Eric JOUFFRILLON

Hack d’un jour

Posted on by Eric JOUFFRILLON

Histoire d’une cyber-agression “HACK”

Je vais vous conter l’histoire de mon ami “GBen” qui a été victime d’un cyber-agresseur.

 

 

INTRODUCTION / CONTEXE

 

Nous travaillons actuellement à l’étranger et sommes logés dans un hôtel.

Comme dans la majorité des hôtels, une connexion WiFi gratuite (sans login/mdp) est disponible.

GBen possède un ordinateur portable :

– OS : Windows XP non officiel
– antivirus : Panda
– spybot search and destroy gratuit

 

 

 

Premiers signes

15h59 – Réception d’un mail PayPal

Peu de temps avant notre départ du travail, GBen reçoit un mail de PayPal concernant un virement de 200 euros vers une personne qu’il ne connait pas. Le mail contenant paypal.fr, ce dernier pense à une arnaque et le bascule dans les SPAMs. Sûr de lui, il n’évoque pas la moindre inquiétude.

 

16h17 – Inquiétude

Finalement pas si sûr de lui, il veut checker son compte PayPal. Il n’arrive pas à s’y connecter mais ne sait pas si l’erreur vient de lui ou si il a juste oublié son mot de passe. Petite sueur mais bon on est bientôt rentré alors il se réconforte en se disant que depuis son PC il pourra en savoir d’avantage.

 

16h39 – Fracture oculaire

GBen rentre dans sa chambre, pressé d’en savoir plus, ouvre son ordinateur et tombe sur une image particulièrement généreuse (un fond d’écran d’un ton douteux exhibant une femme approchant le quintal en petite tenue sur une moto…).

“Ah quel est le c** qui a fait ça, c’est un coup d’Eric ça !!!”

Et voilà ! Tout de suite, je suis victime d’un amalgame. Certes je trouve un certain intérêt au monde numérique et j’aime faire de mauvaise blague mais tout de même…

 

16h47 – Dring dring

Le téléphone de ma chambre sonne, je décroche :

“C’est toi qui a changé mon fond d’écran ??? Tu n’as rien d’autre a faire sérieux ???”

Quelques échanges plus tard, il m’annonce que Spybot a terminé son analyse et qu’il a des trucs en rouges

 

16h53 – Des signes qui ne trompent pas

J’arrive dans sa chambre et je cherche le dossier dans lequel a été stocké le fond d’écran :

C:\Users\Gben\AppData\Roaming

Je lui glisse un léger “ça pue mec“… Et la BIM :  une image “anonymous” (comme il en existe des milliers sur le net) nous saute au yeux avec la visionneuse windows. Je jette un léger coup d’œil aux connexions en cours et remarque tout de suite que toutes les portes sont ouvertes… Allez on coupe tout et on analyse.

Je briefe rapidement GBen sur l’état actuel des choses :

– Quelqu’un possède un accès à son ordinateur soit de l’extérieur soit par le wifi gratuit
– Tu peux déjà te dire que le mec t’a potentiellement tout pris
– Tu te sens violé… C’est la merde mais peut-être qu’il est toujours en train de te violer alors ne traine pas, il faut agir !!!

 

16h58 – Un dialogue qui met dans le bain

– Heu… Eric… C’est bizarre, j’ai reçu ce mail de Paypal tout à l’heure… Je pensais que c’était un faux alors je l’ai basculé dans les SPAMs, mais je viens d’en recevoir un deuxième et grâce au PC je sais que ce n’est pas du pipeau…

Whhaaattt ??!!! Franchement pourquoi tu n’as pas vérifié direct avec ton portable ?

– J’ai essayé mais je ne me souvenais plus de mon mot de passe alors j’ai préféré attendre d’être rentré car tout mes identifiants et mots de passe sont enregistrés dans mon navigateur.

– Mec, je ne suis pas un expert mais en gros : tu as un mec qui vient de cambrioler ton appart’ numérique, il a peut-être même récupérer tout tes papiers, bon certes il aurait pu faire plus de mal car il nous a mis le fond d’écran ce qui nous a averti de sa présence, mais bon en ce moment il se ballade sur le net avec ton identité !!!!

Pris d’un élan de Sherlock Holmes, je me lance dans une cyber enquête pendant que Gben contacte sa banque et modifie tous ses mots de passe.

 

 

A la recherche de preuves

Analyse de Spybot

Ce logiciel permet de rechercher les spywares, adwares ou trojan présents dans votre système.

Je récupère l’analyse effectué par GBen et fait les comptes :

Ni plus ni moins de 5 RAT (Remote Access Trojan) dans le même dossier “C:\Users\Gben\AppData\Roaming” que celui des images importer par l’agresseur. Voici un de ces RATs :

RAT.PinMon: [SBI $36F1A822] Data (File, nothing done)
C:\Users\Gben\AppData\Roaming\dclogs\2018-10-21-1.dc
Category=Trojans
ThreatLevel=10
Weblink=http://forums.spybot.info/showthread.php?74416
Properties.size=4821
Properties.md5=F630059BDFC04917FDD1B51A8C6BFCF7
Properties.filedate=1540159224
Properties.filedatetext=2018-10-21 22:00:23

“Ouais cool Eric mais c’est quoi un RAT ??”

 

RAT

 

Qu’est ce qu’un RAT ?

RAT = Remote Acces Trojan

Ce trojan, installé par la victime, dissimulé dans une faille (souvent des mises à jour que la victime va facilement accepté), permet d’obtenir un accès à distance avec les privilèges administrateur de la victime.

Une fois le lien en place, l’agresseur a accès à l’intégralité de votre système, exemple :

– la totalité des fichiers (photos, fichiers personnels comme des relevés de compte ou des photocopies de pièces personnelles)
– la Webcam
– le micro
– la modification des bases de registre
– l’installation de programmes

“Oh abusé, bon par contre tu parles un peu chinois là… C’est quoi un trojan ?”

 

Trojan

C’est la pause “mythologie grecque” du professeur Eric :

Pendant dix ans, une armée s’est cassée les dents a essayer de prendre la ville de Troie sans jamais y parvenir. Alors, un gonze appelé Ulysse a eu une idée : “On va construire un putain de cheval en bois à leur offrir et on va se cacher dedans pour entrer dans la ville en même temps”

Bon l’idée est un peu grosse mais il faut se remettre dans le contexte, ça fait dix ans qu’ils galèrent… Du coup pourquoi pas ?

Ulysse offre ce cheval aux troyens. Deux qui se sont méfier : Laocoon et Cassandre, mais bon, Ulysse a annoncé “Je vous offre ceci en guise de trêve, si vous l’acceptez, on arrête de vous attaquer, et en plus on vous file des vivres et des femmes.”

Alléchant ! Alors les troyens ont accepté le cheval, et après avoir surveiller que les mecs se tirent, ils ont baissé leur garde et se la sont collée ! BBQ, femmes et alcool à gogo !!!!

Une fois les troyens bien rognés, les quelques soldats d’Ulysse sont sortis du cheval et ont ouvert la porte !!!! Ulysse et ses potos ont débarqué et ont zigouillé toute la viande saoule qui trainaient là !!!!

 

Voici ce qu’est un cheval de Troie (Trojan horse en anglais) :

C’est une fonctionnalité malveillante, cachée dans un logiciel ou une mise à jour qui sera installée avec l’accord de l’utilisateur bien sûr.

 

Historique du navigateur

Ce dernier n’est pas à négliger, je n’ai pas la connaissance nécessaire pour affirmer qu’un hackeur puisse ou non récupérer les mots de passe présent dans Chrome sachant que ces derniers sont encryptés avant d’être stockés dans le système.

 

 

Lors de nos recherches, il a fallu réfléchir à l’heure, car là où nous sommes nous avons 6h de moins qu’en France, et GBen a laissé l’heure française sur son PC.

15h56 heure locale = 21h56 heure FR

 

On fait le lien avec le mail de PayPal confirmant le virement à 15h59.

 

15h59 heure locale = 21h59 heure FR

 

On en conclut que l’attaquant n’a peut-être pas les compétences pour récupérer les mots de passe mais a simplement utilisé le navigateur et laissé faire le remplissage automatique. Nous avons recensé tous les identifiants et mots de passe présents dans la base de données de Chrome afin que GBen liste toutes ses actions de modification de mots de passe a effectuer (car il en restait par rapport à ses premières actions).

 

Traqueur d’activité

J’ai recours à un logiciel libre dont parle le blog du hackeur que vous retrouverez ici.

 

Présentation lastactivtyview

1. Jour de l’agression

J’ai observé l’activité lors de son absence et je n’ai trouvé que :

==================================================
Action Time : 23/10/2018 22:09:53 ---> Heure locale = 16h09
Description : Task Run
Filename : dimsjob.dll
Full Path : C:\Windows\system32\dimsjob.dll
More Information : SystemTask, \Microsoft\Windows\CertificateServicesClient\SystemTask
File Extension : dll
==================================================

==================================================
Action Time : 23/10/2018 17:37:53  ---> Heure locale = 11h37
Description : Run .EXE file
Filename : makecab.exe
Full Path : C:\Windows\SysWOW64\makecab.exe
More Information : Microsoft Corporation, Microsoft® Windows® Operating System, Microsoft® Cabinet Maker, 6.1.7600.16385 (win7_rtm.090713-1255)
File Extension : exe
==================================================

Après quelques recherches, il s’avère que makecab.exe est un fichier souvent facilement infecté, par contre, le “dimsjob.dll” aura un comportement particulier et attise ma curiosité (si jamais quelqu’un veut que je lui envoie afin qu’il puisse le décompressé et l’analyser, j’en serais ravi).

 

2. Jour de l’installation du RAT

Ce dernier me permet de pouvoir remonter à la première infection du RAT le 12 octobre 2018.

==================================================
Action Time : 12/10/2018 16:17:55
Description : System Shutdown
Filename :
Full Path :
More Information :
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:17:54
Description : User Logoff
Filename :
Full Path :
More Information : Gben-PC\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:05:12
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, d597027d-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:05:09
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, d3e2e37a-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:53
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, ca3f3fa9-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:48
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, c733f00f-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 15:46:20
Description : Software Installation
Filename : FlashUtil32_31_0_0_122_pepper.exe
Full Path : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_31_0_0_122_pepper.exe
More Information : Adobe Flash Player 31 PPAPI
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:43:47
Description : Task Run
Filename : sc.exe
Full Path : C:\Windows\system32\sc.exe
More Information : SvcRestartTask, \OfficeSoftwareProtectionPlatform\SvcRestartTask
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:36:00
Description : User Logon
Filename :
Full Path :
More Information : WORKGROUP\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 15:35:42
Description : System Started
Filename :
Full Path :
More Information :
File Extension :
==================================================

Deux programmes ont été exécuté :

– sc.exe
– Une mise à jour d’Adobe

N’oublions pas que le trojan est dissimulé dans un logiciel bénin.

 

 

Enquête

 

TcpView

Afin d’être certains de cette connexion, nous avons mis en place un analyseur de connexions qui nous permit donc d’analyser les portes ouvertes dans notre connexions Internet.

 

Grâce au site Web whois, nous avons récupéré les informations nécessaires à l’identification du lien TCP qui appartient à la société Panda, mais on peut observer une adresse qui envoie un SYN_SENT afin d’avertir une adresse distante, voici les informations révélées par whois :

 

inetnum: 176.162.192.0 – 176.175.255.255
netname: BOUYGTEL
descr: Bouygues Telecom Division Mobile
descr: Pool for APN 2G/3G/4G End users
country: FR
admin-c: NOCB2-RIPE
tech-c: NOCB2-RIPE
status: ASSIGNED PA
mnt-by: BYTEL-MNT
mnt-lower: BYTEL-MNT
created: 2017-03-13T08:32:18Z
last-modified: 2017-03-13T08:32:18Z
source: RIPE

Nous pensons avoir trouvé le coupable car les adresses destinataires des virements PayPal étaient à connotations françaises.

 

 

Dépannage

Voilà, il est quasiment minuit et nous avons fait un bon bout de chemin ce soir. Cependant nous n’avons pas assez d’éléments (et sûrement pas assez de compétences dans le domaine) pour aller plus loin.

Nous attaquons la réparation du laptop de GBen :

extraction et nettoyage des données sensibles et personnelles de Gben (analyse avec Avast et spybot)
formatage de la bête
installation d’un ubuntu, (ça lui suffira, et ce sera plus sûr qu’un logiciel XP non officiel)

 

 

 

CONCLUSION

 

GBen et moi-même ne sommes pas des experts en cyber-attaques et pourtant cette histoire va nous servir. Faites attention à votre “vie numerique”, car notre environnement (personnel et professionnel) est de plus en plus dépendant du cyberespace (Internet).

 

Nous avons créé un moyen mémo technique, il faut “mettre du SAVON :

-> Source : Toujours vérifier les liens, les adresses de sites Web, n’insérer jamais de clef usb dont vous ne connaissez pas la source (clef trouvé par exemple)

-> Analyse : Je conseille d’effectuer une analyse mensuelle à l’aide d’un anti-virus, un anti-malware et un anty-spyware

-> Vpn : Protection de votre identité et surtout lorsque vous utilisez une connexion WiFi gratuite (je vais rédiger un article sur ce risque)

-> Officiel : N’utilisez que des programmes officiels et mettez les à jour régulièrement

-> Naïf : L’utilisateur l’es toujours !!! L’erreur humaine est souvent la cause première d’une infection. Prenez conscience et intéressez vous au monde numérique et surtout aux risques qui y sont liés !!!

 

Merci à GBen d’avoir accordé au site le droit de raconter son histoire et merci au blog du hackeur qui est devenu pour moi un site de référence.

 

En espérant que cette mésaventure puisse vous servir à ne pas vivre pareil !

N’hésitez pas à me la faire savoir !!

FingerInTheNet

Eric JOUFFRILLON

QOS – Classification et marquage

Posted on by Eric JOUFFRILLON

 

INTRODUCTION

Allons droit au but !

 

 

Type de flux et exigences

  •  Données (HTTP, FTP)

Ses exigences sont uniques par application (supportent souvent le délai et la perte). Afin de mettre en œuvre une QOS de qualité, il faut bien analyser les applications.

 

  •  Voix (VoIP)

Afin d’avoir une bonne qualité d’appel audio :

Delay = 150 ms max.
Jitter = 30 ms max.
Loss = 1% max.
Bandwidth = associé au codec utilisé, la signalisation est estimé à 150 b/s

Attention la voix s’accompagne de la signalisation donc il va falloir gérer les deux flux.

 

  • Vidéo (Skype, Facetime, Streaming)

Afin d’avoir une bonne qualité d’appel vidéo :

Delay = 150 ms max.
Jitter = 30-50 ms
Loss = 0.1 – 1%
Bandwidth = irrégulière donc prévoir 20% supplémentaire à celle de base

 

Ok on a les critères… C’est cool !

Mais comment connaître les protocoles qui circulent sur mon réseau ?

 

 

Analyser sa situation – NBAR – PDLM

Ce n’est pas forcément facile d’analyser une situation déjà en place mais pour ça il existe la fonctionnalité Network Based Application Recognition NBAR.

-> Dépendant du CEF (a vérifier en début de sh run)
-> S’applique sur une interface
-> Fourni les statistiques de 128 protocoles (les plus utilisés) du trafic entrant et sortant (paquets, octets, bande passante moyenne sur 5 min.)

 

Syntaxe :

Mise en place de la fonctionnalité

R1(config-if)# ip nbar protocol-discovery                

Visualisation des statistiques

R1# show ip nbar protocol-discovery interface interface

 

Tips:

Laisser le temps à votre fonctionnalité de récolter la quantité d’information nécessaire à son exploitation (bénéfique à une meilleure QOS).

Il se peut que votre trafic ne soit pas recensé par ces 128 protocoles (vision dans la case unknow lors de la commande de visualisation de la récolte par NBAR). La nature du fichier recensent les protocoles est Packet Description Language Module (PDLM). Il est possible de le mettre à jour (fichier à télécharger surwww.cisco.com).

R1# show ip nbar version 

R1# show ip nbar pdlm

 

Tips:

Seul un fichier PDLM de version supérieur à celui en place pourra le remplacer.

 

Maintenant que je sais quel vont être mes critères…

 

 

Classifier

class-map

Comme son nom l’indique nous allons classifier nos groupes dans des « class-map » que l’on peut comparer à des dossiers.

Les class-map sont les éléments moteurs de la QOS, nous allons en créer pour colorer nos flux, gérer la congestion ou encore prévenir celle-ci. Ces class-map seront remplies d’une ou plusieurs conditions (un peu comme une boucle de programme).

Nous pouvons dès le début de la commande indiquer si nous voulons que toutes les conditions soient réunies ou si une seule d’entre elles suffira.

Toutes les conditions présentes doivent être respectées:

Router(config)# class-map match-all name  

Une des conditions présentes doit être respectée:

Router(config)# class-map match-any  name

 

En l’absence de match-all ou match-any l’équipement implémente automatiquement un match-all.

Création de la class-map C_fingerinthenet:

Router(config)# class-map C_fingerinthenet 

Mise en place d'un critère via la commande match:

Router(config-cmap)# match

 

Une fois le dossier créé (config-cmap)#, voyons les différents critères possibles :

  • Access-group suit les conditions d’une access list ;
  • Protocol  match directement les paquets transportant le protocole sélectionné ;
  • Input-interface : tous les paquets provenant de cette interface ;
  • Destination-MAC-address : tous les paquets ayant cette adresse en destination MAC ;
  • Source MAC adress : tous les paquets ayant cette adresse en destination MAC ;
  • Any : tous les paquets ;
  • Class-map : vous pouvez imbriquer les class-map (attention au manque de lisibilité de la configuration) ;
  • Différentes coloration : cos, ip dscp, ip précédence… (détaillé dans la section « marquer »).

Nous pouvons classifier les flux très précisément en impliquant plusieurs commandes match dans une class-map (une ACL et un autre match par exemple). Si vous ne vous souvenez plus trop des possibilités des ACL je vous invite à aller lire l’article Access-list.

 

Exemple de classification des flux http et https en provenance de notre serveur mac adresse F I N T :

Nous sommes obligés de créer une ACL pour le protocol HTTPS (ne fait pas parti des possibilités de la commande match protocol) :

Création de l'ACL HTTPS:

Router(config)# ip access-list extended HTTPS
Router(config-ext-nacl)# permit tcp host any any eq 443 
Autorise les paquets de n'importe quelle source IP
vers n'importe quelle destination IP utilisant le port 443

 

Première version avec deux class-map séparées:

Création de la class-map C_Serveur_HTTPS (match-all par défaut):

Router(config)# class-map C_Serveur_HTTPS  
Router(config-cmap)# match access-group name HTTPS
Router(config-cmap)# match source-MAC-adress F :I :N :T   
                     
utilisant le port 443 ET qui ont F:I:N:T comme adresse MAC source 

Création de la class-map C_Serveur_HTTP:
Router(config)# class-map C_Serveur_HTTP
Router(config-cmap)# match protocol http
Router(config-cmap)# match source-MAC-adress F :I :N :T
utilisant le protocol HTTP (port 80) ET qui ont F:I:N:T comme adresse MAC source

 

Deuxième version, pas la plus simple, mais montrant la possibilité d’imbrication :

Création de la class-map C_Prot_Serv:

Router(config)# class-map match-any C_Prot_Serv
Router(config-cmap)# match access-group name HTTPS
Router(config-cmap)# match protocol http

utilisant le port 443 OU utilisant le protocole HTTP (port 80)

Création de la class-map C_Serveur:

Router(config)# class-map C_Serveur 
Router(config-cmap)# match source-MAC-adress F :I :N :T 
Router(config-cmap)# match class-map C_Prot_Serv  
ont F:I:N:T comme adresse MAC source
ET qui remplissent les conditions de la C_Prot_Serv

 

Quelques règles sur le class-map avant de continuer :

-> Par défaut l’équipement applique un match-all
-> 256 class-map par équipement maximum
-> maximum 40 caractères pour le nom de class-map

 

 

Marquer

 

Notre volonté est de peindre les voitures provenant de notre serveur FINT et utilisant les protocoles HTTP et HTTPS. Nous avons appris à trier les voitures (classification), maintenant il faut choisir la bonne couleur.

Il faut créer une stratégie appelée « policy-map » dans laquelle on va :

affecter les class-map (identifie les bonnes voitures) ;
utiliser la commande set afin de choisir la peinture à appliquer.

Nous n’allons qu’aborder les policy-map, dans le but du marquage. Nous en reparlerons dans la « gestion de la congestion ».

 

Création de la stratégie fingerinthenet:

Router(config)# policy-map fingerthenet                   
Router(config-pmap)# class C_Serveur                 
Router(config-pmap-c)#
Implication de la class-map C_Serveur dans la stratégie

La stratégie est créée, nous avons sélectionné les voitures (class-map),

maintenant il va falloir choisir la couleur pour ces voitures.

 

 

Set

Modification des en-têtes de paquet

 

Qu’est-ce que la couleur ? C’est un changement d’état des bits de champs spécifiques faisant partie de l’en-tête de la couche 2 ou de la couche 3.

Le marquage peut être effectué dans différentes en-têtes de la couche 2 :

cos : dans la trame 802.1Q sur 3 bits ;
exp : dans la trame MPLS sur 3 bits ;
de : dans la trame Frame Relay sur 1 bit ;
clp : marquage dans la trame ATM sur 1 bit.

Ces marqueurs seront préservés dans leur propre réseau uniquement (à moins de mettre en place une « class-map » qui match leur coloration -critères des class-map un peu plus haut- !!!!

en-tête IP et position du champ contenant le marquage

 

Nous allons nous attarder sur le marquage de la couche 3 :

Ip précedence : les 3 bits de poids fort du champ Type Of Service (ToS) ;
DSCP (Differentiated Service Code Point) : les 6 bits de poids fort du champ ToS.

Bilan de la coloration couche 3

 

A vous d’organiser votre marquage, mais j’ai quelques conseils :

CS7 & CS6 : application sur les échanges des protocoles de routage ;
Express Forwarding EF: application sur les flux de VOIP ;
cohérence : vis à vis de la totalité de votre réseau.

On sait de quoi est composée la couleur, nous nous étions arrêtés dans la stratégie après avoir impliqué la class-map.

Exemple de modification du champ dscp: : 

Router(config)# policy-map fingerthenet
Router(config-pmap)# class C_Serveur                      
Router (config-pmap-c)# set ip dscp cs4 (ou 32)

 

 

Application de la stratégie

On a choisi les voitures, la couleur et préparer nos ateliers de peintures. Nous devons mettre en place cette coloration au plus près des services, soit l’interface directement connectée à mon serveur.

Router(config)# interface fastEthernet 0/1
Router(config-if)# service-policy input fingerinthenet

 

On remarquera le input, cela signifie que tous les paquets entrant par cette interface seront examinés par la stratégie.

A partir de ce moment, les paquets traversant cette stratégie sont considérés comme des BEHAVIOR AGREGATE “BA”.

 

Afin de le vérifier :

Router# sh policy-map

 

policy-map
Mise en place d’une stratégie en input

 

Comme on peut le remarquer sur l’image, il va falloir installer des marquages à chaque entrée et au plus près de nos services.

 

 

 

BILAN

 

 

L’étape de classification et marquage est terminée mais ça ne change rien à la congestion existante… Ce n’était que la première étape ! Maintenant on peut :

  • Gérer la congestion ;
  • Faire de la prévention de congestion.

 

En espérant que vous avez apprécié cet article !

N’hésitez pas à me la faire savoir !!

 

FingerInTheNet