个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我在使用 C# 中的 OpenSSL 时遇到了一个奇怪的问题。
事实:我已经为 C# 编写了一个包装器,它工作得很好,它可以连接到其他 SSL 服务器,或者接受来自 SSL< 的连接 客户。我的包装器仅使用内存 BIO。每当我将 MEM BIO 连接到任何类型套接字的输入和输出时,握手成功,数据传输工作,所以问题是不在 wrapper 中。
我用这个包装器制作了两个程序,一个客户端和一个服务器,它们建立了 ssl session ,当我尝试将数据从服务器发送到客户端(或相反的方式)时,另一端回显它由于某种原因发送到发送方,数据流量非常慢(即使在本地环回中也最大 20kB/s,如果我尝试以更高的速度发送,例如在 SSL_read() 中抽取更多数据,然后在 TCP 上使用 TLS有很大的延迟,UDP 上的 DTLS 有时会有 75% 的数据包丢失),所以我决定用包装器对 OpenSSL 进行基准测试,因为某些方法或错误的参数可能会减慢运行速度。
我的想法是在一个程序中初始化两个 SSL 上下文,一个客户端和一个服务器,将它们的 Memory BIO 相互连接 (RX-TX TX-RX) , 并开始握手。
我就是不能让他们成功完成握手!
在 Clienthello 之后使用 DTLS1,服务器开始以 4 个数据包(3x256 字节 + 145)响应 Serverhello 和 Cert 数据,但在第一个数据包之后客户端警告:
After writing to CLIENT (packet: 2): 22016:error:14102044:SSL routines:dtls1_read_bytes:internal error:.\ssl\d1_pkt.c:1370:
After writing to CLIENT (packet: 3): 22016:error:14102044:SSL routines:dtls1_read_bytes:internal error:.\ssl\d1_pkt.c:1370:
After writing to CLIENT (packet: 4): 22016:error:14102044:SSL routines:dtls1_read_bytes:internal error:.\ssl\d1_pkt.c:1370:
After writing to CLIENT (packet: 5): 22016:error:14102044:SSL routines:dtls1_read_bytes:internal error:.\ssl\d1_pkt.c:1370:
两个 session 之间的数据包流如下:
Client -> 178 -> Server
Server -> 256 -> Client
Server -> 256 -> Client
Server -> 256 -> Client
Server -> 145 -> Client
Client -> 15 -> Server
我已经用 Wireshark 分析了这些数据包(在文件转储之后),一切似乎都正常(这个分析不是上面的数据包,而是问题的相同重现): http://reset.tor.hu/ssl/sima/programom_dtls1.txt
在此之后我得到更多的错误:
After writing to SERVER (packet: 5): 22016:error:141020E5:SSL routines:dtls1_read_bytes:ssl handshake failure:.\ssl\d1_pkt.c:819:
Before writing to SERVER (packet: 6): 22016:error:140FD10F:SSL routines:DTLS1_GET_MESSAGE_FRAGMENT:bad length:.\ssl\d1_both.c:892:
After writing to SERVER (packet: 6): 22016:error:14102417:SSL routines:dtls1_read_bytes:sslv3 alert illegal parameter:.\ssl\d1_pkt.c:1200:SSL alert number 47
22016:error:141020E5:SSL routines:dtls1_read_bytes:ssl handshake failure:.\ssl\d1_pkt.c:819:
我唯一可用的想法是调试这个问题,以便在从 BIO 读取数据包后立即将数据包转储到文件,然后在另一个 session 中将数据包写入 BIO 之前,但我发现没有任何区别字节比较后的内容,包顺序也OK。
文件转储在这里:http://reset.tor.hu/ssl/y/direct_bio_error/
我无法想象会出现什么问题,因为他们从来没有在没有失败的情况下完成握手,所以我决定向这个程序添加两个 UDP 套接字,并将套接字连接到 BIO 并相互连接,并且毫不奇怪,第一次握手就成功了。
文件转储在这里:http://reset.tor.hu/ssl/y/socket_ok/
可见,文件内容或数据包序列没有任何区别。
那为什么他们不直接连接 BIO 工作呢?!
您可以在该视频中看到产生错误和正常工作的程序:https://www.youtube.com/watch?v=4crbSz6JMMY
出于某种原因,当时我唯一的想法是使用 C# 混合方法调用,但我没有使用任何线程!非托管代码调用回调来读出 BIO,我将 BIO 读出到我的缓冲区,我调用另一个方法将缓冲区写入 BIO 并在非托管代码中调用 SSL_read(),以使用BIO 中的数据。而这恰恰是另一种方式。如果我不使用缓冲区,而是使用套接字,它就可以工作。套接字可以做什么使其工作?
我什至尝试将 Thread.Sleep(100) 放在 BIO 著作之间,但没有帮助,实际上超过 140ms OpenSSL 崩溃了(但对于套接字,它甚至可以在 1000ms 时工作,甚至更奇怪)。
direct BIO 和慢速流量问题的问题和解决方案是什么?
提前感谢您的回答!
最佳答案
好吧,实际上我似乎刚刚解决了 Direct-Memory-BIO-Handshake 问题。
建议在BIO_write()之后调用SSL_read(),否则OpenSSL不会检查READ BIO中的数据和不会处理它,所以几乎每次都是写到BIO后直接使用。
如果将 OpenSSL 上下文配置为 CLIENT,则在 BIO_write() 之后不应使用 SSL_read() > 直接直到握手未完成!
如果 OpenSSL 与 socket 一起使用(即使是内存 bio),如果我们在 BIO_write() 之后直接使用 SSL_read() 就可以正常工作,但两个 session 之间没有直接 BIO 连接。至少作为 C# 中的非托管代码!
有效的BIO写法如下:
public bool BIO_Write(byte[] data)
{
if (Inited & data.Length > 0)
{
Wrapper.BIO_write(BIOR, data, data.Length);
if (isServer(SSL_method))
{
// For SERVER MODE
if (Wrapper.SSL_is_init_finished(SSL))
{
readFromSSL();
}
else
{
Wrapper.SSL_do_handshake(SSL);
}
}
else
{
// For CLIENT MODE
if (Wrapper.SSL_is_init_finished(SSL))
{
readFromSSL();
}
else
{
// It is extremely important to call the SSL_do_handshake()
// only if SSL_want() returns 3, otherwise OpenSSL will
// throw a FATAL ERROR and crash with direct BIO connection
// return value 3 is SSL_ERROR_WANT_WRITE
if (Wrapper.SSL_want(SSL) == 3)
{
Wrapper.SSL_do_handshake(SSL);
}
}
}
return true;
}
else
{
return false;
}
}
我希望这会对某人有所帮助!
关于c# - 两个 session 和直接连接内存 BIO 的 C# 的 OpenSSL 握手失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33382447/
26
4
0
当我测试我的网站性能时,我注意到 SSL 握手是连接设置的一部分。我了解(页面的)第一个请求需要完整的 SSL 握手。 但是,如果您从 pingdom 测试中注意到,只有某些其他资源在进行 SSL 握
在 SSL 握手期间,浏览器会根据需要使用提供的 URL 从主机 Web 服务器下载任何中间证书。我相信浏览器附带来自公共(public) CA 的预安装证书,这些证书只有根证书的公钥。 1) 当使用
在配置了客户端身份验证的 TLS 握手中,有一个步骤,服务器接收客户端的证书并选择是否信任它(例如,在 Java 中,它是通过 TrustManager 完成的)。 我想知道来自服务器的最终“信任失败
我正在尝试了解 Android 与服务器的 TLS 连接。有人可以纠正我吗? 有两种启动 TLS 连接的方式。首先,只有服务器有证书,客户端决定是否信任它。其次,客户端和服务器都获得了证书。我说得对吗
我正在创建一个社交网站,我希望用户在其中聊天并接收实时通知,例如 Facebook,我尝试搜索可能的解决方案并找到了 ejabberd 的 pubsub 模块(我正在使用 ejabberd 进行聊天)
我正在编写一个应用程序来(非正式地)替换在 adobe air 中制作的客户端,他们使用 RTMP 作为连接协议(protocol),我必须创建自己的类来实现它:< 据我所知,RTMP 属于 TCP
我正在做一个关于 TLS 握手的学术项目,我已经捕获了由多个客户端(谷歌浏览器、Firefox ......)生成的一些 TLS 流量,我想看看对于给定的浏览器,客户端 hello 消息是否总是相同的
我使用 openssl 实现了一个 DTLS 服务器。 (我有一个 udp 套接字,我正在使用内存 bio 与 openssl 通信。)但是,如果丢包,DTLS 握手可能需要 1-2 秒,这在我的情况
我编写了一个 PHP 程序来执行包含 openssl 命令的批处理文件: openssl s_client -showcerts -connect google.com:443 >test.cert
我编写了一个 PHP 程序来执行包含 openssl 命令的批处理文件: openssl s_client -showcerts -connect google.com:443 >test.cert
客户: var socket = new WebSocket('ws://localhost:8183/websession'); socket.onopen =
当有这么多证书时,浏览器如何知道在 ssl 握手中的客户端身份验证步骤中将哪个证书发送到服务器。我的意思是它如何识别哪个证书适用于哪个服务器 最佳答案 现在是 CyberMonk 的问题 如果您在
我正在尝试使用 python 连接到 XMPP 服务器。我有要连接的 XML,只是不确定如何进行连接的 TLS 部分?我可以找到很多 HTTPS TLS 示例和 XMPP 示例,只是不知道如何将两者放
我需要在我的 Python 服务器中实现 Websocket 握手。我的 python 服务器正在使用 Twisted 进行事件处理。我找到了 this webpage这解释了这个过程,但是当涉及到这
是否可以在当前 SSL 连接保持事件状态时重新协商 SSL 握手。当新的握手成功时,服务器应响应新握手的确认。 我搜索过 SSL 重新协商,但找不到任何具体内容。有谁知道这样的事情是否可能? 最佳答案
我编写了一个客户端-服务器应用程序,旨在通过局域网交换文件(以及其他内容)。在服务器模式下,应用程序监听具有特定标识 header 的 TCP 连接。在客户端模式下,它会尝试与用户提供的 IP 地址建
我有两台服务器通过 SSL 进行通信。 server1 通过 SSL 启动到 server2 的 SSL 连接。服务器 1 有一个 key 大小为 1k 的 keystore ,而服务器 2 有一个
架构是中间层 Liberty 服务器,它接收 http 请求和代理到各种后端,一些是 REST,一些只是 JSON。当我为 SSL 配置时(仅通过非常酷的 envVars)......似乎我得到了每个
我需要一些关于 TLS 的解释:每次客户端想要将自己连接到服务器时是否都执行 TLS 握手?每次都重新创建 session key ? premasterkey 和 masterkey 也是吗?Cli
我正在尝试将 TimeoutMixin 合并到基于 SSL 的协议(protocol)中。但是,当超时发生并且它调用 transport.loseConnection() 时,什么也没有发生。我认为这
我是一名优秀的程序员,十分优秀!