自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

redwingz的博客

Linux内核网络、虚拟化

  • 博客(34)
  • 资源 (5)
  • 论坛 (1)
  • 收藏
  • 关注

原创 SWAN之ikev2协议compress配置测试

本测试主要验证远程用户carol和moon网关之间的IPComp压缩功能,两次使用ping测试隧道连接的压缩与否,使用的报文长度不同,内核不压缩长度较小的报文。测试拓扑如下:主机配置carol的连接配置文件:ikev2/compress/hosts/carol/etc/ipsec.conf,内容如下,主要关注compress字段设置为yes,这真是本次测试的压缩功能。另外moon主机的配置于...

2019-10-31 20:49:11 226

原创 SWAN之ikev2协议any-interface配置测试

本测试主要验证IKEv2守护进程自动选择IPSec安全关联本地地址的功能,其通过在内核的查找路由表获取通往远端IPSec对等体的IP地址,来关联本地源IP地址。主机moon和bob作为initiator设置auto=route,主机alice和sun作为responder设置auto=addd。在moon主机上ping主机alice和sun,同样的在主机bob上ping主机sun,由数据流来触发连...

2019-10-31 20:47:40 159

原创 Wireshark解密SWAN交互报文

首先需要StrongSwan在报文交互中记录下来IKE和ESP的秘钥信息,参见如下的save-keys.opt文件,负责这一功能的插件为save-keys。其由4个配置参数,load参数表明是否加载此插件;esp参数表明是否记录保持ESP秘钥;ike参数表明是否记录IKE秘钥;最后最关键的是参数wireshark_keys,其值为目录字符串,表示秘钥存储的位置,IKEv1协议的秘钥存储在指定目录的...

2019-10-31 20:45:54 861

原创 SWAN之ikev2/acert-inline测试

本测试中远程用户(roadwarrior)carol和dave与网关moon建立连接。认证方式基于X.509证书,为了对远程用户进行授权,moon网关期望用户在IKEv2报文的CERT载荷中带有属性证书。carol主机具有合法的证书,但是dave提供的是两个无效属性证书:一个证书不是用于sales组;另外一个是由已过期的AA所签发。以下启动ikev2/acert-inline测试用例,注意在启动...

2019-10-30 21:05:20 124

原创 SWAN之ikev2/acert-fallback测试

本测试中远程用户(roadwarrior)carol与网关moon建立连接。认证方式基于X.509证书,为了对远程用户进行授权,moon网关期望用户在IKEv2报文的CERT载荷中带有属性证书。carol主机具有组分别为sales和finance的两个证书,其中finance组的属性证书已经过期,已无效;所以,carol仅获得sales组的访问权限。以下启动ikev2/acert-fallbac...

2019-10-30 21:03:58 84

原创 SWAN之ikev2/acert-cached测试

本测试中远程用户(roadwarrior)carol和dave与网关moon建立连接。认证方式使用X.509证书,为了对远用户程授权,moon网关使用本地缓存的属性证书(attribute certificate)。远程用户carol使用有效的sales组的属性证书,而dave的两个属性证书,一个不属于sales组;另外一个已经过期,将导致dave授权不成功。连接建立之后,在主机carol和dav...

2019-10-30 21:02:58 68

原创 SWAN之ha/both-active测试

本测试中网关alice与网关moon开启HA功能,组成CLUSTER,对外提供一个服务IP地址。两者之间的同步数据使用IPsec的传输模式进行保护。测试过程中alice首先处于active状态,moon处于passive状态,远程主机carol和dave建立到cluster网关(mars)的安全连接,连接成功建立之后,在主机carol和dave上ping网关之后的venus主机,以验证连通性。之...

2019-10-30 21:01:31 209

原创 SWAN之ha/active-passive测试

本测试中网关alice与网关moon开启HA功能,组成CLUSTER,对外提供一个服务IP地址。两者之间的同步数据使用IPsec的传输模式进行保护。测试过程中alice首先处于active状态,moon处于passive状态,远程主机carol和dave建立到cluster网关(mars)的安全连接,连接成功建立之后,在主机carol和dave上ping网关之后的venus主机,以验证连通性。之...

2019-10-30 21:00:53 236

原创 SWAN之gcrypt-ikev2/rw-cert测试

本测试中远程用户(roadwarrior)carol和网关moon使用基于GNU libgcrypt库的加密插件gcrypt,执行加密相关操作。而远程用户dave使用strongswan默认的加密插件:为IKE连接使用加密套件:aes des sha1 sha2 md5 gmp等。远程用户carol和dave建立到网关moon的连接,认证采用X.509证书方式,连接成功建立之后,在主机carol和...

2019-10-29 21:29:37 143

原创 SWAN之gcrypt-ikev2/alg-camellia测试

本测试中远程用户(roadwarrior)carol和网关moon为IKE连接使用加密套件:tcamellia256-sha512-modp3072,对IPSEC子连接使用:camellia192-sha384加密验证算法。远程用户carol建立到网关moon的连接,秘钥交换基于modp3072算法。连接成功建立之后,在主机carol上ping网关moon之后的虚拟主机alice,以验证连通性。...

2019-10-29 21:28:06 66

原创 SWAN之gcrypt-ikev1/alg-twofish测试

本测试中远程用户(roadwarrior)carol和网关moon为IKE连接使用加密套件:twofish256-sha512-modp4096,对IPSEC子连接使用:twofish256-sha512加密验证算法。远程用户carol建立到网关moon的连接,秘钥交换基于modp4096算法。连接成功建立之后,在主机carol上ping网关moon之后的虚拟主机alice,以验证连通性。two...

2019-10-29 21:26:24 197

原创 SWAN之gcrypt-ikev1/alg-serpent测试

本测试中远程用户(roadwarrior)carol和网关moon为IKE连接使用加密套件:serpent256-sha512-modp4096,对IPSEC子连接使用:serpent256-sha512加密验证算法。远程用户carol建立到网关moon的连接,秘钥交换基于modp4096算法。连接成功建立之后,在主机carol上ping网关moon之后的虚拟主机alice,以验证连通性。ser...

2019-10-29 21:25:07 108

原创 SWAN之botan/rw-modp3072测试

本测试中远程用户(roadwarrior)carol和网关moon使用strongswan的插件botan进行所有的加密相关计算,另外远程用户dave使用strongswan的openssl插件进行相应操作。远程用户carol和dave分别建立到网关moon的连接,认证基于X.509证书,秘钥交换基于rw-modp3072算法。连接成功建立之后,网关moon之后的虚拟主机alice分别ping主机...

2019-10-29 21:23:39 253

原创 SWAN之botan/rw-ecp256测试

本测试中远程用户(roadwarrior)carol和网关moon使用strongswan的插件botan进行所有的加密相关计算,另外远程用户dave使用strongswan的openssl插件进行相应操作。远程用户carol和dave分别建立到网关moon的连接,认证基于X.509证书,秘钥交换基于ecp256算法。连接成功建立之后,网关moon之后的虚拟主机alice分别ping主机carol...

2019-10-29 21:22:21 152

原创 SWAN之botan/rw-cert测试

本测试中远程用户(roadwarrior) carol使用strongswan的插件botan进行所有的加密相关计算,另外远程用户dave使用strongswan默认的加密插件:aes、des、sha1、sha2、md5或gmp进行相应操作。远程用户carol和dave分别建立到网关moon的连接,认证基于X.509证书,秘钥交换基于x25519算法。连接成功建立之后,网关moon之后的虚拟主机...

2019-10-29 21:20:50 291

原创 SWAN之botan/net2net-sha3-rsa-cert测试

本测试中网关sun与网关moon之间建立安全连接,连通两个子网,认证使用签名算法为RSA-SHA3-256的X.509证书。连接成功建立之后,在moon网关之后的主机alice上ping网关sun之后的bob主机,以验证连通性。以下启动botan/net2net-sha3-rsa-cert测试用例,注意在启动之前需要执行start-testing脚本开启测试环境。$ cd strongswan...

2019-10-29 21:19:03 107

原创 SWAN之botan/net2net-pkcs12测试

本测试中网关sun与网关moon之间建立安全连接,连通两个子网,认证使用包含在PKCS12格式的文件中的X.509证书和RSA私钥。连接成功建立之后,在moon网关之后的主机alice上ping网关sun之后的bob主机,以验证连通性。以下启动botan/net2net-pkcs12测试用例,注意在启动之前需要执行start-testing脚本开启测试环境。$ cd strongswan-5....

2019-10-29 21:14:51 146

原创 SWAN测试用例botan/net2net-ed25519

本测试中网关sun与网关moon之间建立安全连接,连通两个子网,认证使用包含Ed25519密钥的X.509证书。网关moon使用botan插件(strongswan-5.8.1/src/libstrongswan/plugins/botan/botan_x25519.c)完成所有的加密操作;而网关sun使用strongswan默认的加密插件。连接成功建立之后,在moon网关之后的主机alice上p...

2019-10-28 20:49:48 223

原创 SWAN测试用例af-alg/rw-cert

本测试中远程用户(roadwarrior) carol与网关moon使用内核的加密套接口af_alg(代码位于内核文件crypto/af_alg.c)进行所有的对称加密和哈希计算,另外远程用户dave使用strongswan默认的加密插件:aes、des、sha1、sha2、md5或gmp进行相应操作。远程用户carol和dave分别建立到网关moon的连接,认证使用X.509证书方式。连接成功...

2019-10-28 20:47:18 389

原创 SWAN测试用例af-alg/alg-camellia

Camellia作为一种块加密算法,支持块长度128、192或256位,其具有与AES同等级的安全强度。本测试用例使用到Camellia算法的两者密钥长度192和256。以下启动af-alg/alg-camellia测试用例,注意在启动之前需要执行start-testing脚本开启测试环境。$ cd strongswan-5.8.1/testing$$ sudo ./do-tests af...

2019-10-28 20:45:39 213

原创 SWAN测试执行流程

以下do-tests测试脚本执行完整测试。全部用例成功421个,失败10个。有打印信息可知,每个测试用例分为三个步骤:pre/test/post。$ cd strongswan-5.8.1/testing $ sudo ./do-testsGuest kernel : 5.2.11strongSwan : 5.8.1Date : 20190917-0126-52[...

2019-10-28 09:48:58 854

原创 StrongSwan测试环境概述

有关StrongSwan测试环境的搭建可参见:https://blog.csdn.net/sinat_20184565/article/details/100900670由于已经搭建好了测试环境,将配置文件(strongswan-5.8.1/testing/testing.conf)中以下四项关闭,不用每次执行make-testing的时候,都进行创建,节省时间。# Enable partic...

2019-10-24 21:24:44 2077

原创 Netfilter之IPVS匹配扩展

以下iptables命令查看ipvs匹配扩展的帮助信息。可匹配的字段分别为:虚拟服务的协议号、地址、端口、数据流的方向、转发模式以及控制连接的端口号。对于类似FTP的服务,其控制连接的端口为21,数据端口为20。$ iptables -m ipvs --help iptables v1.6.0IPVS match options:[!] --ipvs ...

2019-10-24 21:21:43 342

原创 Linux内核连接跟踪框架概述

连接跟踪的入口函数nf_ct_netns_get如下。其根据Netfilter定义的协议类型分为两个分支,如果协议类型为NFPROTO_INET,同时初始化两种NF协议NFPROTO_IPV4和NFPROTO_IPV6;反之,如果协议类型不等于NFPROTO_INET,按照指定的协议类型nfproto进行初始化。int nf_ct_netns_get(struct net *net, u8 nf...

2019-10-23 20:36:39 648

原创 IPVS之安全防御

初始化IPVS在初始化时,使用内核delayed work机制启动一个处理任务。每1秒钟(DEFENSE_TIMER_PERIOD)执行一次。/* Timer for checking the defense */#define DEFENSE_TIMER_PERIOD 1*HZstatic int __net_init ip_vs_control_net_init_sysctl(...

2019-10-21 19:58:28 138

原创 IPVS的OPS调度

如下ipvsadm配置命令:# ipvsadm -A -t 207.175.44.110:80 -s rr --opsOPS是One-Packet Scheduling的缩写,即单一报文调度。仅应用于UDP协议的虚拟服务,或者是标记UDP报文的防火墙fwmark配置,每个连接仅执行一次报文调度。以下为ipvsadm代码中对–ops参数的解析部分,可见为虚拟服务置位了标志IP_VS_SVC_...

2019-10-19 21:14:03 130

原创 IPVS的Persistent持续调度

如下ipvsadm配置命令,开启persistent选项之后,ipvs将来之同一个客户端的请求全部调度到一个固定的真实服务器上。对于SSL和FTP这类,其多个报文之间是相互关联的协议,需要开启此功能。但是对于NAT转发模式,由于NAT将对端口号进行修改,FTP服务需要使用ip_vs_ftp模块才能正常工作。命令行选项netmask默认为255.255.255.255,即仅对一个客户端执行持续调度...

2019-10-16 17:44:21 337

原创 IPVS之Bypass转发模式

不同于NAT/DR/Tunnel转发模式,bypass模式不能够通过ipvsadm命令行显示的指定,而是在调度失败之后,可能进入的一种转发模式,由内核自动决定。对于UDP、TCP和SCTP协议,在调度过程中,如果连接创建失败,例如由于未找到合适的目的调度服务器、内存不足等原因,ignored变量小于等于零的情况发生。其中ignored小于零,表明内存分配失败导致的连接创建失败,此时verdict...

2019-10-16 17:43:37 170

原创 IPVS之隧道转发模式

如下ipvsadm配置命令:$ ipvsadm -A -t 207.175.44.110:80 -s rr$ ipvsadm -a -t 207.175.44.110:80 -r 192.168.10.1:80 -i选项-i(–ipip)即指定使用IPIP隧道转发模式。由ipvsadm-1.29源码中的选项解析函数parse_options可知,-i对应着隧道Tunnel模式,使用标志IP...

2019-10-10 20:33:45 375

原创 IPVS之路由转发模式

如下ipvsadm配置命令:$ ipvsadm -A -t 207.175.44.110:80 -s rr$ ipvsadm -a -t 207.175.44.110:80 -r 192.168.10.1:80 -g选项-g(–gatewaying)即指定使用Direct-routing转发模式。由ipvsadm-1.29源码中的选项解析函数parse_options可知,-g对应着Dir...

2019-10-09 21:19:20 515

原创 IPVS之NAT转发模式

如下ipvsadm配置命令:$ ipvsadm -A -t 207.175.44.110:80 -s rr$ ipvsadm -a -t 207.175.44.110:80 -r 192.168.10.1:80 -m选项-m(–masquerading)即指定使用NAT/Masq转发模式。由ipvsadm-1.29源码中的选项解析函数parse_options可知,-m对应着NAT/Mas...

2019-10-08 20:45:48 764

原创 IPVS中的ICMP报文处理-由外到内

这里主要明与NAT/Masq转发模式相关的ICMP报文处理,但也会提及由于出错引发的IPVS系统主动发送的ICMP报文。ICMP由外到内处理流程入口入口函数ip_vs_in实质上挂载在netfilter的2个hook点上,分别为:NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT。第一个hook点作用于目的地址为本机的报文;后者作用于由本机发送的报文。此函数用于处理IPVS由...

2019-10-08 20:43:22 208

原创 IPVS中的ICMP报文处理-由内到外

这里主要明与NAT/Masq转发模式相关的ICMP报文处理,但也会提及由于出错引发的IPVS系统主动发送的ICMP报文。ICMP由内到外处理流程入口入口函数ip_vs_out实质上挂载在netfilter的3个hook点上,分别为:NF_INET_FORWARD、NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT。第一个hook点作用于转发的报文;后两个作用于到本机的报文。此...

2019-10-08 20:42:30 284

原创 IPVS系统的路由和发送

IPVS不管是配置的NAT/Masq、Direct Route或者隧道Tunnel转发模式,在执行发送时,都需要进行出口路由的查找。路由查找在出口路由查找函数__ip_vs_get_out_rt中,通常根据目的服务器的地址信息进行查找。如下,首先检查此目的服务器结构中是否缓存了路由信息,以及是否还是有效的,如果成立,直接使用缓存的路由表项。否则,就需要进行路由的查找。路由查找函数do_outp...

2019-10-08 20:41:24 556

WEB Portal 认证完整的交互报文

web认证交互报文,包括WLAN controller与portal server的认证与注销,AC与radius 服务器的认证报文。

2018-04-24

IKEv2-camellia.pcap

IKEv2协议使用camellia加密算法的协商报文,交互流程。

2019-10-28

IKEv2-rw-cert2.pcap

strongswan使用linux内核的af_alg加密接口配置,IKEv2协议交互报文。

2019-10-28

libssh2-1.8.0 and ssh2_batch example

ssh2_batch可执行程序,用于非交互式的ssh命令执行。源代码和libssh2

2018-06-13

botan-ed25519.pcap

IKEv2协议交互报文,认证方式选用Ed25519算法的证书方式。

2019-10-28

redwingz的留言板

发表于 2020-01-02 最后回复 2020-01-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除