IKE主模式中的 cookie 是什么？

easy

Q ：IKE主模式中的 cookie 是什么？

A ：在主模式下，前 2 条消息发送之前，发送者和回应者必须先计算出各自的 cookie。Cookie 用于标识每个单独的协商交换。它把和其他设备建立 IPSEC 所需要的连接信息 HASH 成一个 cookie 值。实际上 cookie 是用来防止 DDOS 攻击的，只要双方确定对方的 Cookie 和以前从对方那里接收到的 Cookie 值不同，他将抛弃该消息。

发送者（Initiator）的 cookie：CKY-I = md5{(src_ip, dest_ip)，随机数，时间和日期}

回应者（Responder）的 cookie：CKY-R = md5{(src_ip, dest_ip), 随机数，时间和日期}

在 IKEv2 中，通过抓包也可以发现，此处的 cookie 被修改为 SPI （security parameter index），如下图所示：