Cisco Cisco ASR 5000

 

▄  Command Line Interface Reference, StarOS Release 18 

Configure the cookie challenge parameters for IKEv2 INFO Exchange notify payloads for the given crypto template. 

 

All IPSec-related services 

 

Security Administrator 

 

dos cookie-challenge notify-payload [ half-open-sess-count start integer stop integer] 

[ default | no ] cookie-challenge detect-dos-attack 

 

Default is to disabled condition. 

 

Prevents Denial of Service cookie transmission. This is the default condition. 

 

The 

 is the number of half-open sessions per IPSec manager. 

A session is considered half-open if a PDIF has responded to an IKEv2 INIT Request with an IKEv2 INIT 
Response, but no further message was received on that particular IKE SA. 



 

 

: Starts when the current half-open-sess-count exceeds the start count. The start count 

is an integer from 0 to 100000. 



 

 

: Stops when the current half-open-sess-count drops below the stop count. The stop 

count number is an integer from 0 to 100000. It is always less than or equal to the start count number 

  The start count value 0 is a special case whereby this feature is always enabled. In this event, both 

 and 

 must be 0. 

This feature (which is disabled by default) helps prevent malicious Denial of Service attacks against the 
server by sending a challenge cookie. If the response from the sender does not incorporate the expected 
cookie data, the packets are dropped. 

 

The following example configures the cookie challenge to begin when the half-open-sess-count reaches 
50000 and stops when it drops below 20000: 

dos cookie-challenge notify-payload half-open-sess-count start 50000 stop 
20000