linux ssl关闭重协商服务,openssl重协商失败

最新推荐文章于 2023-11-07 20:42:30 发布
最新推荐文章于 2023-11-07 20:42:30 发布
阅读量2.3k 收藏
点赞数 1
文章标签: linux ssl关闭重协商服务

1.使用openssl在tcp上建立加密通道

2.在7秒到14秒之间,随时有可能进行重新协商

3.协商过程中,C/S端不停止调用SSL_read和SSL_write

通过代码可以看出:

1.SSL_read/write首先检查是否需要重协商

2.需要重协商的情况下,检查业务读写缓冲区中是否数据,有数据等待处理完

3.业务读写缓冲区没有数据的情况下,设置RENEGOTIATE标志,从这个点开始SSL_in_init则判断成功

4.后面在读写之前,都需要先握手协商

结果:

1.s3_pkt.c中,ssl3_read_bytes产生unexpected alerts

跟踪分析:

1.客户端在发送client_hello后

2.准备接收server hello

3.ssl3_read_bytes收到的数据为业务数据

理论上这种事有可能的:

1.客户端发现读写缓冲区为空

2.进入重协商阶段

3.业务数据从server端发出

4.客户端发出client hello后,收到业务数据

openssl理论上应该可以避免该问题,继续跟踪。

====================================================================分割线

经过对代码的跟踪:

确定问题代码:

s3_pkt.c ssl3_read_bytes

在tls协商阶段,收到业务报文,此时只能是SSL_read调用,否则就向对端发送fatal alerts

if (s->s3->in_read_app_data &&

(s->s3->total_renegotiations != 0) &&

((

(s->state & SSL_ST_CONNECT) &&

(s->state >= SSL3_ST_CW_CLNT_HELLO_A) &&

(s->state <= SSL3_ST_CR_SRVR_HELLO_A)

) || (

(s->state & SSL_ST_ACCEPT) &&

(s->state <= SSL3_ST_SW_HELLO_REQ_A) &&

(s->state >= SSL3_ST_SR_CLNT_HELLO_A)

)

))

{

s->s3->in_read_app_data=2;

return(-1);

}

else

{

printf("ERROR(%s, %d): rr->type(%d)!!, s->s3->in_read_app_data: %d"

", s->s3->total_renegotiations: %d\n",

__FILE__, __LINE__, rr->type, s->s3->in_read_app_data, s->s3->total_renegotiations);

al=SSL_AD_UNEXPECTED_MESSAGE;

SSLerr(SSL_F_SSL3_READ_BYTES,SSL_R_UNEXPECTED_RECORD);

goto f_err;

}

现在客户端问题解决,服务端问题来了。服务端写send_server_hello出错了。 TLS_accept: error in SSLv3 write server hello B

=========================================================================分割线

由于服务端采用长度为0的定时器,开足马力的发送数据,此时出现这种情况:

1.S端调用SSL_write,生成了加密数据,但是socket对应的内核发送缓冲区满了,此时数据驻留在tls中

2.此时C端regegotiate,发送了client_hello

3.S端SSL_read读取到后,rwstate为SSL_READ,state进入SSL_ST_ACCEPT,调用handshake(ssl3_accept)

4.ssl3_accept状态迁移CW_SERVER_HELLOA,调用到ssl3_write_bytes设置rwstate为SSL_NOTHING,最终调用到ssl3_write_pengding,进行如下判断:

if ((s->s3->wpend_tot > (int)len)

|| ((s->s3->wpend_buf != buf) &&

!(s->mode & SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER))

|| (s->s3->wpend_type != type))

{

printf("+++++++(%s, %d)++++++++++++++++++, len: %d"

"s->s3->wpend_tot: %d, s->s3->wpend_buf:%p, buf: %p,"

" s->mode:%d, s->s3->wpend_type: %d, type: %d, s->rwstate: %d\n",

__FILE__, __LINE__,  len, s->s3->wpend_tot, s->s3->wpend_buf, buf,

s->mode, s->s3->wpend_type, type, s->rwstate);

SSLerr(SSL_F_SSL3_WRITE_PENDING,SSL_R_BAD_WRITE_RETRY);

return(-1);

}

5.函数栈返回,调用SSL_get_error获取错误,SSL_want_read和SSL_want_write检查rwstate为SSL_READ和SSL_WRITE,此时为SSL_NOTHING,严重错误

TLS上层断开

解决办法:

修改状态机,让写缓冲满进行握手为正常状态。(改库代码,太不友好)

看一下各个版本,其中有没有提到解决该问题的

================================================================分割线

解决办法:调用SSL_write在未成功前不放弃CPU,可能一定程度上会影响效率。这种情况是不修改库代码的最终选择

阅读(3852) | 评论(0) | 转发(0) |

意大利老油条
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux关闭SSL协商功能,Nginx启动SSL功能,并进行功能优化详细介绍
weixin_42502016的博客
05-15 1356
Nginx启动SSL功能,并进行功能优化,你看这个就足够了一:开始Nginx的SSL模块1.1 Nginx如果未开启SSL模块,配置Https时提示错误nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37原因也很简单,nginx缺少http_ssl...
密码套件:密码,算法和协商安全设置(一)
peipei890819的博客
11-17 978
如果我们在与SSL / TLS和HTTPS加密的交互时间足够长,那么我们将会遇到“密码套件”这一个词组。听起来像一个某种服务套餐,但确实密码套件在我们通过Internet建立的每个HTTPS连接中都起着至关要的作用。 那么,什么是密码套件? 密码是一种算法,密码算法是密码协议的基础,用于加密和解密的数学函数。更具体地说,密码算法是执行密码功能的一组步骤-可以是加密,解密或数字签名。 随着科技的迅猛发展,密码变得更加复杂,但其背后的逻辑一直保持不变。今天,我们讨论SSL / TLS密码套件,关于它们的各个部
TLS & SSLv3 renegotiation
03-10
ssl漏洞This paper explains the vulnerability for a broader audience and summarizes the information that is currently available. The document is prone to updates and is believed to be accurate by the time of writing
OpenSSL握手协商过程中存在漏洞可导致拒绝服务
鹈鹕门将的博客
05-23 2965
OpenSSL是一个非常流行的通用加密库,可为Web认证服务提供SSL/TLS协议的具体实现。最近以来,人们发现OpenSSL中存在几个漏洞。我们写过几篇文章分析这些漏洞,包括“CVE-2017-3731:截断数据包可导致OpenSSL拒绝服务”、“SSL死亡警告(CVE-2016-8610)可导致OpenSSL服务器拒绝服务”等。今天,我们将要分析的是CVE-2017-3733这个高危级漏洞,即E
绿盟漏洞 :服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)【原理扫描】
深夜卖黄碟的少年
01-21 1万+
绿盟漏洞 :服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)【原理扫描】 当前环境:Springboot + undertow容器 java version “1.8.0_211” openssl version : OpenSSL 1.0.1e-fips 11 Feb 2013 nginx/1.17.9 设置参数: System.setProperty("jdk.tls.rejectClientInitiatedRenegotiation",
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
Linux环境下OpenSSL API的DEMO实践与SSL实现详解》 在网络安全日益要的今天,SSL(Secure Sockets Layer)协议及其后续版本TLS(Transport Layer Security)已成为数据加密传输的基石,广泛应用于Web服务器、...
ssl.zip_ssl_ssl linux
09-24
Linux环境下,SSL协议通常通过OpenSSL库实现。OpenSSL提供了各种命令行工具,如`openssl s_client`和`openssl s_server`,用于测试和调试SSL连接。此外,Web服务器如Apache和Nginx都集成了对SSL的支持,可以通过...
linux openssl基础介绍
09-16
Linux OpenSSL 是一个强大的安全协议库,它包含了各种加密算法、常用的密钥和证书管理功能,以及SSL协议,用于实现安全的网络通信。OpenSSL 支持Secure Socket Layer (SSL v2/v3) 和Transport Layer Security (TLS ...
ssl.rar_client ssl_linux s_ssl 程序_ssl server_证书
09-23
Linux下实现SSL客户端和服务器端,通常会用到OpenSSL库,这是一个开源的密码学库,包含了各种加密算法、哈希函数和SSL/TLS协议实现。SSL客户端(即ssl_client)通常是一个能发起SSL连接的应用程序,比如curl命令或...
DTLS-示例:使用OpenSSL通过SCTP和UDP进行DTLS的示例
02-06
6. **OpenSSL API**:如何使用OpenSSLSSL_CTX结构体创建上下文,设置选项,加载证书和私钥,初始化连接,发送和接收数据等。 7. **证书管理**:如何生成自签名证书,以及证书验证的过程。 8. **DTLS握手过程**:...
TLS 安全协商扩展
最新发布
VFSSoft Blogs
11-07 1341
TLS 安全协商扩展
OpenSSL-TLS协商
热门推荐
Remy的学习记录
09-08 2万+
一、什么是协商     大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求协商,就会发起一次新的handshake,对新的安全参数达成一致。协商的handshake的消息都是全部加密的,这与第一次handshake明显不同。     协商功能应用场景举例: *) Client证
linux关闭openssh服务,Linux下Ubuntu OPENSSH服务的【源码】安装、启动和退出
weixin_35094083的博客
05-02 863
除了以源码的方式安装OPENSSH外,还可以自动安装,方式如下,首先更新源列表sodu apt-get update然后进行安装,sodu apt-get install openssh-server下面是源码自配置安装,首先需要三个源码压缩包openssh-7.7p1.tar;openssl-1.0.2g.tar;zlib-1.2.11.tar,下载地址如下openssh:https://c...
linux服务OPENSSL
vhfhf的博客
04-01 1253
Openssh服务的定义: 它是通过SSH透过计算机网络加密通讯来实现的,SSH协议簇可用于远程控制,或在计算机之间传输文件。 文章目录SSH认证方式OPENSSH的工作模式secure shell口令认证示例:基于SSH密钥认证的身份验证密钥认证过程如下密钥文件相关事项使用scp命令传送文件到远程主机使用scp命令从远程主机上下载文件到本地自定义SSH服务配置SSH安全注意事项 常见的远程...
linux 卸载 openssl,请教LinuxOpenssl安装的问题。
weixin_39702714的博客
05-04 7253
我这里版本的操作系统中默认已经集成了openssl组件。#rpm-qa|grepopensslopenssl-32bit-0.9.8a-18.26openssl-devel-0.9.8a-18.15compat-openssl097g-0.9.7g-13.9compat-openssl097g-32bit-0.9.7g-13.9openssl-0.9.8a-18.26python-opens...
ssl renegotiation disable如何关闭_实战:Linux 系统如何禁用 IPV6
weixin_39987985的博客
12-04 1604
本文简介IPv6早在上个世纪90年代,它就已经诞生了。IPv6全称Internet Protocol version 6,是网际协议的最新版本,用作互联网的协议。用它来取代IPv4主要是为了解决IPv4地址枯竭问题,同时它也在其他方面对于IPv4有许多改进。是否应该“启用或者关闭”IPV6协议并不是一个很容易回答的问题。这就象是一片灰色地带,充满了各种各样的观点。如果你想要关闭的话,这篇...
SSL漏洞处理
逸兴遄飞的专栏
08-15 1万+
openssl相关漏洞处理 网络设备在客户的机房上线,一般都会使用扫描工具进行扫描,以查看是否存在漏洞风险,最近的项目中就出现了如下的风险漏洞。 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)【原理扫描】 受诫礼攻击漏洞 临时解...
linux ssl添加证书,linux上使用openssl生成ssl证书
05-24
Linux 上添加 SSL 证书可以使用 OpenSSL 工具来生成和管理证书。 以下是使用 OpenSSL 工具生成自签名证书的步骤: 1. 安装 OpenSSL 工具,如果已经安装可以跳过这个步骤。 在 Ubuntu 上使用以下命令安装 OpenSSL 工具: ``` sudo apt-get update sudo apt-get install openssl ``` 2. 生成私钥文件 使用以下命令生成私钥文件: ``` openssl genrsa -out key.pem 2048 ``` 这将生成一个 2048 位的 RSA 私钥文件 key.pem。 3. 生成证书签名请求 使用以下命令生成证书签名请求: ``` openssl req -new -key key.pem -out csr.pem ``` 这将生成一个证书签名请求文件 csr.pem。 4. 生成自签名证书 使用以下命令生成自签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out cert.pem ``` 这将生成一个有效期为 365 天的自签名证书文件 cert.pem。 5. 将证书文件安装到系统中 将生成的证书文件 cert.pem 安装到系统中,具体方式取决于你的系统和应用程序。 在 Nginx 中,可以使用以下命令将证书文件配置到 Nginx: ``` ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; ``` 这样,你就可以使用 OpenSSL 工具在 Linux 上生成自签名证书,并将其添加到应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值