포트 미러링
소스와 데스티네이션 지정 필요
-스위치
monitor session 1 source [소스포트로 지정할 int] both
monitor session 1 destination [내용 보낼 int]
//소스포트를 통과하는 기록 보냄-ICMP, 10개, 16진수와 ASCII 형태로 캡처 후 output.pcap 저장
tcpdump -Xc 10 'icmp and dst 10.1.1.126 and src 10.1.1.222' -w output.pcap
tcpdump -r output.pcap으로 확인-해당 값 라우터에서 차단하기(ACL)
ip access-list extended PERMIT
deny icmp host 10.1.1.222 host 10.1.1.126 echo
permit ip any any//스위치가 앞에 있다면 차단이 미흡할 수 있음
많은 경험을 해보고자 하는