1

RFC 6347 第 4.2.1 节中HelloVerifyRequest描述的 cookie 交换对于 DTLS 中的 DoS 保护至关重要。除非我忽略了某些东西,否则 WolfSSL 文档并没有真正描述如何使用其 DTLS 实现启用此 cookie 交换。

我能找到的最接近的是 function wolfSSL_send_hrr_cookie,手册指出:

该函数在服务器端调用,表示 HelloRetryRequest 消息必须包含 Cookie。Cookie 保存当前脚本的哈希,以便另一个服务器进程可以处理 ClientHello 作为回复。在对 Cookie 数据进行完整性检查时使用该密钥。

据我了解,HelloRetryRequest(compare HelloVerifyRequest) 是 TLS 1.3 术语。DTLS 1.3 尚未最终确定。如何在 WolfSSL 中启用和控制 DTLS 1.0/1.2 cookie 交换?

4

1 回答 1

2

默认情况下启用 DTLS Hello Cookie。wolfSSL 服务器代码使用EmbedGenerateCookie()文件 src/wolfio.c 中的回调函数根据RFC 6347 §4.2.1中的建议生成 cookie 。

TLSv1.3 的 hrr_cookie 与此无关。

于 2021-01-29T20:23:46.767 回答