈是短时间内连续性请求则会返回502错误,查询资料发现nginx默认会尝试重新...
nginx转发https:SSL_do_handshake() failed
热门推荐
weixin_42612454的博客
12-06 1万+
SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream
Nginx错误解决实战:SSL_do_handshake() failed
Fly的博客
11-07 3339
这意味着Nginx会尝试重用SSL会话,以提高性能。经过查看nginx相关文档发现默认情况下,服务器偶发报警错误日志。然后nginx修改配置。重新加载nginx配置。
about OPENSSL_thread_stop
newmandirl的专栏
04-25 533
the official link:https://www.openssl.org/docs/man1.1.1/man3/OPENSSL_thread_stop.html#NOTESopenssl git issue:https://github.com/openssl/openssl/issues/6081PERSONAL_EXPERIENCE:Before version of openssl...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
ssl.rar_ssl_ssl builder
09-20
此程序简单实现了ssl强加密,一共包括三个文件:SSLServer.java,SSLClient.java,GetJavaHome.java
ssl.zip_ssl_ssl linux
09-24
SSL协议的中文翻译文档,详细说明了SSL协议的通讯过程和加解密方法。
MySQL数据库SSL连接测试
sunny05296的博客
04-24 458
环境信息:Centos7 + MySQL 5.7.21。在该环境上进行SSL连接测试。
configure: error: library ‘crypto‘ is required for OpenSSL
qingcyb的博客
04-24 326
1、执行命令./configure --prefix=/usr/local/pgsql/postgresql-14.2 --with-openssl。报错configure: error: library 'crypto' is required for OpenSSL
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 376
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 452
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
网络通信安全
m0_68637281的博客
04-24 459
TCP/IP体系结构、以太网、Internet地址、端口TCP/IP协议简介如下:(from文心一言)TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。
mbedtls_ssl_handshake
08-25
mbedtls_ssl_handshake函数是Mbed TLS库中用于SSL/TLS握手的函数之一。它用于在客户端和服务器之间建立安全的连接。 在使用mbedtls_ssl_handshake函数之前,你需要完成一些必要的设置,如配置证书、密钥和加密套件等。一般情况下,你需要先调用mbedtls_ssl_config_init函数来初始化SSL配置对象,并设置相应的参数。接着,你可以使用mbedtls_ssl_setup函数来初始化SSL上下文对象,并将配置对象与上下文对象关联起来。 然后,你可以通过调用mbedtls_ssl_set_bio函数来设置输入/输出回调函数,并将底层的网络连接对象与SSL上下文对象绑定。这些回调函数负责读取和写入数据,以便进行握手过程中的数据交换。 最后,你可以调用mbedtls_ssl_handshake函数来执行SSL握手操作。这个函数将自动处理握手过程中的所有步骤,包括发送和接收握手消息、验证对方证书、生成和交换会话密钥等。 需要注意的是,mbedtls_ssl_handshake函数是一个阻塞式函数,它将一直等待握手完成或发生错误才返回。因此,在调用该函数之前,你可能需要设置合适的超时时间或使用非阻塞I/O操作。 希望这个回答对你有帮助!如果还有其他问题,请随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值