8.5 MD5选项

最新推荐文章于 2021-05-19 09:17:01 发布
最新推荐文章于 2021-05-19 09:17:01 发布
阅读量4.3k 收藏 5
点赞数 3
分类专栏: TCP协议 TCP协议详解 文章标签: linux内核 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/44942679
版权

8.5.1 选项功能

  TCP MD5选项用于强化BGP协议的安全性,其基本原理是在TCP报文段的选项中携带MD5摘要。这个摘要的行为类似于这个报文的签名,其中包含这只有通信双方才能理解的信息。如果BGP协议使用TCP作为其传输层协议,使用MD5选项会有效减少安全隐患。

8.5.2 协议规范

  TCP MD5选项的规范由RFC 2385提出。

  每一个TCP报文段都应该携带MD5选项(包含一个16字节的MD5 digest)。MD5算法的输入数据如下(严格按照顺序):

(1)TCP伪首部(源IP,目的IP,填充0的协议号,报文长度)

(2)TCP首部,不包含选项,checksum计为0

(3)TCP数据段(如果有)

(4)密钥或口令,这个需要TCP通信双方和连接规范都知晓

  接收方收到TCP报文时,必须根据报文的信息以及自己的密钥来计算digest,并与报文中的digest进行比较。如果比较失败则必须丢弃报文,并且不能产生任何响应。这样就大大增加了攻击者通过伪造TCP报文实施对BGP协议的攻击的难度。

8.5.3 开启方法

  Linux内核需要开启CONFIG_TCP_MD5SIG编译选项才能支持TCP MD5选项功能。应用进程还需要使用TCP_MD5SIG socket选项导入密钥:

struct tcp_md5sig cmd;
...
setsockopt(sockfd, SOL_TCP, TCP_MD5SIG,  &cmd, sizeof(cmd));
  其中struct tcp_md5sig的定义为: 
191 #define TCP_MD5SIG_MAXKEYLEN    80
192 
193 struct tcp_md5sig {
194     struct __kernel_sockaddr_storage tcpm_addr; /* address associated */
195     __u16   __tcpm_pad1;                /* zero */
196     __u16   tcpm_keylen;                /* key length */
197     __u32   __tcpm_pad2;                /* zero */
198     __u8    tcpm_key[TCP_MD5SIG_MAXKEYLEN];     /* key (binary) */
199 };

  其中tcpm_addr是要通信的服务器的地址(IP地址、端口等),如果sockfd要与N个机器进行通信则需要调用N此setsockopt系统调用来导入相应的地址-密钥对。举个例子,如果A要与B通信,则A需要调用setsockopt来导入B的地址和一个密钥Key,而B也需要调用setsockopt来导入A的地址和与A相同的密钥Key,然后双方才能使用MD5选项进行通信。

8.5.4 内核实现

  TCP_MD5SIG socket选项对应的内核代码为:

2371 static int do_tcp_setsockopt(struct sock *sk, int level,
2372         int optname, char __user *optval, unsigned int optlen)
2373 {
...
2605 #ifdef CONFIG_TCP_MD5SIG
2606     case TCP_MD5SIG:
2607         /* Read the IP->Key mappings from userspace */
2608         err = tp->af_specific->md5_parse(sk, optval, optlen); //指向tcp_v4_parse_md5_keys函数
2609         break;
2610 #endif
...
  tcp_v4_parse_md5_keys用于导入MD5签名的密钥(key): 

1083 static int tcp_v4_parse_md5_keys(struct sock *sk, char __user *optval,
1084                  int optlen)
1085 {  
1086     struct tcp_md5sig cmd;
1087     struct sockaddr_in *sin = (struct sockaddr_in *)&cmd.tcpm_addr;
1088    
1089     if (optlen < sizeof(cmd))
1090         return -EINVAL;
1091    
1092     if (copy_from_user(&cmd, optval, sizeof(cmd)))
1093         return -EFAULT;
1094 
1095     if (sin-&
最低0.47元/天 解锁文章
Remy1119
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 34 网络编程socket选项实践
分享各种网络协议知识
07-10 431
SOCKET选项 获取或者设置与某个套接字关联的选项选项可能存在于多层协议中,他们总会出现在最上面的套接字层。当操作套接字选项时,选项位于的层和选项的名称必须给出。为了操作套接字层的选项,应该将层的值指定为SOL_SOCKET。为了操作其它层的选项,控制选项的合适协议号必须给出。例如,为了表示一个选项TCP协议解析,层应该设定为协议号TCP。 用法: int getsockopt(int so...
Linux RFC2385 Project-开源
05-03
适用于Linux的RFC-2385(通过TCP MD5签名选项保护BGP会话)的实现。
TCP协议传输大文件(使用了md5校验保证传输的正确性)
ma_cainiao_ming的博客
04-10 927
需求背景: 将嵌入式系统的系统文件下载到下位机的sd卡中并替换旧的系统文件;达到系统升级的目标; 开发环境: 上位机发送端使用windows系统,Labwindow/CVI软件; 下位机接收端使用linux16.04系统,Zynq提供的SDK开发环境; 上位机发送端代码: //声明套接字缓冲区和一次发送文件数据的缓冲区大小 #define SOCKET_BUFF 80000 //套接字缓冲区大小 #define PACK_BUFF 50000
c语言socket编程md5校验,TCP是可靠传输,应用层是否还需要做校验
weixin_39949584的博客
05-19 659
为建立中文知识库加块砖       ——中科大胡不归这是一篇转载的文章,主要回答此文标题“TCP是可靠传输,应用层是否还需要做校验”。1. 背景最近面试了很多的学生,发现很多TCP的新手对于TCP的使用有一些误区,而这些坑也是当初我曾经疑惑过得地方。网上很少有文章对这些问题有过详细的解析,即是有也只是直接给出结论和做法,没有人将其中的来龙去脉讲解清楚,所以我将这些问题的来龙去脉在这一系列的文章中讲...
quagga源码学习--BGP协议对等体连接tcp md5签名认证选项
weixin_30885111的博客
01-26 259
bgp使用tcp连接,每个bgp实例自身是peer的一个tcp server端,同时也是peer的tcp client端。 1、在bgp_create之后都建立自己的socket服务端开始监听179端口: 1 bgp = bgp_create(as, name); 2 bgp_router_id_set(bgp, &router_id_zebra); 3 ...
TCP/UDP HTTP md5
nculph的专栏
03-16 446
1.TCP 与UDP 区别和联系 如何使用TCP的定义及特点: TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。UDP的定义及特点: UDP—用户数据报协议,是一个简单的面向数据报的运输层协议。提供的是非面向连接的、
openssh8.5p1离线升级文件.rar
03-12
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --without-openssl-md5 --with-ssl-dir=/usr/lib64/openssl ``` 编译源代码: ```bash make ``` 然后,作为root用户安装新编译的OpenSSH二进制文件...
Java基础教程.md.pdf
01-17
- 运行安装程序,选择安装路径和其他选项。 - 安装完成后启动MyEclipse10。 ##### 2.4 MyEclipse10的初步设置 - 配置工作空间。 - 设置编码格式。 - 调整界面布局。 #### 3. Java基础语法 ##### 3.1 第一个Java...
05_Portal8.5集群安装手册v1.0.doc
03-31
确认安装介质的完整性和正确性,通常为ISO镜像文件,通过MD5或SHA校验和进行验证。 #### 1.7 检查IM是否安装 IM(Installation Manager)是IBM软件安装的工具,必须先安装IM以便进行后续的Portal安装。 ### 2. ...
jupyter notebook中主题皮肤设置命令 jt 的命令行选项记录
01-09
Jupyter Notebook主题皮肤库都是 jt 开头,选项如下: 使用帮助:-h 主题列表: -l 主题名称安装: -t 代码的字体: -f 代码字体大小: -fs(默认值:11 ) Notebook 字体: -nf Notebook 字体大小: -nfs( 默认值...
MySQL 5.1参考手册
10-15
2.1.4. 通过MD5校验和或GnuPG验证软件包的完整性 2.1.5. 安装布局 2.2. 使用二进制分发版的标准MySQL安装 2.3. 在Windows上安装MySQL 2.3.1. Windows系统要求 2.3.2. 选择安装软件包 2.3.3. 用自动安装器安装...
linux C语言多文件网络传输(+MD5校验)
Skynet的博客
06-16 1064
linux操作系统了,写了一个C语言的网络文件传输,基于TCP/IP协议,同时加了MD5校验 客户端client.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <fcntl.h> #include <sys/types.h> ...
md5 tcp/ip通讯乱码解决
fzhang的专栏
06-22 2108
数据在传输过程中,因为中文编码或者编码不一致导致乱码问题 今天遇到,网上搜索的很多资料,最终得以解决。主要是通过md5加密算法设置一种统一的加密算法,保证编码的一致性,而我用了ascii编码,这样在数据传输过程中就不会出现乱码 代码如下: public static string MD5(string encypStr, string charset)         {
TCP/IP (转载)
androidchuange的博客
06-09 389
古老的问题 1)TCP 最小的端口号是多少? 2)TCP 帧中有一个叫做 URG Pointer 的字段,什么时候会用到该字段? 3)RST 包能有荷载么? 4)什么时候会用到 IPv6 里的“flow”字段? 5)socket中的 IP_FREEBIND 选项有什么用? 被遗忘奇葩问题 6)PSH 标志实际上有什么用? 7)TCP 时间戳和 SYN
TCP连接建立系列 — TCP选项解析
zhangskd的专栏
01-06 1万+
TCP选项解析   清零TCP选项。 static inline void tcp_clear_options(struct tcp_options_received *rx_opt) { rx_opt->tstamp_ok = rx_opt->sack_ok = 0; rx_opt->wscale_ok = rx_opt->snd_wscale = 0; r
TCP
linux系统、网络编程和分布式计算
05-22 1167
*  *    @(#)tcp.h    8.1 (Berkeley) 6/10/93  */ #ifndef _NETINET_TCP_H #define _NETINET_TCP_H    1 #include /*  * User-settable options (used with setsockopt).  */ #define    TCP_NODEL
常用的TCP Option
热门推荐
blakegao的专栏
02-18 3万+
TCP Options   当前,TCP常用的Option如下所示 ———— Kind (Type) Length Name Reference 描述 & 用途 0 1 EOL RFC 793 选项列表结束
TCP/IP第四层--传输层TCP数据报文详解
JackyOps
10-25 1957
与UDP不同的是,TCP提供了一种面向连接的、可靠的字节流服务。TCP协议的可靠性主要有以下几点保障:       (1)应用数据分割成TCP认为最适合发送的数据块。这部分是通过“MSS”(最大数据包长度)选项来控制的,通常这种机制也被称为一种协商机制,MSS规定了TCP传往另一端的最大数据块的长度。值得注意的是,MSS只能出现在SYN报文段中,若一方不接收来自另一方的MSS值,则MSS就定
eclipse没有tomcat8.5选项
最新发布
03-16
可能是因为您的Eclipse版本较老,没有更新到支持Tomcat 8.5的版本。您可以尝试更新Eclipse或手动添加Tomcat 8.5作为服务器选项。具体操作可以参考Eclipse官方文档或相关教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值