wireguard源码分析(八)

于 2024-09-02 22:46:31 发布
阅读量738 收藏 6
点赞数 20
文章标签: stm32 嵌入式硬件 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54742617/article/details/141832311
版权 
package tunnel

import (
	"errors"
	"fmt"
	"log"
	"sync"
	"time"

	"golang.org/x/sys/windows"
	"golang.zx2c4.com/wireguard/windows/conf"
	"golang.zx2c4.com/wireguard/windows/driver"
	"golang.zx2c4.com/wireguard/windows/services"
	"golang.zx2c4.com/wireguard/windows/tunnel/firewall"
	"golang.zx2c4.com/wireguard/windows/tunnel/winipcfg"
)

type interfaceWatcherError struct {
	serviceError services.Error
	err          error
}

type interfaceWatcherEvent struct {
	luid   winipcfg.LUID
	family winipcfg.AddressFamily
}

type interfaceWatcher struct {
	errors  chan interfaceWatcherError
	started chan winipcfg.AddressFamily

	conf    *conf.Config
	adapter *driver.Adapter
	luid    winipcfg.LUID

	setupMutex              sync.Mutex
	interfaceChangeCallback winipcfg.ChangeCallback
	changeCallbacks4        []winipcfg.ChangeCallback
	changeCallbacks6        []winipcfg.ChangeCallback
	storedEvents            []interfaceWatcherEvent
	watchdog                *time.Timer
}

func (iw *interfaceWatcher) setup(family winipcfg.AddressFamily) {
	iw.watchdog.Stop()
	var changeCallbacks *[]winipcfg.ChangeCallback
	var ipversion string
	if family == windows.AF_INET {
		changeCallbacks = &iw.changeCallbacks4
		ipversion = "v4"
	} else if family == windows.AF_INET6 {
		changeCallbacks = &iw.changeCallbacks6
		ipversion = "v6"
	} else {
		return
	}
	if len(*changeCallbacks) != 0 {
		for _, cb := range *changeCallbacks {
			cb.Unregister()
		}
		*changeCallbacks = nil
	}
	var err error

	if iw.conf.Interface.MTU == 0 {
		log.Printf("Monitoring MTU of default %s routes", ipversion)
		*changeCallbacks, err = monitorMTU(family, iw.luid)
		if err != nil {
			iw.errors <- interfaceWatcherError{services.ErrorMonitorMTUChanges, err}
			return
		}
	}

	log.Printf("Setting device %s addresses", ipversion)
	err = configureInterface(family, iw.conf, iw.luid)
	if err != nil {
		iw.errors <- interfaceWatcherError{services.ErrorSetNetConfig, err}
		return
	}
	evaluateDynamicPitfalls(family, iw.conf, iw.luid)

	iw.started <- family
}

func watchInterface() (*interfaceWatcher, error) {
	iw := &interfaceWatcher{
		errors:  make(chan interfaceWatcherError, 2),
		started: make(chan winipcfg.AddressFamily, 4),
	}
	iw.watchdog = time.AfterFunc(time.Duration(1<<63-1), func() {
		iw.errors <- interfaceWatcherError{services.ErrorCreateNetworkAdapter, errors.New("TCP/IP interface for adapter did not appear after one minute")}
	})
	iw.watchdog.Stop()
	var err error
	iw.interfaceChangeCallback, err = winipcfg.RegisterInterfaceChangeCallback(func(notificationType winipcfg.MibNotificationType, iface *winipcfg.MibIPInterfaceRow) {
		iw.setupMutex.Lock()
		defer iw.setupMutex.Unlock()

		if notificationType != winipcfg.MibAddInstance {
			return
		}
		if iw.luid == 0 {
			iw.storedEvents = append(iw.storedEvents, interfaceWatcherEvent{iface.InterfaceLUID, iface.Family})
			return
		}
		if iface.InterfaceLUID != iw.luid {
			return
		}
		iw.setup(iface.Family)

		if state, err := iw.adapter.AdapterState(); err == nil && state == driver.AdapterStateDown {
			log.Println("Reinitializing adapter configuration")
			err = iw.adapter.SetConfiguration(iw.conf.ToDriverConfiguration())
			if err != nil {
				log.Println(fmt.Errorf("%v: %w", services.ErrorDeviceSetConfig, err))
			}
			err = iw.adapter.SetAdapterState(driver.AdapterStateUp)
			if err != nil {
				log.Println(fmt.Errorf("%v: %w", services.ErrorDeviceBringUp, err))
			}
		}
	})
	if err != nil {
		return nil, fmt.Errorf("unable to register interface change callback: %w", err)
	}
	return iw, nil
}

func (iw *interfaceWatcher) Configure(adapter *driver.Adapter, conf *conf.Config, luid winipcfg.LUID) {
	iw.setupMutex.Lock()
	defer iw.setupMutex.Unlock()
	iw.watchdog.Reset(time.Minute)

	iw.adapter, iw.conf, iw.luid = adapter, conf, luid
	for _, event := range iw.storedEvents {
		if event.luid == luid {
			iw.setup(event.family)
		}
	}
	iw.storedEvents = nil
}

func (iw *interfaceWatcher) Destroy() {
	iw.setupMutex.Lock()
	iw.watchdog.Stop()
	changeCallbacks4 := iw.changeCallbacks4
	changeCallbacks6 := iw.changeCallbacks6
	interfaceChangeCallback := iw.interfaceChangeCallback
	luid := iw.luid
	iw.setupMutex.Unlock()

	if interfaceChangeCallback != nil {
		interfaceChangeCallback.Unregister()
	}
	for _, cb := range changeCallbacks4 {
		cb.Unregister()
	}
	for _, cb := range changeCallbacks6 {
		cb.Unregister()
	}

	iw.setupMutex.Lock()
	if interfaceChangeCallback == iw.interfaceChangeCallback {
		iw.interfaceChangeCallback = nil
	}
	for len(changeCallbacks4) > 0 && len(iw.changeCallbacks4) > 0 {
		iw.changeCallbacks4 = iw.changeCallbacks4[1:]
		changeCallbacks4 = changeCallbacks4[1:]
	}
	for len(changeCallbacks6) > 0 && len(iw.changeCallbacks6) > 0 {
		iw.changeCallbacks6 = iw.changeCallbacks6[1:]
		changeCallbacks6 = changeCallbacks6[1:]
	}
	firewall.DisableFirewall()
	if luid != 0 && iw.luid == luid {
		// It seems that the Windows networking stack doesn't like it when we destroy interfaces that have active
		// routes, so to be certain, just remove everything before destroying.
		luid.FlushRoutes(windows.AF_INET)
		luid.FlushIPAddresses(windows.AF_INET)
		luid.FlushDNS(windows.AF_INET)
		luid.FlushRoutes(windows.AF_INET6)
		luid.FlushIPAddresses(windows.AF_INET6)
		luid.FlushDNS(windows.AF_INET6)
	}
	iw.setupMutex.Unlock()
}

这段Go代码实现了一个网络接口的监视器 interfaceWatcher,用于监控和管理WireGuard网络适配器在Windows系统中的配置和状态变更。它能够监听网络接口的变化,处理配置的更新,并且在适配器状态改变时进行适当的调整。以下是对这段代码的详细分析。

主要结构体和类型

  1. interfaceWatcherError:

    • 包含两个字段:
      • serviceError:表示服务相关的错误类型。
      • err:具体的错误信息。

  2. interfaceWatcherEvent:

    • 包含两个字段:
      • luid:表示接口的唯一标识符(LUID)。
      • family:表示地址族(IPv4 或 IPv6)。

  3. interfaceWatcher:

    • 主要的监视器结构体,包含如下字段:
      • errors:用于传递错误的通道。
      • started:用于标记启动的通道。
      • conf:存储接口的配置信息。
      • adapter:表示WireGuard驱动的适配器。
      • luid:接口的LUID。
      • setupMutex:互斥锁,确保配置操作的线程安全。
      • interfaceChangeCallback:接口变化的回调函数。
      • changeCallbacks4changeCallbacks6:分别存储IPv4和IPv6的变更回调。
      • storedEvents:存储发生的接口变更事件,等待处理。
      • watchdog:用于超时检测的定时器。

主要函数

  1. setup

    • 负责初始化或重新配置指定地址族(IPv4或IPv6)的网络接口。
    • 停止 watchdog 定时器,防止超时。
    • 清除并重新注册变更回调。
    • 设置MTU(最大传输单元)和接口的IP地址。
    • 评估动态配置的潜在问题(例如动态IP分配)。

  2. watchInterface

    • 创建并初始化一个 interfaceWatcher 实例。
    • 注册接口变更的回调函数 interfaceChangeCallback
    • 在适配器状态发生变化时,调用 setup 函数进行配置。
    • 如果注册回调失败,则返回错误信息。

  3. Configure

    • 配置接口监视器,更新监视器的适配器、配置和LUID。
    • 在设置完这些值后,会重新触发之前存储的事件并进行处理。
    • 重置 watchdog 定时器为1分钟,用于监测配置超时。

  4. Destroy

    • 销毁 interfaceWatcher 实例,清理相关的回调和状态。
    • 停止 watchdog 定时器。
    • 注销所有的变更回调函数。
    • 清理防火墙配置。
    • 删除接口上的所有路由、IP地址和DNS设置,确保接口被安全地销毁。

代码逻辑分析

  • 事件驱动的配置管理interfaceWatcher 通过监听网络接口的变化来动态配置和调整WireGuard适配器。回调函数 interfaceChangeCallback 是事件驱动的核心,它捕捉到接口的添加事件(MibAddInstance),然后触发相关的配置操作。

  • 线程安全:使用 sync.Mutex 进行锁定,确保 setupConfigureDestroy 函数在多线程环境中不会发生竞态条件。

  • 错误处理和监控:通过 errors 通道传递错误,watchdog 定时器监控接口配置的超时情况。如果超时,watchdog 会触发一个错误事件。

  • 资源清理Destroy 函数非常注意资源的清理,尤其是在处理Windows网络堆栈时,确保所有的路由、IP地址和DNS设置被移除,以避免潜在的问题。

代码的应用场景

这段代码主要应用于管理和维护WireGuard的网络适配器配置,确保适配器在各种网络变化(如接口添加、状态变更)时能够自动适应,并且在不需要时可以安全地销毁和清理。它在需要高可靠性和自动化网络配置管理的环境中非常有用,如在Windows系统上运行WireGuard的VPN服务。

九砾
关注
cpe(通用平台枚举)命名规范及python CPE库实战
weixin_43178406的博客
11-15 2万+
本文主要介绍了cpe(通用平台枚举)命名规范及python CPE库实战案例,希望能对大家有所帮助。 文章目录 1. 什么是cpe 2. cpe命名规范 3. cpe表达 4. python cpe库实战
计算机系统:CPE(Cycles Per Element)详解
m0_72410588的博客
08-31 2015
在介绍CPE之前,我们需要先理解两个基本概念:周期数(Cycles)和元素(Element)。周期数:处理器执行一个指令所需的时钟周期数。时钟周期是计算机系统中的基本时间单位,它的频率由处理器的主频决定。元素:指的是在计算任务中需要处理的数据单元,可以是数组、矩阵、图像等。元素的数量决定了计算任务的规模。CPE即每个元素的周期数,它描述了处理器在执行特定计算任务时,每个元素所需的平均时钟周期数。CPE值越小,表示处理器执行相同计算任务时的效率越高。
网络安全缩略语汇编手册-C(CP-CrTRICS)(非常详细)零基础入门到精通,收藏 这一篇就够了
最新发布
leah126的博客
07-08 799
CPContingency Planning应急计划CSF控制系统应急计划是实现组织任务和业务职能运作连续性的总体计划的一部分。应急计划解决了当系统受到破坏或破坏时系统恢复和替代任务或业务流程的实施。应急计划在整个系统开发生命周期中都有考虑,是系统设计的基本部分。系统可以设计为冗余、提供备份功能和恢复能力。应急计划反映了组织系统所需的恢复程度,因为并非所有系统都需要完全恢复以达到所需的业务连续性水平。系统恢复目标反映了适用的法律、行政命令、指令、法规、政策、标准、指南、组织风险容忍度和系统影响水平。应急计划
CPE通用平台枚举
weixin_44153121的博客
07-01 2729
CPE全称是Common Platform Enumeration,意思是通用平台枚举项。它是对IT产品的统一命名规范,包括系统、平台和软件包等
网络安全常用术语解读通用配置枚举CCE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-04 1686
CCE列表为安全相关的系统配置问题提供了唯一的标识符,以便通过促进多个信息源和工具之间配置数据的快速准确关联来改进工作流程。
CPE命名标准 - Common Platform Enumeration
weixin_44063212的博客
09-17 1061
参考网站:https://nmap.org/book/output-formats-cpe.html 打开上面的网站,看第一段内容: Common Platform Enumeration (CPE) is a standardized way to name software applications, operating systems, and hardware platforms. CPE是(Common Platform Enumeration的缩写)以标...
(二)UIMA CPE
weixin_33946020的博客
01-20 112
2019独角兽企业重金招聘Python工程师标准>>> ...
网络安全专业术语英文缩写对照表
bdfcfff77fa的博客
08-14 1308
因在阅读文献过程中经常遇到各种专业缩写,所以把各种缩写总结了一下。
网络安全术语
dandelion0x0的博客
03-28 6048
数据外泄(Data Exfiltration) 数据外泄是指从应用程序或网络上非法传输或复制数据。这些数据可以是从支付信息到敏感知识产权的任何内容。 数据清理(Data Sanitation) 清理数据涉及去除任何特殊字符或保留字的数据,这些特殊字符或保留字可能导致用户输入作为代码意外和不需要的执行。它是防止与注入(包括 XSS、SQLi等)相关的攻击的有效手段。 数据泄露(Data Leakage) 与数据外泄不同,数据泄露意味着配置不当的服务或其他系统会意外暴露敏感数据。例如对公共互联网开放的
nvdtools:一组用于处理国家漏洞数据库(NVD)分发的提要(漏洞,CPE词典等)的工具。
02-05
NVD工具 用于处理源的工具的集合。 为如何有效使用这些工具提供了更广阔的视野。 要求 转到1.13或更高版本 安装 您需要正确设置Go环境。 下载NVD工具: go get github.com/facebookincubator/nvdtools/... 安装所有随附的命令行工具: cd " $GOPATH " /src/github.com/facebookincubator/nvdtools/cmd go install ./... 命令行工具 cpe2cve cpe2cve是一个命令行工具,用于扫描CPE名称清单中的漏洞。 它需要一行由定界符分隔的字段,这些字段之一是清单中
如何实现软件定义CPE
07-22
如果部署了软件定义CPE,运营商就可以通过软件升级方式来演进其集客接入网。在非-SDN 阶段,CPE被配置成传统的PTN或IP RAN设备。需要SDN的时候,就将CPE升级成支持OpenFlow 的设备。在未来,还可以将其继续升级成支持NFV的vCPE
Python-cvesearch是一种将CVE和CP导入MongoDB以便于搜索和处理CVE的工具
08-10
cve-search是一种将CVE(常见漏洞和暴露)和CPE通用平台枚举)导入MongoDB以便于搜索和处理CVE的工具。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
一些常见网络安全术语解释
JackComeOn的博客
10-14 7035
漏洞 漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。 常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。 恶意程序 恶意程序是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目 的的程序。恶意程序分类说明如下。 1特洛伊木马 特洛伊木马(简称木马)是以盗取用户个人信息、远程...
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
(网络安全数据集三)常见弱点枚举 CWE数据集和通用平台枚举 CPE解析
Bulldozer_GD的博客
09-12 2846
CWE解析 下面是CWE-209 信息的解析 包含 威胁名称 、相关弱点、常见后果、检测方法、缓解措施、例子和 条目更改的信息等。 <Weaknesses> <Weakness ID="209" Name="Information Exposure Through an Error Message" Abstraction="Base" Structure="Si...
网安术语简述( CVSS、EPSS 、CVE、CWE、CPE、APT、NVD、CNNVD、CNVD)
weixin_57405945的博客
05-21 747
CVSS(通用漏洞评分系统),用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。 EPSS (利用预测评分系统),是为了测量特定的漏洞在野外被利用的可能性。 CVE (通用漏洞和曝光),是一个公开的数据库,用于记录和识别已知的计算机安全漏洞、软件缺陷或安全风险。每个CVE条目都有一个唯一的标识符,用于引用特定的安全问题。 CWE ( 通用弱点枚举),为软件安全弱点提供了一个分类和命名系统,旨在通过对所有已识别的缺陷和暴露进行分类,帮助组织更好地解决漏洞。 CPE (通用平台枚举),是一个标
网络安全术语大全:v3.0权威汇总
这份文档涵盖了多个章节,包括但不限于网络安全专有名词详解、中英文术语表、特定厂商如Oracle和资讯安全网的专业词汇、信息安全认证考试指南(如CISSP和CISP)、ISO 27000标准术语以及参考资料等。 文档自v1.0版...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值