linuxssl关闭重协商服务,openssl重协商失败1.使⽤openssl在tcp上建⽴加密通道
2.在7秒到14秒之间,随时有可能进⾏重新协商
3.协商过程中,C/S端不停⽌调⽤SSL_read和SSL_write
通过代码可以看出:
1.SSL_read/write⾸先检查是否需要重协商
2.需要重协商的情况下,检查业务读写缓冲区中是否数据,有数据等待处理完
3.业务读写缓冲区没有数据的情况下,设置RENEGOTIATE标志,从这个点开始SSL_in_init则判断成功
4.后⾯在读写之前,都需要先握⼿协商冰雨火在哪个平台播出
结果:
1.s3_pkt.c中,ssl3_read_bytes产⽣unexpected alerts
跟踪分析:
1.客户端在发送client_hello后
2.准备接收server hello
3.ssl3_read_bytes收到的数据为业务数据
理论上这种事有可能的:
1.客户端发现读写缓冲区为空
2.进⼊重协商阶段
3.业务数据从server端发出
4.客户端发出client hello后,收到业务数据
openssl理论上应该可以避免该问题,继续跟踪。
====================================================================分割线
经过对代码的跟踪:
确定问题代码:
s3_pkt.c ssl3_read_bytes
在tls协商阶段,收到业务报⽂,此时只能是SSL_read调⽤,否则就向对端发送fatal alerts
if (s->s3->in_read_app_data &&
张晓龙康熙来了(s->s3->total_renegotiations != 0) &&
孔孝真身高
((
(s->state & SSL_ST_CONNECT) &&
(s->state >= SSL3_ST_CW_CLNT_HELLO_A) &&
(s->state <= SSL3_ST_CR_SRVR_HELLO_A)
涉及的女星浅绿) || (
(s->state & SSL_ST_ACCEPT) &&
(s->state <= SSL3_ST_SW_HELLO_REQ_A) &&
(s->state >= SSL3_ST_SR_CLNT_HELLO_A)
)
))
{
s->s3->in_read_app_data=2;
return(-1);
}
else
{
printf("ERROR(%s, %d): rr->type(%d)!!, s->s3->in_read_app_data: %d"
", s->s3->total_renegotiations: %d\n",
__FILE__, __LINE__, rr->type, s->s3->in_read_app_data, s->s3->total_renegotiations);
al=SSL_AD_UNEXPECTED_MESSAGE;
SSLerr(SSL_F_SSL3_READ_BYTES,SSL_R_UNEXPECTED_RECORD);
goto f_err;
}
现在客户端问题解决,服务端问题来了。服务端写send_server_hello出错了。 TLS_accept: error in SSLv3 write server hello B =========================================================================分割线
由于服务端采⽤长度为0的定时器,开⾜马⼒的发送数据,此时出现这种情况:
1.S端调⽤SSL_write,⽣成了加密数据,但是socket对应的内核发送缓冲区满了,此时数据驻留在tls中
2.此时C端regegotiate,发送了client_hello
3.S端SSL_read读取到后,rwstate为SSL_READ,state进⼊SSL_ST_ACCEPT,调⽤handshake(ssl3_accept)
4.ssl3_accept状态迁移CW_SERVER_HELLOA,调⽤到ssl3_write_bytes设置rwstate为SSL_NOTHING,最终调⽤到
ssl3_write_pengding,进⾏如下判断:
if ((s->s3->wpend_tot > (int)len)
|| ((s->s3->wpend_buf != buf) &&
!(s->mode & SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER))
|| (s->s3->wpend_type != type))
{
printf("+++++++(%s, %d)++++++++++++++++++, len: %d"
"s->s3->wpend_tot: %d, s->s3->wpend_buf:%p, buf: %p,"
" s->mode:%d, s->s3->wpend_type: %d, type: %d, s->rwstate: %d\n",
__FILE__, __LINE__,  len, s->s3->wpend_tot, s->s3->wpend_buf, buf,
s->mode, s->s3->wpend_type, type, s->rwstate);
SSLerr(SSL_F_SSL3_WRITE_PENDING,SSL_R_BAD_WRITE_RETRY);
return(-1);
}
5.函数栈返回,调⽤SSL_get_error获取错误,SSL_want_read和SSL_want_write检查rwstate为SSL_READ和SSL_WRITE,此时为SSL_NOTHING,严重错误尚于博为什么自杀
TLS上层断开
解决办法:
修改状态机,让写缓冲满进⾏握⼿为正常状态。(改库代码,太不友好)
看⼀下各个版本,其中有没有提到解决该问题的
================================================================分割线
解决办法:调⽤SSL_write在未成功前不放弃CPU,可能⼀定程度上会影响效率。这种情况是不修改库代码的最终选择
阅读(3852) | 评论(0) | 转发(0) |