de unde vin
Fiecare parte le alege; adică inițiatorul își alege cookie-urile și respondentul își alege cookie-urile. După pachetul inițial (unde inițiatorul nu învață încă modulele cookie de răspuns), fiecare pachet IKE le va conține pe ambele.
cum sunt generate
Cu toate acestea, fiecare parte dorește (atâta timp cât nu generează o valoare all-0 - acea valoare are o semnificație specială). Fiecare parte le-ar putea genera aleatoriu. O parte și-ar putea genera cookie-urile cu adresa IP a peer-ului în ea (astfel încât să poată filtra rapid atacurile de inundații oarbe - atacurile în care roboții trimit o mulțime de mesaje IKE). Alternativ, o implementare la scară largă ar putea încorpora un „identificator de sesiune” în cookie-urile sale (pentru a face căutarea mai rapidă).
Deoarece cealaltă parte nu acordă nicio semnificație valorii (în afară de faptul că nu este zero), nu contează.
de ce sunt folosite
Mai multe motive:
Același set de colegi ar putea implementa mai multe sesiuni IKE simultan (de fapt, acest lucru este destul de comun); cookie-urile acționează ca un identificator de sesiune.
Pentru a contracara orice atac în stil „replay”, în care cineva reproduce pachetele IKE dintr-o sesiune anterioară (cu speranța de a păcăli peerul cinstit); pentru că omul cinstit va alege o prăjitură proaspătă, acest lucru nu funcționează.
Inițial, cookie-urile au fost introduse în IKEv1/Photuris pentru a contracara atacurile de inundații oarbe. Acestea nu mai sunt o preocupare în IKEv2 (cu protecțiile DoS încorporate în IKEv2); cu toate acestea mecanismul încă există.
