SSL_connect 连接超时的处理方法

最新推荐文章于 2025-02-13 18:43:18 发布
最新推荐文章于 2025-02-13 18:43:18 发布
阅读量1.1w 收藏 10
点赞数
分类专栏: LINUX openssl 文章标签: linux socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/daa20/article/details/105297572
版权

问题:一个简单的用例分析。

环境:

[root@localhost ~/test/ssl_test]
# uname -a
Linux localhost.localdomain 3.10.0-123.el7.x86_64 #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

拓扑:localhost
±---------------------------------------------------------------+
client ---------127.0.0.1/2020----------> server
±---------------------------------------------------------------+

Server端:
借助于nc工具;

Client端:

#include <stdio.h>
#include <string.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

static void test_ssl_socket(int socket)
{
    char buf[8192] = {0};
    int ret = 0;

    SSL_library_init();
    SSL_load_error_strings();

    SSL_CTX *ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx) {
        SSL *ssl = SSL_new(ctx);

        if (ssl) {
            ret = SSL_set_fd(ssl, socket);

            printf("SSL_set_fd: %d\n", ret);

            ret = SSL_connect(ssl);

            printf("SSL_connect: %d\n", ret);
                
            printf("======send=====\n");
            strncpy(buf, "I am client", strlen(buf));
            ret = SSL_write(ssl, buf, strlen(buf));
            printf("%d bytes sent\n", ret);

            printf("======recv=====\n");
            memset(buf, 0, sizeof(buf));
            ret = SSL_read(ssl, buf, sizeof(buf));
            printf("%d bytes read\n", ret);

            if (ret > 0) {
                printf("%s\n", buf);
            }   

            SSL_free(ssl);
        }
        SSL_CTX_free(ctx);
    }
}

int main(int argc, char *const argv[])
{
    int socket_fd = -1;
    const char *ip = NULL;
    unsigned short port = 0;
    struct sockaddr_in svraddr;
    int ret = -1;

    ip = argv[1];
    port = atoi(argv[2]);

    printf("IP: %s, port: %d\n", argv[1], port);

    /* 创建一个 socket 用于 tcp 通信 */
    socket_fd = socket(AF_INET, SOCK_STREAM, 0);
    if (socket < 0) {
        perror("Error: Failed to create socket\n");
        exit(errno);
    }

    printf("socket created\n");

    bzero(&svraddr, sizeof(svraddr));
    svraddr.sin_family = AF_INET;
    svraddr.sin_addr.s_addr = inet_addr(ip);
    svraddr.sin_port = htons(port);

    ret = connect(socket_fd, (struct sockaddr *)&svraddr, sizeof(svraddr));
    if (ret < 0) {
        printf("create socket failed\n");
        return -1;
    }

    test_ssl_socket(socket_fd);
    printf("OK\n");
    return 0;
}

编译:

[root@localhost ~/test/ssl_test]
# gcc ./ssl_client.c -o ssl_client -lssl

运行:
(1)server执行

# nc -l 2020

(2)client执行

# ./ssl_client 127.0.0.1 2021
IP: 127.0.0.1, port: 2021
socket created
SSL_set_fd: 1

/*长时间等待...*/

问题:
Q1:客户端为什么长时间等待?
A1:客户端停留在SSL_connect()处,并尝试建立ssl连接,对端使用nc开启非ssl连接,导致client端ssl连接失败。

Q2:客户端如果连接不成功,是否可以超时退出。
A2: 提供一个思路,使用定时器,当定时器时间到达时,在定时器的回调函数中释放ssl和ctx,这样在SSL_connect()中会及时返回。

#include <stdio.h>
#include <string.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#include <unistd.h>
#include <signal.h>


int socket_fd = -1;
SSL_CTX *ctx = NULL;
SSL *ssl = NULL;

static void test_ssl_socket(int socket)
{
    char buf[8192] = {0};
    int ret = 0;

    SSL_library_init();
    SSL_load_error_strings();

    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx) {
        ssl = SSL_new(ctx);

        if (ssl) {
            ret = SSL_set_fd(ssl, socket);

            printf("SSL_set_fd: %d\n", ret);

            ret = SSL_connect(ssl);
            printf("SSL_connect: %d\n", ret);
            if (ret < 0) {
                printf("Error: Failed to create ssl connect\n");
                return;
            }

            printf("SSL_connect: %d\n", ret);
            
            printf("======send=====\n");
            strncpy(buf, "I am client", strlen(buf));
            ret = SSL_write(ssl, buf, strlen(buf));
            printf("%d bytes sent\n", ret);

            printf("======recv=====\n");
            memset(buf, 0, sizeof(buf));
            ret = SSL_read(ssl, buf, sizeof(buf));
            printf("%d bytes read\n", ret);

            if (ret > 0) {
                printf("%s\n", buf);
            }
            if (ssl != NULL) {
                printf("free SSL.\n");
                SSL_free(ssl);
            }
        }
        if (ctx != NULL) {
            printf("free CTX.\n");
            SSL_CTX_free(ctx);
        }
    }
}

void free_ssl_connect(int sig)
{
    printf("10s reached.\n");
    printf("free SSL.\n");
    SSL_free(ssl);
    printf("free CTX.\n");
    SSL_CTX_free(ctx);
}

int main(int argc, char *const argv[])
{
    const char *ip = NULL;
    unsigned short port = 0;
    struct sockaddr_in svraddr;
    int ret = -1;

    /***timer***/
    signal(SIGALRM, free_ssl_connect);
    alarm(10);
    /******/

    ip = argv[1];
    port = atoi(argv[2]);

    printf("IP: %s, port: %d\n", argv[1], port);

    /* 创建一个 socket 用于 tcp 通信 */
    socket_fd = socket(AF_INET, SOCK_STREAM, 0);
    if (socket < 0) {
        perror("Error: Failed to create socket\n");
        exit(errno);
    }

    printf("socket created\n");

    bzero(&svraddr, sizeof(svraddr));
    svraddr.sin_family = AF_INET;
    svraddr.sin_addr.s_addr = inet_addr(ip);
    svraddr.sin_port = htons(port);

    ret = connect(socket_fd, (struct sockaddr *)&svraddr, sizeof(svraddr));
    if (ret < 0) {
        printf("Error:Create socket failed\n"); 
        return -1;
    }

    test_ssl_socket(socket_fd);
    printf("free fd.\n");
    if (socket_fd != -1) {
        printf("free fd\n");
        close(socket_fd);
    }
    printf("OK\n");
    return 0;
}

优化:

#include <stdio.h>
#include <string.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

#include <unistd.h>
#include <signal.h>


int socket_fd = -1;
SSL_CTX *ctx = NULL;
SSL *ssl = NULL;

static void free_ssl_connect(int sig)
{
    if (sig != SIGALRM) {
        printf("sig != SIGALRM\n");
        return ;
    }
    printf("10s timer reached.\n");
    if (ssl != NULL) {
        printf("free SSL.\n");
        SSL_free(ssl);
    }
    if (ctx != NULL) {
    
        printf("free CTX.\n");
        SSL_CTX_free(ctx);
    }
}

static void close_ssl_connect_timer(void)
{
    printf("close 10s timer\n");
    alarm(0);
}

static void open_ssl_connect_timer(void)
{
    /***timer***/
    printf("open 10s timer\n");
    signal(SIGALRM, free_ssl_connect);
    alarm(10);
}

static void test_ssl_socket(int socket)
{
    char buf[8192] = {0};
    int ret = 0;

    SSL_library_init();
    SSL_load_error_strings();

    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx) {
        ssl = SSL_new(ctx);

        if (ssl) {
            ret = SSL_set_fd(ssl, socket);

            printf("SSL_set_fd: %d\n", ret);

            /*open ssl connect timer.*/
            open_ssl_connect_timer();
            ret = SSL_connect(ssl);
            printf("SSL_connect: %d\n", ret);
            if (ret < 0) {
                printf("return\n");
                return;
            }

            /*close ssl connect timer.*/
            close_ssl_connect_timer();

            printf("SSL_connect: %d\n", ret);
            
            printf("======send=====\n");
            strncpy(buf, "I am client", strlen(buf));
            ret = SSL_write(ssl, buf, strlen(buf));
            printf("%d bytes sent\n", ret);

            printf("======recv=====\n");
            memset(buf, 0, sizeof(buf));
            ret = SSL_read(ssl, buf, sizeof(buf));
            printf("%d bytes read\n", ret);

            if (ret > 0) {
                printf("%s\n", buf);
            }
            if (ssl != NULL) {
                printf("free SSL.\n");
                SSL_free(ssl);
                ssl = NULL;
            }
        }
        if (ctx != NULL) {
            printf("free CTX.\n");
            SSL_CTX_free(ctx);
            ctx = NULL;
        }
    }
}

int main(int argc, char *const argv[])
{
    const char *ip = NULL;
    unsigned short port = 0;
    struct sockaddr_in svraddr;
    int ret = -1;

    if (argc != 3) {
        printf("Error: params error\n");
        return -1;
    }

    ip = argv[1];
    port = atoi(argv[2]);

    printf("IP: %s, port: %d\n", argv[1], port);

    /* 创建一个 socket 用于 tcp 通信 */
    socket_fd = socket(AF_INET, SOCK_STREAM, 0);
    if (socket < 0) {
        perror("Error: Failed to create socket\n");
        exit(errno);
    }

    printf("socket created\n");

    bzero(&svraddr, sizeof(svraddr));
    svraddr.sin_family = AF_INET;
    svraddr.sin_addr.s_addr = inet_addr(ip);
    svraddr.sin_port = htons(port);

    ret = connect(socket_fd, (struct sockaddr *)&svraddr, sizeof(svraddr));
    if (ret < 0) {
        printf("create socket failed\n"); 
        return -1;
    }

    test_ssl_socket(socket_fd);
    printf("free fd.\n");
    if (socket_fd != -1) {
        printf("free fd.\n");
        close(socket_fd);
        socket_fd = -1;
    }
    printf("OK\n");
    while (1);
    return 0;
}

遗留问题:
要注意的是,一个进程只能有一个闹钟时间,如果在调用alarm之前已设置过闹钟时间,则任何以前的闹钟时间都被新值所代替。

linux git clone出现OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443解决方案
weixin_43178406的博客
06-03 9万+
本文主要介绍了在Linux环境下对huggingface网站进行git clone时出现了OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443的解决方案,希望能对使用huggingface的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2. 解决方案 2.1 解决方案一 2.2 解决方案二
ConnectStatusCode.zip_connect
09-23
测试应用程序会调用`ConnectStatus`来检查和记录连接状态,并可能包含日志记录和异常处理机制,帮助开发者定位和修复潜在的问题。 在Visual Basic 2008中,处理网络连接通常涉及以下关键知识点: 1. **Internet ...
php5.3 curl超时,PHP5.6 CURL 超时问题,请大侠帮忙分析下原因
weixin_39875941的博客
03-10 401
最近做微信开发,CURL访问微信接口总是莫名的出现超时问题,各种尝试,以下配置方式,相对稳定一些,但是每天还是会出现超时情况,CURL设置如下:$curl = curl_init();curl_setopt($curl, CURLOPT_URL, $url);curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); //TRUE 将curl_exec()获取的...
解决报错curl: (35) OpenSSL SSL_connect: 连接被对方重设 in connection to download.docker.com:443
魔法猫咪的博客
02-13 4832
运行命令报错curl: (35) OpenSSL SSL_connect: 连接被对方重设 in connection to download.docker.com:443。
错误代码“err_connection_timed_out”的解决方案(某些网站不能登录,出现登陆超时
热门推荐
小琳子要开心呀
04-26 70万+
错误代码“err_connection_timed_out”的解决方案问题描述解决方案1:清除浏览器历史记录和缓存(亲测有效)解决方案2:修改Windows主机File解决方案3:刷新或更新DNS和IP地址 (亲测有效)解决方案4:过滤防火墙和网站解决方案5:更改LAN设置 (亲测有效)解决方案6:与服务器提供商保持联系 问题描述 本人在学校使用内网,自带IP6,理论上许多外网是能够访问的,但是偏...
错误代码“err_connection_timed_out”的解决方案
weixin_46721670的博客
01-06 9万+
问题描述 解决方案1:清除浏览器历史记录和缓存(亲测有效) 解决方案2:修改Windows主机File 解决方案3:刷新或更新DNS和IP地址 (亲测有效) 解决方案4:过滤防火墙和网站 解决方案5:更改LAN设置 (亲测有效) 解决方案6:与服务器提供商保持联系 问题描述 本人在学校使用内网,自带IP6,理论上许多外网是能够访问的,但是偏偏美国宇航局网站(https://avdc.gsfc.nasa.gov/)不能够访问。 提示错误代码“err_connection_timed_out”,但是同学都可以访
ssh出现connection timeout
hongchangfirst
12-16 8万+
有时候ssh到一个机子的时候,等了一会儿,出现connection timeout,但是并不清楚到底是哪里出错了。 我们可以有几个好的办法确定是哪里出了问题。 第一,先ping你的机子,如果不能ping通,考虑网络是否是断的。但是如果不能ping通,有可能是机子设置了相应的不回复icmp的ping报文等,也不能完全作为判断依据。 第二,如果你用的域名,可以换成IP,试试IP能不能pi
【git】 ssh拉代码,为何出现timeout链接超时
z767327552的专栏
05-07 6333
原因: 1.公司屏蔽了端口22的访问,检测一下端口22是否能够链接? 2.本机防火墙的缘故而不能使用端口22? windows下检测端口是否能够访问? PowerShell 版本是5及其以后,直接使用命令Get-NetTCPConnection参看与端口相关的信息 PS C:\> $PSVersionTable Name Value -...
golang http 连接超时和传输超时的例子
09-19
1. **连接超时**:指客户端尝试建立与服务器之间的连接所花费的时间超过指定的最大时间限制。这通常发生在 TCP 握手阶段。 2. **传输超时**:一旦连接建立成功后,在数据传输过程中如果超过一定时间没有读取到任何...
connect-server-to-get--data.rar_connect
09-19
8. **性能优化**:对于高并发或大量数据传输,可以考虑使用连接池、缓存策略、压缩数据等方法来提高性能。 综上所述,"connect-server-to-get--data"可能是一个用于测试或实际应用的网络通信客户端程序,涉及到了...
Nginx timeout超时配置详解
09-29
`proxy_connect_timeout`表示Nginx尝试连接到后端服务器的超时时间,`proxy_send_timeout`和`proxy_read_timeout`分别表示在向后端服务器发送请求和从后端服务器读取响应的超时时间,而`send_timeout`是指向客户端...
mysql-connector-java-3.0.17-ga-bin.jar.zip_connect
09-22
9. **配置优化**:为了提高性能,可以配置连接参数,如超时设置、连接池大小、字符编码等。这些可以通过URL参数或`Properties`对象传递给`getConnection()`方法。 总结来说,`mysql-connector-java-3.0.17-ga-bin....
ConnectionTimeOutSocketTimeOut的区别
forever_together的博客
12-17 5848
一次完整的http请求包含 建立连接、传输数据、断开连接ConnectionTimeOut 是指建立连接的时候就超时了,没有连接到对方。表现形式:java.net.ConnectException: Connection refused: connect SocketTimeOut 是指已经建立连接了,但是在服务器没有在规定的时间内传输数据给客户端,有可能是对方处理数据慢导致超时,表现形式:java.net.SocketTimeoutException: Read timed out ...
关于Https协议和HttpClient的实现详解
liweiminlining的专栏
02-14 3488
介绍了关于Https协议和HttpClient实现
接口阻塞问题解决
litthh
10-11 2849
【问题一:gethostbyname阻塞卡死】复现条件多为域名解析过程中遇到与DNS服务器断开的情况(如路由器重启)。 【解决方法】首先使用gethostbyname_r函数保证线程安全;再通过修改DNS的配置文件/etc/resolv.conf来设置超时时间解决阻塞问题。 【问题二:SSL_connect卡死】复现条件不明确,推测网络复杂时易出现。网查该函数默认有超时时间,但实测会永久阻塞,怀疑与使用的wolfssl库配置参数有关。 【解决方法】首先将socket改为非阻塞:fcntl(hHandle,
SSL_connect失败返回-1的一种情况解决办法
seafit的专栏
07-02 1万+
SSL_connect返回-1的一种原因是因为socket设置成了非阻塞模式,应设置为阻塞模式。 SSL_library_init();         ERR_load_BIO_strings();         SSL_load_error_strings();         OpenSSL_add_all_algorithms();                
优化 Nginx HTTPS 延迟 - 看我如何让Nginx提速 30%的?
这个时代,作为程序员可能要学习小程序
04-26 3101
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服务器单机应该可以期望承受住 50K 到 80K 左右[1]每秒的请求,同时...
Openssl SSL_connect()报错定位
zhe184323的博客
03-05 4471
背景: 在Openharmony设备上通过openssl和云端通信,SSL_connect报错,返回值-1. 定位: 1、排除header参数问题,把所有参数值打印出来。 2、执行SSL_get_error,打印SSL报错信息,列出所有可能 打印出SSL_ERROR_SSL,上网搜了下,可能是server、client端没定义,尝试在ssl_connect前插入ssl_set_connect_state,标识是客户端,没起作用。也可能是CA证书校验相关问题。 3、尝试调用ERR_ge
如何设置connect超时时间
路楷的专栏
08-29 8719
当网络设备不可用时,connect的链接会非常的耗时。 下面这篇文章解决了这个问题。 来源:https://www.codeproject.com/Tips/168704/How-to-set-a-socket-connection-timeout 文章名:How to set a socket connection timeout Resolve long timeout
总下载:107 M 安装大小:426 M 下载软件包: [MIRROR] docker-ce-28.0.2-1.el9.x86_64.rpm: Curl error (35): SSL connect error for https://download.docker.com/linux/centos/9/x86_64/stable/Packages/docker-ce-28.0.2-1.el9.x86_64.rpm [OpenSSL SSL_connect: 连接被对方重设 in connection
最新发布
03-26
### 解决 Docker CE RPM 包下载时出现的 Curl SSL 连接错误问题 当在 CentOS 9 上安装 Docker CE 并遇到 `Curl error (28)` 或其他与 SSL 相关的连接错误时,可能的原因包括 OpenSSL 版本过旧、网络超时或 YUM 源配置不当等问题。以下是针对该问题的具体分析和解决方案。 #### 更新 OpenSSL 库 确保系统的 OpenSSL 库是最新的版本可以有效减少因加密协议不兼容而导致的连接失败问题。可以通过以下命令更新 OpenSSL: ```bash yum update -y openssl openssl-devel ``` 此操作会将系统中的 OpenSSL 和其开发库升级到最新稳定版[^1]。 #### 验证 YUM 源配置 如果仍然存在连接错误,则需检查当前使用的 YUM 源是否正确指向官方支持的镜像站点。对于 CentOS 9 用户来说,默认的 Docker 官方仓库可能不再完全适配新操作系统环境下的安全策略。建议替换为国内加速源(如阿里云),具体方法如下: 编辑 `/etc/yum.repos.d/docker-ce.repo` 文件并修改其中的内容为例: ```ini [docker-ce-stable] name=Docker CE Stable - $basearch baseurl=https://mirrors.aliyun.com/docker-ce/linux/centos/$releasever/$basearch/stable enabled=1 gpgcheck=1 gpgkey=https://download.docker.com/linux/centos/gpg ``` 完成更改之后再次运行安装指令测试效果如何改善[^5]。 #### 增加超时时间参数 有时即使解决了上述两个方面仍无法避免偶尔发生的短暂性网络波动引发的请求中断现象,在这种情况下可以在原有基础上增加额外选项延长等待周期来规避此类情况发生: ```bash export http_proxy=http://your-proxy-address:port https_proxy=http://your-proxy-address:port no_proxy=localhost,127.0.0.1 yum --timeout=300 install -y docker-ce docker-ce-cli containerd.io ``` 这里我们将默认超时期限设置成了五分钟(`--timeout=300`)以便给予更多缓冲空间给复杂环境下较慢响应速度的服务端节点处理我们的请求数据流传输过程[^2]。 另外值得注意的是某些特殊场景下还涉及到防火墙规则设定亦或是SELinux状态调整等因素也可能间接影响最终成果达成与否故而必要时候也应适当考虑这些潜在干扰变量的影响程度评估后再做相应处置措施决定[^3]. 最后关于利用docker-compose工具实现Nginx服务容器化部署过程中涉及SSL证书配置相关内容可参照专门文档资料进一步学习掌握实践技巧要点[^4].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值