Họ đến từ đâu
Mỗi bên chọn chúng; nghĩa là, người khởi xướng chọn cookie của nó và người phản hồi chọn cookie của nó. Sau gói ban đầu (trong đó bộ khởi tạo chưa tìm hiểu các cookie phản hồi), mỗi gói IKE sẽ chứa cả hai.
cách chúng được tạo ra
Tuy nhiên, mỗi bên đều muốn (miễn là nó không tạo ra giá trị bằng 0 - giá trị đó có ý nghĩa đặc biệt). Mỗi bên có thể tạo chúng một cách ngẫu nhiên. Một bên có thể tạo cookie của mình với địa chỉ IP của bên ngang hàng trong đó (vì vậy nó có thể nhanh chóng lọc ra các cuộc tấn công gây ngập lụt - các cuộc tấn công là các bot gửi rất nhiều tin nhắn IKE). Ngoài ra, việc triển khai quy mô lớn có thể nhúng 'số nhận dạng phiên' vào cookie của nó (để tra cứu nhanh hơn).
Vì phía bên kia không đặt bất kỳ ý nghĩa nào vào giá trị (ngoài việc nó khác không), nên điều đó không thành vấn đề.
tại sao chúng được sử dụng
Nhiều lý do:
Cùng một nhóm ngang hàng có thể thực hiện một số phiên IKE cùng một lúc (thực ra, điều này khá phổ biến); các cookie hoạt động như một mã định danh phiên.
Để ngăn chặn bất kỳ cuộc tấn công theo kiểu 'phát lại' nào, trong đó ai đó sao chép các gói IKE từ phiên trước đó (với hy vọng đánh lừa được người ngang hàng trung thực); bởi vì người bạn trung thực sẽ chọn một cookie mới, điều này không hiệu quả.
Ban đầu, cookie được đưa vào IKEv1/Photuris để ngăn chặn các cuộc tấn công gây ngập lụt mù quáng. Những điều đó không còn là mối quan tâm trong IKEv2 (với các biện pháp bảo vệ DoS được tích hợp trong IKEv2); tuy nhiên cơ chế vẫn tồn tại.