https 数据包被 UPF 追加插值了,请问服务端怎么恢复该包通过 mac 检验?

2022-10-09 10:09:36 +08:00
 FONG2
在 TLS 握手的 client hello 消息中插入私有扩展头,扩展头格式类似 server-name ,支持一个 extension 里封装多个扩展头数据列表,实现 HTTPS 的头增强数据携带。
在 extension 字段中定义指定 extension_type 名称,例如运营商使用的字段名为 17965 的扩展字段。

但是插值过之后会导致握手失败,客服端报 bad record mac 异常

求问,这个场景服务端要怎么处理才可以获得这个插值并不影响原有的 https 握手?
给个技术关键词 我搜索也行~ thx
1379 次点击
所在节点    问与答
10 条回复
jiulang
2022-10-09 11:23:22 +08:00
服务端的 tls 处理可能在代理层(如 nginx ),也可能直接到达应用层,但不管哪一层,都不好处理。所以不如在服务器的网络层处理和恢复 client hello 。
winglight2016
2022-10-09 11:45:29 +08:00
在代理那里再包一层 package ?
julyclyde
2022-10-09 14:13:28 +08:00
它要不报异常那才奇怪呢
你应该问这个所谓 upf 他们厂家提供的方案是怎样的
FONG2
2022-10-09 16:18:19 +08:00
@julyclyde 方案就是服务端进行处理,但是没有具体细节,意思就是他负责插值,其他不管,不过集团是有方案的,付费买。。
FONG2
2022-10-09 16:26:11 +08:00
@jiulang 插值之后的请求,在 nginx 没有任何响应日志浏览器就报错了
jiulang
2022-10-09 16:30:11 +08:00
@FONG2 得在 nginx 之前就把 client hello 包恢复回插值之前的
FONG2
2022-10-09 16:32:57 +08:00
@jiulang 没错,我就是问这个,该怎么搞,没有头绪
jiulang
2022-10-09 18:11:38 +08:00
linux 可以关注 eBPF ,windows 可以对于 windivert
psly
2023-09-25 20:59:46 +08:00
请问楼主解决问题了吗,怎么解决的?
FONG2
89 天前
@psly 没解决。。。还在研究中

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/885440

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX