IKE中曲奇的使用

Question

在IKE协议中创建密钥时，sides使用cookie，但是我不知道它们从哪里来，它们是如何生成的，以及它们为什么被使用。有人能解释一下吗？谢谢。

Answer 1

他们从哪里来的

每一方都选择它们；也就是说，发起者选择它的cookie，响应者选择它的cookie。在初始数据包(其中发起者还没有学习响应程序cookie)之后，每个IKE数据包将同时包含这两个包。

它们是如何产生的

但是，每一方都想要(只要它不生成一个所有-0值-该值具有特殊的意义)。每一方都可以随机产生它们。一方可以生成带有对等方IP地址的cookie(这样就可以快速过滤出盲目的洪水攻击--攻击就是机器人发送大量IKE消息)。或者，大规模实现可以在其cookie中嵌入“会话标识符”(以使查找更快)。

因为另一方对值没有任何意义(除了它是非零的)，所以这并不重要。

为什么他们被使用

几个原因：

• 同一组对等点可以同时实现多个IKE会话(实际上，这很常见)；cookie充当会话标识符。
• 要阻止任何“重播”风格的攻击，即有人从上一次会话中复制IKE数据包(希望欺骗诚实的对等方)；因为诚实的对等方会选择新的cookie，这是行不通的。

最初，cookies被引入IKEv1 1/Photuris以阻止盲目的洪水攻击。这些不再是IKEv2中的问题( DoS保护内置于IKEv2中)；然而，这种机制仍然存在。