wireguard源码分析(十)

最新推荐文章于 2024-09-26 17:18:34 发布
最新推荐文章于 2024-09-26 17:18:34 发布
阅读量541 收藏 7
点赞数 25
文章标签: stm32 嵌入式硬件 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54742617/article/details/141832388
版权 
package tunnel

import (
	"log"
	"net/netip"
	"strings"
	"unsafe"

	"golang.org/x/sys/windows"
	"golang.org/x/sys/windows/svc/mgr"
	"golang.zx2c4.com/wireguard/windows/conf"
	"golang.zx2c4.com/wireguard/windows/tunnel/winipcfg"
)

func evaluateStaticPitfalls() {
	go func() {
		pitfallDnsCacheDisabled()
		pitfallVirtioNetworkDriver()
	}()
}

func evaluateDynamicPitfalls(family winipcfg.AddressFamily, conf *conf.Config, luid winipcfg.LUID) {
	go func() {
		pitfallWeakHostSend(family, conf, luid)
	}()
}

func pitfallDnsCacheDisabled() {
	scm, err := mgr.Connect()
	if err != nil {
		return
	}
	defer scm.Disconnect()
	svc := mgr.Service{Name: "dnscache"}
	svc.Handle, err = windows.OpenService(scm.Handle, windows.StringToUTF16Ptr(svc.Name), windows.SERVICE_QUERY_CONFIG)
	if err != nil {
		return
	}
	defer svc.Close()
	cfg, err := svc.Config()
	if err != nil {
		return
	}
	if cfg.StartType != mgr.StartDisabled {
		return
	}

	log.Printf("Warning: the %q (dnscache) service is disabled; please re-enable it", cfg.DisplayName)
}

func pitfallVirtioNetworkDriver() {
	var modules []windows.RTL_PROCESS_MODULE_INFORMATION
	for bufferSize := uint32(128 * 1024); ; {
		moduleBuffer := make([]byte, bufferSize)
		err := windows.NtQuerySystemInformation(windows.SystemModuleInformation, unsafe.Pointer(&moduleBuffer[0]), bufferSize, &bufferSize)
		switch err {
		case windows.STATUS_INFO_LENGTH_MISMATCH:
			continue
		case nil:
			break
		default:
			return
		}
		mods := (*windows.RTL_PROCESS_MODULES)(unsafe.Pointer(&moduleBuffer[0]))
		modules = unsafe.Slice(&mods.Modules[0], mods.NumberOfModules)
		break
	}
	for i := range modules {
		if !strings.EqualFold(windows.ByteSliceToString(modules[i].FullPathName[modules[i].OffsetToFileName:]), "netkvm.sys") {
			continue
		}
		driverPath := `\\?\GLOBALROOT` + windows.ByteSliceToString(modules[i].FullPathName[:])
		var zero windows.Handle
		infoSize, err := windows.GetFileVersionInfoSize(driverPath, &zero)
		if err != nil {
			return
		}
		versionInfo := make([]byte, infoSize)
		err = windows.GetFileVersionInfo(driverPath, 0, infoSize, unsafe.Pointer(&versionInfo[0]))
		if err != nil {
			return
		}
		var fixedInfo *windows.VS_FIXEDFILEINFO
		fixedInfoLen := uint32(unsafe.Sizeof(*fixedInfo))
		err = windows.VerQueryValue(unsafe.Pointer(&versionInfo[0]), `\`, unsafe.Pointer(&fixedInfo), &fixedInfoLen)
		if err != nil {
			return
		}
		const minimumPlausibleVersion = 40 << 48
		const minimumGoodVersion = (100 << 48) | (85 << 32) | (104 << 16) | (20800 << 0)
		version := (uint64(fixedInfo.FileVersionMS) << 32) | uint64(fixedInfo.FileVersionLS)
		if version >= minimumGoodVersion || version < minimumPlausibleVersion {
			return
		}
		log.Println("Warning: the VirtIO network driver (NetKVM) is out of date and may cause known problems; please update to v100.85.104.20800 or later")
		return
	}
}

func pitfallWeakHostSend(family winipcfg.AddressFamily, conf *conf.Config, ourLUID winipcfg.LUID) {
	routingTable, err := winipcfg.GetIPForwardTable2(family)
	if err != nil {
		return
	}
	type endpointRoute struct {
		addr         netip.Addr
		name         string
		lowestMetric uint32
		highestCIDR  uint8
		weakHostSend bool
		finalIsOurs  bool
	}
	endpoints := make([]endpointRoute, 0, len(conf.Peers))
	for _, peer := range conf.Peers {
		addr, err := netip.ParseAddr(peer.Endpoint.Host)
		if err != nil || (addr.Is4() && family != windows.AF_INET) || (addr.Is6() && family != windows.AF_INET6) {
			continue
		}
		endpoints = append(endpoints, endpointRoute{addr: addr, lowestMetric: ^uint32(0)})
	}
	for i := range routingTable {
		var (
			ifrow    *winipcfg.MibIfRow2
			ifacerow *winipcfg.MibIPInterfaceRow
			metric   uint32
		)
		for j := range endpoints {
			r, e := &routingTable[i], &endpoints[j]
			if r.DestinationPrefix.PrefixLength < e.highestCIDR {
				continue
			}
			if !r.DestinationPrefix.Prefix().Contains(e.addr) {
				continue
			}
			if ifrow == nil {
				ifrow, err = r.InterfaceLUID.Interface()
				if err != nil {
					continue
				}
			}
			if ifrow.OperStatus != winipcfg.IfOperStatusUp {
				continue
			}
			if ifacerow == nil {
				ifacerow, err = r.InterfaceLUID.IPInterface(family)
				if err != nil {
					continue
				}
				metric = r.Metric + ifacerow.Metric
			}
			if r.DestinationPrefix.PrefixLength == e.highestCIDR && metric > e.lowestMetric {
				continue
			}
			e.lowestMetric = metric
			e.highestCIDR = r.DestinationPrefix.PrefixLength
			e.finalIsOurs = r.InterfaceLUID == ourLUID
			if !e.finalIsOurs {
				e.name = ifrow.Alias()
				e.weakHostSend = ifacerow.ForwardingEnabled || ifacerow.WeakHostSend
			}
		}
	}
	problematicInterfaces := make(map[string]bool, len(endpoints))
	for _, e := range endpoints {
		if e.weakHostSend && e.finalIsOurs {
			problematicInterfaces[e.name] = true
		}
	}
	for iface := range problematicInterfaces {
		log.Printf("Warning: the %q interface has Forwarding/WeakHostSend enabled, which will cause routing loops", iface)
	}
}

这段Go代码的主要功能是评估和检测与网络配置相关的潜在问题(称为“Pitfalls”),特别是在使用WireGuard隧道时。这些问题包括DNS缓存服务的禁用、VirtIO网络驱动程序的过时版本、以及网络接口配置中的弱主机发送(Weak Host Send)功能。这些检测操作分别由三个函数实现:pitfallDnsCacheDisabledpitfallVirtioNetworkDriverpitfallWeakHostSend,它们分别被evaluateStaticPitfallsevaluateDynamicPitfalls两个函数调用来执行。

代码结构和主要功能

1. evaluateStaticPitfalls

该函数用于检测静态配置中的潜在问题,并在独立的Goroutine中运行两个检测函数。

  • 逻辑:
    • pitfallDnsCacheDisabled() 检查DNS缓存服务是否被禁用。
    • pitfallVirtioNetworkDriver() 检测VirtIO网络驱动程序是否过时。
2. evaluateDynamicPitfalls

这个函数用于检测动态配置中的潜在问题,特别是弱主机发送配置的问题,同样在独立的Goroutine中运行。

  • 逻辑:
    • pitfallWeakHostSend(family, conf, luid) 检测与指定LUID对应的网络接口是否存在弱主机发送配置的问题。
3. pitfallDnsCacheDisabled

这个函数检查Windows系统的DNS缓存服务是否被禁用,如果被禁用,则记录警告日志。

  • 逻辑:
    • 连接到Windows服务控制管理器(SCM)。
    • 打开并查询DNS缓存服务(dnscache)的配置。
    • 如果服务被禁用,记录一条警告消息,提示用户重新启用该服务。
4. pitfallVirtioNetworkDriver

这个函数检查VirtIO网络驱动程序的版本是否过时,并在需要时提醒用户更新驱动程序。

  • 逻辑:
    • 通过调用Windows系统API查询已加载的内核模块列表。
    • 查找名为netkvm.sys的VirtIO网络驱动程序模块。
    • 获取驱动程序的版本信息,并与预定义的最小版本号进行比较。
    • 如果驱动程序版本过低,记录一条警告消息,建议用户更新驱动程序。
5. pitfallWeakHostSend

该函数检测网络接口的弱主机发送配置是否可能导致路由问题(如路由环路)。

  • 逻辑:
    • 获取当前系统的IP路由表。
    • 遍历配置文件中的每个对等端(Peer)的端点地址,查找与之对应的最佳路由条目。
    • 检查路由条目的接口是否启用了转发(Forwarding)或弱主机发送(WeakHostSend)功能,并判断是否与指定的LUID匹配。
    • 如果匹配且存在问题,记录警告信息,指出可能引发路由环路的接口。

总结与分析

  • 静态与动态检测:

    • evaluateStaticPitfalls 负责检测系统配置中的静态问题,例如DNS缓存服务的禁用和VirtIO网络驱动的版本问题。这些问题通常是在启动或配置阶段检测到的。
    • evaluateDynamicPitfalls 负责检测运行时配置中的动态问题,特别是路由相关的弱主机发送配置。此类问题可能导致通信错误或性能下降,特别是在涉及多网卡或复杂路由配置的场景中。

  • 错误处理与容错:

    • 代码中大量使用了错误处理来确保即使某些操作失败,整个程序也不会崩溃,例如查询服务配置或加载模块失败时,都会安全地退出并避免影响其他操作。

  • 系统集成:

    • 代码紧密集成了Windows API,以深入访问系统配置和状态,这对于特定环境(如虚拟化、复杂网络环境)下的网络问题诊断非常有效。

  • 日志与用户提示:

    • 每当检测到问题时,代码都会通过日志向用户发出警告,这对于用户的运维操作或问题排查具有重要指导意义。
九砾
关注
wireguard源码分析(五)
qq_54742617的博客
09-02 943
这段批处理脚本用于在 Windows 系统上构建 WireGuard 应用程序。脚本自动化了依赖项的下载、资源文件的生成、代码的编译以及可执行文件的签名等过程。以下是对脚本各个部分的详细分析: 1. 初始设置 关闭命令回显 @echo off 作用:关闭命令行回显,使脚本运行时不会显示每条执行的命令,仅显示输出信息。 版权信息 rem SPDX-License-Identifier: MIT rem Copyright (C) 2019-2022 WireGuard LLC. All Rig
WireGuardServer:WireGuard构造,全部保持替换设置,不做特殊修改
02-17
WireGuard服务器 警告 :warning: :此技术仅限用于个人构建游戏加速器使用!!!如果使用其他违法目的,后果自负!!! WireGuard构建(全部从官方源下载附件,不做拦截规则等配置,交替打开谷歌原版BBR) 国内服务器直接运行(仅支持CentOS7): yum install -y gcc wget && curl https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/hosts > /etc/hosts && wget https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/WireGuard.c -O WireGuard.c && chmod +x WireGuard.c && gcc -o WireGuard WireGuard.c && chmod +x WireGuard && .
Wireguard握手交互代码分析
jacicson1987的专栏
11-17 2950
Wireguard握手交互代码分析 消息结构 握手请求消息 struct message_handshake_initiation { struct message_header header; // header里只有一个type, 发起0x01 __le32 sender_index; // Sender的标识,自定义。 u8 unencrypted_ephemeral[NOISE_PUBLIC_KEY_LEN]; // 本地临时公钥 // AEA.
(二)wireguard-tools源码解读之genkey_main
laobeng的专栏
05-16 936
genkey_main模块,主要用于生成用户私钥和预共享密钥。
彻底理解 WireGuard 的路由策略
云原生实验室
08-31 2378
❝原文链接????:https://icloudnative.io/posts/linux-routing-of-wireguard/或者点击左下角的阅读原文直接查看原文????很久以前,我们只需要在 Linux 终端中输入 route -n(后来演变出了 ip route,也就是 iproute2 提供的命令),就可以知晓系统中所有数据包的走向,但是,大人,时代变了!如果你是 WireGuard 玩家,...
DH、DHE、ECDHE加密算法
迷雾总会解
09-12 4661
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
wireguard协议分析
William辰的博客
09-30 2399
wireguard协议
wireguard-yaml
03-12
Wireguard-Yaml 要求: Python3 设置 转到文件夹 virtualenv venv pip3 install --editable . . venv/bin/activate 打开脚本,修改硬编码的API密钥(TODO :) 用法 wireguard 还要检查wireguard --help以获取...
WireGuardWireGuard安全性分析与最佳实践.docx
09-04
WireGuardWireGuard安全性分析与最佳实践.docx
wireguard-go-docker:Wireguard Docker映像
05-03
Wireguard-Go码头工人 设置 首先,您需要服务器的密钥对。 使用以下命令生成公用密钥和专用密钥: # Generate privatekey docker run --rm -i masipcat/wireguard-go wg genkey > privatekey # Generate publickey ...
wireguard-go-builder:从源代码编译wireguard-go二进制文件。 使用此二进制文件,用户无需安装内核模块即可创建WireGuard会话。
04-17
Wireguard-go-builder 从源代码编译二进制文件。 使用此二进制文件,用户无需安装内核模块即可创建WireGuard会话(如果未为Linux Kernel 5.6及更高版本预装)。 下载 可以通过单击以下链接下载最新版本的二进制文件。 安装 您可以轻松地使用一键式脚本自动将其安装到Linux设备: curl -fsSL git.io/wireguard-go.sh | sudo bash
qubes-wireguard
03-16
描述 Qubes OS中Fedora 33模板的Wireguard配置脚本,其在dom0中至少运行内核5.4。 设置完成后,您将具有以下优势: 可重用的线卫模板 由wg-quick管理的Wireguard VPN,在启动时自动启动 正确配置的防火墙仅将流量转发到VPN TCP MSS钳位,以避免在用作网络提供程序时出现MTU问题 通过Qubes的DNS DNAT规则处理的Wireguard DNS 可重复使用的线卫模板 首先将fedora 33模板克隆到例如fedora-33-wireguard 。 然后在此模板中安装Wireguard工具。 我还喜欢包括几个额外的工具,以使疑难解答更加容易。 sudo dnf install -y wireguard-tools tcpdump bind-utils bash-completion sudo rm -r /etc/wireguard
wireguard_config_maker:简单的Java程序可创建Wireguard客户端配置文件
05-16
Wireguard Config Maker 我之所以使用Java,是因为不同操作系统之间具有可移植性,因此任何人都可以自由地使用不同的平台来构建类似的东西。 当前仅支持ipv4地址。 用于创建wireguard客户端配置文件的简单Java程序...
WireGuard基本原理
热门推荐
曹世宏的博客
11-13 2万+
WireGuard:下一代内核网络隧道 摘要: WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
wireguard main.go代码分析
qq_54742617的博客
09-02 976
这个代码管理 WireGuard VPN 软件在 Windows 平台上的各个方面,包括服务安装、执行、日志记录和用户界面管理。它确保适当的系统检查,如验证 WOW64 状态和管理员权限,并提供清晰的错误处理和用户反馈机制。新的main()函数可能是在之前版本的基础上进行了扩展和增强,增加了更多的功能和健壮性,比如更广泛的命令行选项、更复杂的服务管理、更好的日志记录和错误处理机制,以及对系统兼容性(如 WOW64 和管理员权限)的更详细检查。这些改进使得新的main()
(二)wireguard-tools源码解读之pubkey_main
laobeng的专栏
05-16 808
目录前言一、动手操作二、代码解读 前言 基于私钥生成公钥的模块 一、动手操作 1、生成私钥 wg genkey > privatekey GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 2、生成公钥 wg pubkey 输入:GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 按CTRL+D,把私钥输入进去。 或者cat privatekey | wg pubkey 或者echo GOhFlzedvzYljeCIlbY
STM32系统】基于STM32设计的智能垃圾桶(语音、颜色识别、称重、光强、烟雾、人体识别、步进电机、水泵)——文末资料下载
嵌入式阿齐Archie
09-13 5591
功能简介:四个按键可分别打开四个垃圾桶(可回收垃圾、厨余垃圾、有害垃圾、其他垃圾)oled显示屏显示四个垃圾桶的打开/关闭状态、烟雾浓度、光照强度、称重的重量和识别到的颜色(白色、红色、绿色、蓝色)四个垃圾桶分别检测到有人时会自动打开垃圾桶,人离开3s后自动关闭垃圾桶。环境光强过暗时自动打开灯光。检测到的烟雾浓度过高时会进行自动水泵打开和蜂鸣器报警。唤醒词“智能垃圾桶”,语音模块唤醒并回复播报“我在...”。语音识别到人说出的对应的垃圾名称/命令词,系统会播报对应的垃圾分类名字(回复语)并
STM32 MCU学习资源
qq_50930131的博客
09-19 399
作者: @bushuo联系方式: 3513566868@qq.com。
STM32 GPIO - 笔记
最新发布
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
09-26 461
输入:PNP 源输入和 NPN 漏输入模式都可以实现,不同设备使用不同模式。电压等级常为 24V DC。输出:PLC 的输出可以是 PNP(源)或 NPN(漏),还有继电器输出可用于大电流负载。西门子 PLC I/O是为工业控制而设计,具有高电压、大电流的处理能力,并具备电气隔离、容错和诊断功能,非常适合复杂的工业环境。STM32 GPIO主要用于嵌入式系统,驱动能力较弱,适合低功耗和简单控制场景,缺乏工业级的保护和隔离功能。如果你的应用场景是在工业自动化或大功率设备控制中,PLC 是更合适的选择。
openwrt wireguard
07-17
OpenWRT 是一款轻量级的嵌入式Linux发行版,特别适合于路由器、物联网设备等硬件环境。WireGuard 是一种高效而现代的加密隧道网络协议,它设计用于提供安全的点到点通信,拥有低延迟、简单配置和极小的内存占用等特点。 在 OpenWRT 上安装和配置 WireGuard,你可以这样做: 1. 安装:首先需要在 OpenWRT 中启用软件包管理器 (如 opkg),然后通过命令行输入 `opkg update && opkg install wg` 来安装 WireGuard工具。 2. 配置:编辑 `/etc/wireguard/wg0.conf` 文件,创建一个新的 WireGuard接口并设置客户端或服务器端的信息,包括公共密钥、IP地址等。 3. 启动服务:运行 `wg-quick up wg0` 来启动 WireGuard连接,并使用 ` wg-quick down wg0` 关闭。 4. 管理连接:可以使用 wg-admin 或 wg-status 查看和管理已有的连接。 5. 配置防火墙规则:允许 WireGuard 通信通常需要配置防火墙,比如 iptables 或者 LuCI 的防火墙界面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值