IPsec问题一

最新推荐文章于 2024-07-27 16:58:27 发布
最新推荐文章于 2024-07-27 16:58:27 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: linux协议栈

首先接收一个IPsec包(tunnel模式) 形式如下:IPa + ESP + IPb + L4 

经过xfrm_rcv后变成IPb + L4, 其中skb->sp保存的是esp(xfrm-state).,之后交给netif_rx, 

如果我没有记错的话,这里x->sel是IPb的信息,不是IPa的信息。 

xfrm_state{}的查找,有两个方向: 

1)outbound查找,即发送时的查找。 
此时,我们手里只有内层地址信息IPb,因为此时我们还不知道要添加 
什么样的外层地址信息IPa,这需要查找policy,然后得出外层IPa。当然, 
此时我们也没有spi。换句话说,我们只能通过内层IPb来查找xfrm_state{}, 
这就是selector查找,所谓selector查找,就是根据内层地址来查找相应的policy, 
并resolve template成xfrm_state{}。 

2)inbound查找,即接收时的查找。 
此时,我们手里的skb是外层的地址信息IPa,并且可以根据nexthdr得到spi, 
因此这里的查找是根据外层daddr和spi来进行的,找出来相应的xfrm_state{}后, 
附着在skb->sp上,由上面outbound查找我们知道,这个xfrm_state{}是和内层地址IPb 
相对应的。因此,在netif_rx()把内层报文重新注入协议栈进行处理时,可以再一次 
验证selector是否匹配,这就是上面你提到的__xfrm_policy_check()做的事情。 

 

setkey的add命令只是增加一个SA,而要能用上这个SA,还必须用spdadd来增加policy。 
在spdadd命令里面要指明内层address。 
其实,setkey的配置和内核的xfrm_state{}查找是一个道理: 
首先,outbound查找,手里只有内层地址,通过内层地址找到policy,这是由spdadd命令指定的。 
然后,根据spdadd命令指定的policy(会给出需要使用的xfrm_state{}的条件,比如外层地址,等),来查找SA, 
而SA是由setkey的add指令添加的,或者由racoon来协商。 

gogly
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux进程读越界后果,【CVE-2017-7184】Linux xfrm模块越界读写提权漏洞分析
weixin_36253537的博客
04-28 320
主要参考和补充p4nda的分析,非常详细。一、漏洞分析漏洞位于内核xfrm模块,该模块是IPSEC协议的实现模块。1.简介(1)IPSEC协议简介IPSEC是一个协议组合,它包含AH、ESP、IKE协议,提供对数据包的认证和加密功能,能帮助IP层建立安全可信的数据包传输通道。SA(Security Associstion):安全关联。SA由spi、ip、安全协议标识(AH或ESP)这三个参数唯一确...
一文带你走进Linux内核之XFRM框架
m0_73494896的博客
09-02 1468
XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。Psec(Internet协议安全)应该很多人都听过,IPsec是一组协议,他们通过对通信会话中的每个数据包进行身份验证和加密,以确保IP流量的安全。XFRM框架是IPsec的“基础设施”,IPsec通过XFRM框架实现的。XFRM源自USAGI项目,该项目旨在提供适用于生产环境的IPv6和IPsec协议栈。
strongswan常用命令解析(二)
jkwanga的博客
11-11 3000
strongswan常用命令解析 0 > ipsec reload //重新加载 ipsec.conf文件 1 > ipsec rereadsecrets //重新加载ipsec.secrets 2 > swanctl --reload-settings //重新加载strongswan.conf 3 > ipsec rereadcacerts //重新加载ca证书 4 > ipsec restart/start/stop //进程控制
Linux内核中的IPSEC实现(5)
dolphin98629的专栏
12-31 1618
Java代码   7. IPV4下的xfrm支持处理      在xfrm中各种和地址相关的操作是和协议族相关的, 因此这部分的具体实现就放在相关的协议族实现中, 然后通过状态和策略信息结构来指引到实际的操作中,完成对普通数据包的IPSEC包装或对IPSEC包的解封装。      7.1 IPV4下的xfrm策略      IPV4下的xfrm策略在net/ipv4/xf
DPDK:ipsec-secgw(安全网关)
hhd1988的专栏
04-25 1928
安全策略(SP)用ACL规则实现,安全关联(SA)存储在一个表,路由是通过LPM实现。
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
wireshark1.12和IPSec详解
03-13
根据提供的文件名“IPSec.docx”,我们可以期待一个关于IPSec的Microsoft Word文档,其中可能包含了详细的搭建教程、配置示例和问题解决策略。另一个文件“Wireshark-win32-1.12.0rc3.exe”是Wireshark 1.12.0候选...
IPsec密码学评估
11-09
文章详细探讨了IPsec中的认证头部(Authentication Header, AH)、封装安全负载(Encapsulating Security Payload, ESP)以及互联网密钥交换协议(Internet Key Exchange, IKE),并指出了这些组件存在的问题,特别...
ipsec原理总结
03-15
IPsec(Internet Protocol Security)是一种广泛使用的网络安全协议,旨在为 IP 网络提供高安全性特性。IPsec 技术原理包括两个主要部分:Authentication Header(AH)协议和 Encapsulated Security Payload(ESP)...
ipsec抓包.rar
10-03
多种抓取的wireshark报文,其中附带密钥信息,可以直接使用wireshark进行报文解密。...抓取的类型包括:主模式,野蛮模式,数字证书,预共享秘钥,多种加密套件,AH+ESP数据报文,IKEv1, IKEv2等多种场景和应用下的报文
DPDK峰会:Accelerate VPP Workload with DPDK Cryptodev Framework.pdf
12-04
DDPDK技术峰会PPT讲稿分享,DPDK开发者大会讲稿分享,演讲者英特尔资深工程师,该文档讨论了DPDK框架中的Cryptodev,如何在VPP/IPSec方案中使用Cryptodev,以及使用Intel QAT时的性能测量:Accelerate VPP Workload with DPDK Cryptodev Framework – Fan Zhang @ Intel
dpdk-ipsec-secgw 【dpdk20.11】
zhangyikuaile的博客
12-23 516
【代码】dpdk-ipsec-secgw 【dpdk20.11】
DPDK下IPsec内联卸载用例
最新发布
funtasty的专栏
07-27 1024
介绍DPDK下的ipsec测试用例。用于测试ipsec内联卸载基本功能。
Ipsec 的SPD和SAD详解
热门推荐
bytxl的专栏
11-03 1万+
8.6.1 IPSec机制的SPD SPD 的内容用来存放IPSec 的规则,而这些规则用来定义哪些流量需要走IPSec,这个数据库的内容相当多,笔者仅介绍我们需要知道的部分,这些信息有目的端IP、来源端IP、只执行AH 或ESP、同时执行AH 及ESP、目的端Port、来源端Port、走Transport 或Tunnel 模式。图8-35 即为SPD 的结构,从结构内容我们可以看到第一笔及
DPDK Release 21.05
weixin_37097605的博客
06-09 1023
点击上方蓝字 关注我们吧DPDK Release 21.05近期,DPDK团队正式发布了21.05版本,一起来看看有哪些新功能和变化吧。温馨提示:由于英文函数名较长,为了获得更佳的阅读体验...
基于路由和VTI虚拟接口的IPSec实现
redwingz的博客
12-02 3675
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...
IPSec穿越NAT
weixin_33943836的博客
07-06 585
IPSec在NAT环境中的部署是×××的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续×××部署方案做下铺垫。IPSec ×××穿越NAT会遇到哪些问题IPSec ×××穿越NAT遇到的问题主要有2个:1.穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec ×××中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,N...
Linux内核网络:实现和理论(2014)-第十章 IPsec
每天写一点,进步一点点
05-10 3894
... XFRM框架       IPsec基于XFRM(读作“transform”)框架实现,该框架源于USAGI项目,其目标是提供一种产品化的IPv6和IPsec协议栈。术语“transform”指的是在内核协议栈中根据一些IPsec规则转发入方向报文或者出方向报文。Linux内核2.5引入了XFRM框架,XFRM是一种协议族独立的基本框架,这意味着对于IPv4和IPv6而言存在一个通用的
Linux IPsec隧道技术详解
"基于Linux的IPSec之路" 在讲解基于Linux的IPSec之前,我们先了解下Tunnel技术。Tunnel技术是解决多办公点间私有网络...最后,在第8章中,作者介绍了strongswan,这是一个强大的、开源的IPSec实现。strongswan包括了st
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值