IPSec IKEv2 Cookie

本文最后更新于:2022年5月1日 晚上

〇、前言

IKEv2 为防止 DoS,在通信多的时候会加入 Cookie。、

Strongswan 可以通过 charon.conf 的 cookie_threshold 字段进行配置,便于测试

一、具体流程

  • C 向 S 发送 IKE_SA_INIT,Responder SPI 是0
    1th
  • S 向 C 返回 IKE_SA_INIT,Responder SPI 依旧是0,payload 只有一个,是 Notify,内容是 Cookie。
    2th
  • C 向 S 重新发送 IKE_SA_INIT,Initiator SPI 不变,首个 payload 是 2 中的 Notify(也就是 Cookie),之后才是 SA 等信息
    3th
  • S 接收,之后同正常流程
    4th