C’est dans ce contexte que j’ai dû mettre en place une réplication de port ou port mirroring ou encore span port (jargon Cisco) sur un Cisco 3550, afin de visualiser le trafic à destination du serveur « attaqué » sur un autre serveur.

Pour se faire, rien de plus simple, il suffit de taper les commandes suivantes sur votre IOS préféré :

conf t
monitor session 1 source interface fastEthernet 0/1
monitor session 1 destination interface fastEthernet 0/2 ingress vlan 1
exit
show monitor


La première commande passe dans le contexte de configuration.
La deuxième commande crée une session de monitoring de port (session n°1) et déclare la source, ici le port fast Ethernet 0/1.
La deuxième commande précise le port de destination, ici le port fast Ethernet 0/2. Attention à bien préciser le vlan (1 par défaut mais dans mon cas par exemple, ce n’est pas 1), sinon votre port destination ne sera plus joignable.

Il est tout à fait possible de surveiller un port Gigabit, cependant en cas de trafic plus élevé que sur le port destination (100 Mbps pour un port Fast Ethernet), il y aura nécessairement des pertes de paquets.

Ensuite pour analyser le trafic et notamment comprendre l’origine des attaques, Snort convient bien, mais ce n’est pas l’objet du présent article !