基于openswan klips的IPsec实现分析(二)数据接收

最新推荐文章于 2025-07-24 14:21:38 发布
原创 最新推荐文章于 2025-07-24 14:21:38 发布 · 3.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ah #esp #IPsec #Openswan #加密解密

本文详细解析了基于OpenSwanKlips的IPsec数据接收及解密流程,包括ipsec_rcv()、ipsec_rcv_decap()等关键函数的作用及内部处理逻辑,并介绍了如何通过解密后的数据查询SP并传递给上层协议栈。
部署运行你感兴趣的模型镜像

基于openswan klips的IPsec实现分析之数据接收

转载请注明出处:http://blog.youkuaiyun.com/rosetta

  接收数据解密和加密发送数据处理基本相似,无非就是逆过程。

  Klips对接收数据的处理流程如下:

  数据解密过程(以esp为例)

  ipsec_rcv()
         ->ipsec_rcv_decap()
               ->ipsec_rcv_decap_once()//proto_funcs = esp_xform_funcs(当然这里还有ah,ipcomp对应的结构体指针赋值)
                       ->proto_funcs->rcv_checks
                       ->proto_funcs->rcv_setup_auth
                       ->proto_funcs->rcv_decrypt

                  解完密后由  netif_rx(irs->skb);发送给上层协议栈处理。

  下面详细分析数据接收并解密过程。

  Ipsec_rcv()从物理网卡获取到数据包,这个处理函数是在ipsec_klips_init()中的openswan_inet_add_protocol()增加协议支持时注册的,首先判断skb是否有数据并确保skb是一份拷贝数据,然后判断是否是ESP包、AH包或者是COMP包,如果是则再判断物理网卡是否有对应的虚拟网卡绑定,然后走到ipsec_rcv_decap()。

  在ipsec_rcv_decap()里依据ESP、AH或COMP选择对应的xform_functions结构体,此结构包含认证函数指针、解密函数指针。再进入ipsec_rcv_decap_once()    proto_funcs->rcv_checks检查ESP包是否是4字节对齐(rfc24062.4节),接着判断是否存在有效的SA;proto_funcs->rcv_setup_auth设置哈希检验函数相关结构体;

proto_funcs->rcv_decrypt解密,解完密的数据再去查询SP,如果查找匹配的SP(eroute)就调用netif_rx()把数据包扔给上层协议栈处理。

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

openwrt strongswan IPSec IKEV2
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
基于openwrt平台搭建局域网技术验证之
caofengtao1314的专栏
06-29 3260
1、测试目的 验证l2tp服务器模式的可行性。 提供vpn-l2tp模式的服务器功能,供客户端连接访问内网 2、参考资料 参考连接1:https://www.jianshu.com/p/ccf8f2cca70e 参考连接2:https://openwrt.org/docs/guide-user/services/vpn/ipsec/openswan/openswanxl2tpvpn 3、测试过程 测试过程需要用到的资源: 路由器一个 win7系统电脑俩台 交换机一个 网线三根
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
基于openswan klipsIPsec实现分析(八)内核SADB维护(2)
终身学习的程序猿
06-18 8126
基于openswan klipsIPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.youkuaiyun.com/rosetta 内核完整的消息处理过程,以隧道模式ESP协议增加SA情况为例 接收消息和发送消息的知识涉及到Linux内核了,所以不关注它是怎么收发,而是关注收到消息后对消息本身的处理过程。但为了保证代码的完整性,就把接收和发送的代码全部帖上来了
openswan klips数据加解密过程
终身学习的程序猿
06-15 1697
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
libreswan算法管理分析
02-19
在libreswan中,klips实现IPSec功能的核心组件之一,主要负责数据包的安全传输以及加密解密等任务。本文将从代码层面出发,详细介绍libreswan(版本3.29)中klips的算法管理部分,包括算法的使用、加解密等内容。 ...
Ipsec Openswan 26sec等基础知识扫盲
终身学习的程序猿
05-08 8623
最近在整理openswan clips,linux netkey等 方面的东西. 理清openswan什么版本支持ipv6,pluto和racoon作用等等知识 . 希望对研究ipsec,vpn方面的朋友有帮助.整理不足之处还请指正. 问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec?
31、深入解析Netfilter与IPsec:网络安全与数据包处理的核心技术
ujm567890的博客
07-09 80
本文深入解析了Netfilter与IPsec这两项Linux网络中的核心技术,详细介绍了它们的工作原理、关键方法和实际应用场景。Netfilter通过规则过滤和钩子机制实现灵活的数据包处理,而IPsec则提供强大的网络安全保障,通过认证和加密保护IP通信。文章还探讨了两者之间的协同工作机制,以及在企业VPN、数据中心等场景中的应用,并给出了性能优化建议,为构建安全高效的网络环境提供了全面的技术指导。
31、深入理解Netfilter与IPsec:原理、方法与应用
最新发布
m9n0o的博客
07-24 47
本文深入探讨了Linux内核中的Netfilter和IPsec子系统,详细解析了它们的原理、方法及应用。Netfilter作为网络数据包处理的核心机制,提供了钩子、规则和连接跟踪功能,用于过滤、修改和转发数据包。IPsec则通过认证和加密保障IP通信的安全性,支持传输模式和隧道模式。文章还介绍了IKE协议的工作流程、IPsec的NAT穿越机制以及XFRM框架的结构。此外,还涵盖了相关代码示例、工具库的使用以及常见问题的解答,帮助读者全面理解并应用Netfilter和IPsec技术。
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3672
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4415
基于openswan klipsIPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1051
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 7138
基于openswan klipsIPsec VPN实现分析数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
基于openswan klipsIPsec实现分析(四)应用层和内核通信(1)
终身学习的程序猿
06-18 4243
基于openswan klipsIPsec VPN实现分析(四)应用层和内核通信——应用层操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta   klips和NETKEY在内核域中运行,主要负责控制管理SA及密钥,负责注册和初始化模块,数据加密解密,SHA1、MD5算法实现等。两者与用户层通信都使用套接字socket PF_KEY。现讲解用户层pluto和kli
【笔记】openwrt - IPSec
LawssssCat的博客
11-30 8840
文章目录基础 + jvm- String- 1:分析: 基础 + jvm - String - 1: 分析: Part 0 : 完成测试代码 用 工具 javap -c StringEqualTest.class 反编译下面代码分析 Part1 : String常量对比 /* * 1. 常量对比 */ String a = "cc" ; String b = "c...
Openwrt ipsec介绍
Roger_Hoo 的博客
11-22 5296
简介openwrt ipsec部署的几种场景,并列举常见问题的解决办法
使用openwrt搭建ipsec隧道
buhuidage的博客
01-26 4996
刚好手机拍下了日志,把日志往群里发了一下,细心的群友看出了问题点,然后我搜了一下这个函数是在哪个地方定义的,只需要我们去开一下对应的宏就行,然后重新编译了一下版本,发现连接上去了。我们直接去编译一下带ipsec的openwrt的固件,遇到问题也好解决一点,这里我选择的lean大佬的openwrt源码,源码链接如下,在国内我们玩openwrt的玩家基本都在用lean的代码,因为lean的代码适配了国内基本上常见的路由器固件,我们只需要make menuconfig开一下对应产品的宏就可以编译,非常简单上手。
Iphone连接Openwrt的IPSEC服务器
胡同老道的博客
09-12 1万+
最近搭建了群晖的Moments服务,把家人的所有照片全部存储到NAS,然后删除了手机中的照片,省出了大量空间,家里的领导再也不抱怨手机空间不够了。 我是经常换手机,用手机自带的备份克隆或者换机助手,动不动就一两个小时才能把几十G照片搬到新手机,用了群晖,这个问题也解决了。 话说物极必反,没用几天,领导就抱怨在外面看到不以前的照片了,发了限期整改的通知,否则把每月零花钱从350降到200。 本着绝对不开历史倒车的技术理念,加上捉襟见肘的预算,排除了把照片...
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
热门推荐
初学者的专栏
10-31 1万+
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
Openswan ipsec
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。一个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` 和 `right` 参数分别指代本地和远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是一个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值