关于 Socket 的安全问题

本文探讨了微软自Windows 2003以来在服务器操作系统中加强的安全措施,特别关注了Socket端口复用方面的变化。在不同的系统设置下,如SO_REUSEADDR和SO_EXCLUSIVEADDRUSE选项,以及不同账号创建的进程,详细说明了端口绑定行为的变化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天看了些资料,了解了下 Socket 的安全问题,特别是端口复用方面。

首先,微软从2003后就开始增强服务器操作系统的安全性

比如,在03之前的操作系统中,只要第一个 Socket 不设置 SO_EXCLUSIVEADDRUSE,那么第二个 Socket 做 Bind 使用 SO_REUSEADDR 都会成功。

First  bind callSecond bind call
DefaultSO_REUSEADDRSO_EXCLUSIVEADDRUSE
WildcardSpecificWildcardSpecificWildcardSpecific
DefaultWildcardINUSEINUSESuccessSuccessINUSEINUSE
SpecificINUSEINUSESuccessSuccessINUSEINUSE
SO_REUSEADDRWildcardINUSEINUSESuccessSuccessINUSEINUSE
SpecificINUSEINUSESuccessSuccessINUSEINUSE
SO_EXCLUSIVEADDRUSEWildcardINUSEINUSEACCESSACCESSINUSEINUSE
SpecificINUSEINUSEACCESSACCESSINUSEINUSE

而03之后,包括03,却是如下结果:

First  bind callSecond bind call
DefaultSO_REUSEADDRSO_EXCLUSIVEADDRUSE
WildcardSpecificWildcardSpecificWildcardSpecific
DefaultWildcardINUSESuccessACCESSSuccessINUSESuccess
SpecificSuccessINUSESuccessSuccessINUSEINUSE
SO_REUSEADDRWildcardINUSESuccessSuccessACCESSINUSESuccess
SpecificSuccessINUSESuccessSuccessINUSEINUSE
SO_EXCLUSIVEADDRUSEWildcardINUSEACCESSACCESSACCESSINUSEACCESS
SpecificSuccessINUSESuccessACCESSINUSEINUSE

 对于不同账号创建的进程,又是如下的结果:

First  bind callSecond bind call
DefaultSO_REUSEADDRSO_EXCLUSIVEADDRUSE
WildcardSpecificWildcardSpecificWildcardSpecific
DefaultWildcardINUSEACCESSACCESSACCESSINUSEACCESS
SpecificSuccessINUSESuccessACCESSINUSEINUSE
SO_REUSEADDRWildcardINUSEACCESSSuccessSuccessINUSEACCESS
SpecificSuccessINUSESuccessSuccessINUSEINUSE
SO_EXCLUSIVEADDRUSEWildcardINUSEACCESSACCESSACCESSINUSEACCESS
SpecificSuccessINUSESuccessACCESSINUSEINUSE

 

 

转载于:https://www.cnblogs.com/emissary/archive/2013/05/20/3087860.html

// C/C++, 利用OpenSSL库对Socket传输进行安全加密(RSA+AES) // 1. 利用RSA安全传输AES生成密钥所需的Seed(32字节) // 2. 利用AES_encrypt/AES_decrypt对Socket上面的业务数据进行AES加密/解密 // --- // * 理论上只需要AES就能保证全部流程,但由于AES加密所需要的AES-KEY是一个结构 // * 这个一个结构,如果通过网络进行传输,就需要对它进行网络编码,OpenSSL里面没有现成的API // * 所以就引入RSA来完成首次安全的传输,保证Seed不会被窃听 // * 同样,只使用RSA也能完成全部流程,但由于RSA的处理效率比AES低, // * 所以在业务数据传输加密上还是使用AES // --- // 下面的代码包含了上述传输加密流程所需的所有步骤(OpenSSL部分) // 在实际的Socket应用开发时,需要将这些步骤插入到Client/Server网络通信的特定阶段 // --- // 为能完成代码的编译和执行,需要先安装OpenSSL执行库及开发库 // 以Debian为例,需要安装openssl 和 libssl-dev // 编译命令: g++ -o rsa-encrypt rsa-encrypt.cpp -lcrypto // --- // 所需的OpenSSL主要的API及功能描述 // 1. RSA_generate_key() 随机生成一个RSA密钥对,供RSA加密/解密使用 // 2. i2d_RSAPublicKey() 将RSA密钥对里面的公钥提出到一个BUF,用于网络传输给对方 // 3. d2i_RSAPublicKey() 将从网络传过来的公钥信息生成一个加密使用的RSA(它里面只有公钥) // 4. RSA_public_encrypt() 使用RSA的公钥对数据进行加密 // 5. RSA_private_decrypt() 使用RSA的私钥对数据进行加密 // 6. AES_set_encrypt_key() 根据Seed生成AES密钥对中的加密密钥 // 7. AES_set_decrypt_key() 根据Seed生成AES密钥对中的解密密钥 // 8. AES_encrypt() 使用AES加密密钥对数据进行加密 // 9. AES_decrypt() 使用AES解密密钥对数据进行解密 // --- // 一个典型的安全Socket的建立流程, 其实就是如何将Server随机Seed安全发给Client // -- C: Client S:Server // C: RSA_generate_key() --> RSAKey --> i2d_RSAPublicKey(RSAKey) --> RSAPublicKey // C: Send(RSAPublicKey) TO Server // S: Recv() --> RSAPublicKey --> d2i_RSAPublicKey(RSAPublicKey) --> RSAKey // S: Rand() --> Seed --> RSA_public_encrypt(RSAKey, Seed) --> EncryptedSeed // S: Send(EncryptedSeed) TO Client // C: Recv() --> EncryptedSeed --> RSA_private_decrypt(RSAKey, EncryptedSeed) --> Seed // --- 到此, Client和Server已经完成完成传输Seed的处理 // --- 后面的流程是它们怎样使用这个Seed来进行业务数据的安全传输 // C: AES_set_encrypt_key(Seed) --> AESEncryptKey // C: AES_set_decrypt_key(Seed) --> AESDecryptKey // S: AES_set_encrypt_key(Seed) --> AESEncryptKey // S: AES_set_decrypt_key(Seed) --> AESDecryptKey // --- Client传输数据给Server // C: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Server // S: Recv() --> EncryptedData --> AES_decrypt(AESDecryptKey, EncryptedData) --> Data // --- Server传输数据给Client // S: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Client // C: Recv() --> EncryptedData --> AES_decrypt(AESDecryptKey, EncryptedData) --> Data / ========================================================================================= */
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值