Як блакаваць падазроныя сеткавыя падключэнні з дапамогай CMD

¿Як блакаваць падазроныя сеткавыя падключэнні з CMD? Калі камп'ютар пачынае працаваць павольна або вы бачыце незвычайную сеткавую актыўнасць, адкрыццё каманднага радка і выкарыстанне каманд часта з'яўляецца самым хуткім спосабам аднавіць кантроль. З дапамогай усяго некалькіх каманд вы можаце выяўляць і блакіраваць падазроныя злучэнніПравярайце адкрытыя парты і ўзмацняйце бяспеку без усталёўкі дадатковых сродкаў.

У гэтым артыкуле вы знойдзеце поўнае практычнае кіраўніцтва, заснаванае на выкарыстанні ўбудаваных інструментаў (CMD, PowerShell і такіх утыліт, як netstat і netsh). Вы даведаецеся, як вызначыць дзіўныя сесііЯкія паказчыкі кантраляваць, як блакаваць пэўныя сеткі Wi-Fi і як ствараць правілы ў брандмаўэры Windows або нават FortiGate — усё гэта тлумачыцца зразумелай і простай мовай.

Netstat: што гэта такое, для чаго ён патрэбны і чаму ён застаецца ключавым

Назва netstat паходзіць ад слоў «сетка» і «статыстыка», і яе функцыя заключаецца менавіта ў тым, каб прапанаваць статыстыка і статусы падключэнняў у рэжыме рэальнага часу. Ён інтэграваны ў Windows і Linux з 90-х гадоў, і вы таксама можаце знайсці яго ў іншых сістэмах, такіх як macOS або BeOS, хоць і без графічнага інтэрфейсу.

Запуск у кансолі дазволіць вам убачыць актыўныя злучэнні, парты, якія выкарыстоўваюцца, лакальныя і аддаленыя адрасы і ў цэлым атрымаць выразнае ўяўленне пра тое, што адбываецца ў вашым стэку TCP/IP. імгненнае сканаванне сеткі Гэта дапамагае вам наладзіць, дыягнаставаць і павысіць узровень бяспекі вашага кампутара або сервера.

Маніторынг падключаных прылад, адкрытых партоў і налад вашага маршрутызатара мае вырашальнае значэнне. З дапамогай netstat вы таксама атрымліваеце табліцы маршрутызацыі і статыстыка па пратаколе якія дапамогуць вам, калі нешта не так: празмерны трафік, памылкі, заторы або несанкцыянаваныя падключэнні.

Карысная парада: перад тым, як праводзіць сур'ёзны аналіз з дапамогай netstat, зачыніце ўсе непатрэбныя праграмы і нават Перазапусціце, калі магчымаТакім чынам, вы пазбегнеце шуму і дасягнеце дакладнасці ў тым, што сапраўды важна.

Уплыў на прадукцыйнасць і найлепшыя практыкі выкарыстання

Сам па сабе запуск netstat не пашкодзіць ваш кампутар, але яго празмернае выкарыстанне або выкарыстанне занадта вялікай колькасці параметраў адначасова можа спажываць рэсурсы працэсара і памяці. Калі вы запускаеце яго бесперапынна або фільтруеце мора дадзеных, нагрузка на сістэму павялічваецца і прадукцыйнасць можа пацярпець.

Каб мінімізаваць яго ўплыў, абмяжуйце яго пэўнымі сітуацыямі і дакладна наладзьце параметры. Калі вам патрэбен бесперапынны паток, ацаніце больш спецыялізаваныя інструменты маніторынгу. І памятайце: Менш — гэта больш калі мэтай з'яўляецца даследаванне канкрэтнага сімптому.

• Абмяжуйце выкарыстанне толькі тымі выпадкамі, калі вам гэта сапраўды трэба прагляд актыўных падключэнняў або статыстыка.
• Дакладна адфільтраваць, каб паказаць толькі неабходная інфармацыя.
• Пазбягайце планавання выкананняў праз вельмі кароткія прамежкі часу, якія насычаць рэсурсы.
• Разгледзьце магчымасць выкарыстання спецыялізаваных камунальных паслуг, калі вы шукаеце маніторынг у рэжыме рэальнага часу больш прасунутыя.

Перавагі і абмежаванні выкарыстання netstat

Netstat застаецца папулярным сярод адміністратараў і тэхнікаў, таму што ён забяспечвае Імгненная бачнасць злучэнняў і парты, якія выкарыстоўваюцца праграмамі. За лічаныя секунды вы можаце вызначыць, хто з кім размаўляе і праз якія парты.

Гэта таксама палягчае маніторынг і ліквідацыя непаладакЗаторы, вузкія месцы, пастаянныя злучэнні… усё гэта выяўляецца, калі паглядзець на адпаведныя статусы і статыстыку.

• Хуткае выяўленне несанкцыянаваных падключэнняў або магчымых узломаў.
• Адсочванне сесій паміж кліентамі і серверамі для выяўлення збояў або затрымак.
• Ацэнка прадукцыйнасці пратаколам, каб прыярытэтызаваць паляпшэнні там, дзе яны маюць найбольшы ўплыў.

А што ў яго не атрымліваецца так добра? Ён не дае ніякіх дадзеных (гэта не яго мэта), яго вынік можа быць складаным для нетэхнічных карыстальнікаў, і ў вельмі вялікія асяроддзі, якія нельга маштабаваць як спецыялізаваная сістэма (напрыклад, SNMP). Больш за тое, яе выкарыстанне скарачаецца на карысць PowerShell і больш сучасныя ўтыліты з больш выразнымі вынікамі.

Як выкарыстоўваць netstat з CMD і чытаць яго вынікі

Адкрыйце CMD ад імя адміністратара (Пуск, увядзіце «cmd», пстрыкніце правай кнопкай мышы, Запусціць ад імя адміністратара) або выкарыстайце Тэрмінал у Windows 11. Затым увядзіце netstat і націсніце Enter, каб атрымаць фотаздымак моманту.

Вы ўбачыце слупкі з пратаколам (TCP/UDP), лакальныя і аддаленыя адрасы з іх партамі, а таксама поле стану (LISTENING, ESTABLISHED, TIME_WAIT і г.д.). Калі вам патрэбныя лічбы замест назваў партоў, запусціце netstat -n для больш непасрэднага чытання.

Перыядычныя абнаўленні? Вы можаце задаць яму абнаўленне кожныя X секунд з інтэрвалам: напрыклад netstat -n 7 Ён будзе абнаўляць вынік кожныя 7 секунд, каб назіраць за зменамі ў рэжыме рэальнага часу.

Калі вас цікавяць толькі ўсталяваныя злучэнні, адфільтруйце вынік з дапамогай findstr: netstat | findstr ЗАСНАВАНАЗмяніце на LISTENING, CLOSE_WAIT або TIME_WAIT, калі вы аддаеце перавагу выяўляць іншыя станы.

Карысныя параметры netstat для даследавання

Гэтыя мадыфікатары дазваляюць вам паменшыць шум і засяродзьцеся на тым, што вы шукаеце:

• -a: паказвае актыўныя і неактыўныя злучэнні і парты праслухоўвання.
• -eстатыстыка пакетаў інтэрфейсу (уваходных/выходных).
• -f: вырашае і адлюстроўвае аддаленыя FQDN (поўныя даменныя імёны).
• -n: адлюстроўвае нявырашаныя нумары партоў і IP-адрасоў (хутчэй).
• -o: дадае PID працэсу, які падтрымлівае злучэнне.
• -p X: фільтры па пратаколе (TCP, UDP, tcpv6, tcpv4...).
• -q: парты праслухоўвання і непраслухоўвання, звязаныя з запытамі.
• -sСтатыстыка, згрупаваная па пратаколах (TCP, UDP, ICMP, IPv4/IPv6).
• -r: бягучая табліца маршрутызацыі сістэмы.
• -t: інфармацыя пра падключэнні ў стане загрузкі.
• -xПадрабязнасці падключэння NetworkDirect.

Практычныя прыклады для паўсядзённага жыцця

Каб атрымаць спіс адкрытых партоў і злучэнняў з іх PID, запусціце netstat -anoЗ дапамогай гэтага PID вы можаце перакрыжавана спасылацца на працэс у дыспетчары задач або з дапамогай такіх інструментаў, як TCPView.

Калі вас цікавяць толькі падключэнні IPv4, фільтруйце па пратаколе з дапамогай netstat -p IP-адрас і вы пазбавіцеся шуму па дарозе.

Глабальная статыстыка па пратаколах паходзіць з netstat -sУ той час як, калі вам патрэбна актыўнасць інтэрфейсаў (адпраўленая/атрыманая), гэта будзе працаваць netstat -e каб мець дакладныя лічбы.

Каб знайсці праблему з выдаленым дазволам імёнаў, аб'яднайце netstat -f з фільтрацыяй: напрыклад, netstat -f | знайсці_мой_дамен Ён верне толькі тое, што адпавядае гэтаму дамену.

Калі Wi-Fi павольны, а netstat поўны дзіўных злучэнняў

Класічны выпадак: павольны прагляд вэб-старонак, тэст хуткасці, які запускаецца некаторы час, але выдае нармальныя лічбы, а пры запуску netstat з'яўляецца наступнае: дзясяткі сувязей усталяваныЧаста вінаватым з'яўляецца браўзер (напрыклад, Firefox з-за яго спосабу апрацоўкі некалькіх сокетаў), і нават калі вы зачыняеце вокны, фонавыя працэсы могуць працягваць падтрымліваць сесіі.

Што рабіць? Па-першае, вызначце сябе з netstat -ano Звярніце ўвагу на PID-ідэнтыфікатары. Затым праверце ў дыспетчары задач або з дапамогай Process Explorer/TCPView, якія працэсы стаяць за ім. Калі падключэнне і працэс здаюцца падазронымі, паспрабуйце заблакіраваць IP-адрас з дапамогай брандмаўэра Windows. запусціць антывірусную праверку І, калі рызыка здаецца вам высокай, часова адключыце абсталяванне ад сеткі, пакуль гэта не высветліцца.

Калі пасля пераўсталёўкі браўзера паток сесій не знікае, праверце пашырэнні, часова адключыце сінхранізацыю і паглядзіце, ці не павольныя іншыя кліенты (напрыклад, ваша мабільная прылада): гэта сведчыць пра праблему. праблема з сеткай/правайдэрам а не лакальнае праграмнае забеспячэнне.

Памятайце, што netstat не з'яўляецца маніторам рэальнага часу, але вы можаце імітаваць яго з дапамогай netstat -n 5 абнаўляць кожныя 5 секунд. Калі вам патрэбна бесперапынная і больш зручная панэль, зірніце на TCPView або больш спецыялізаваныя альтэрнатывы маніторынгу.

Блакіраваць пэўныя сеткі Wi-Fi з дапамогай CMD

Калі паблізу ёсць сеткі, якія вы не хочаце бачыць або якія ваша прылада не павінна выкарыстоўваць, вы можаце фільтраваць іх з кансоліКаманда дазваляе вам блакаваць пэўны SSID і кіраваць ім, не дакранаючыся графічнай панэлі.

Адкрыйце CMD ад імя адміністратара і выкарыстоўвае:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Пасля запуску гэтая сетка знікне са спісу даступных сетак. Каб праверыць, што вы заблакавалі, запусціце дазвол на паказ фільтраў netsh wlan = блокА калі пашкадуеце, выдаліце ​​яго з дапамогай:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Блакуйце падазроныя IP-адрасы з дапамогай брандмаўэра Windows

Калі вы выявіце, што той самы публічны IP-адрас спрабуе здзейсніць падазроныя дзеянні супраць вашых сэрвісаў, хуткі адказ такі: стварыць правіла, якое блакуе Гэтыя падключэнні. У графічнай кансолі дадайце карыстальніцкае правіла, ужыйце яго да «Усіх праграм», пратакола «Любы», укажыце аддаленыя IP-адрасы для блакавання, пастаўце галачку «Блакіраваць падключэнне» і ўжыйце да даменных/прыватных/публічных.

Вы аддаеце перавагу аўтаматызацыі? З дапамогай PowerShell вы можаце ствараць, змяняць або выдаляць правілы без націскання. Напрыклад, каб заблакаваць выходны трафік Telnet, а затым абмежаваць дазволены аддалены IP-адрас, вы можаце выкарыстоўваць правілы з New-NetFirewallRule а затым адрэгуляваць з дапамогай Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Каб кіраваць правіламі па групах або выдаляць правілы блакіроўкі масава, выкарыстоўвайце Уключыць/адключыць/выдаліць правіла NetFirewallRule і ў запытах з падстаноўнымі знакамі або фільтрамі па ўласцівасцях.

Найлепшыя практыкі: не адключайце службу брандмаўэра

Microsoft раіць не спыняць службу брандмаўэра (MpsSvc). Гэта можа прывесці да праблем з меню «Пуск», праблем з усталёўкай сучасных праграм або іншых праблем. памылкі актывацыі Па тэлефоне. Калі, з пункту гледжання палітыкі, вам трэба адключыць профілі, зрабіце гэта на ўзроўні канфігурацыі брандмаўэра або аб'екта групавой палітыкі, але пакіньце службу запушчанай.

Профілі (дамен/прыватны/публічны) і дзеянні па змаўчанні (дазволіць/блакіраваць) можна задаць з каманднага радка або кансолі брандмаўэра. Добра вызначаныя значэнні па змаўчанні прадухіляюць міжвольныя адтуліны пры стварэнні новых правілаў.

FortiGate: Блакуйце спробы падключэння SSL VPN з падазроных публічных IP-адрасоў

Калі вы карыстаецеся FortiGate і бачыце няўдалыя спробы ўваходу ў ваш SSL VPN з незнаёмых IP-адрасоў, стварыце пул адрасоў (напрыклад, чорны спіс) і дадайце туды ўсе канфліктуючыя IP-адрасы.

У кансолі ўвядзіце налады SSL VPN з дапамогай налада VPN SSL і ўжываецца: усталяваць зыходны адрас «blacklistipp» y уключыць адмаўленне арыгінальнага адрасаЗ паказаць Вы пацвярджаеце, што яно было ўжыта. Такім чынам, калі хтосьці будзе падключацца з гэтых IP-адрасоў, злучэнне будзе адхілена з самага пачатку.

Каб праверыць трафік, які трапляе на гэты IP-адрас і порт, вы можаце выкарыстоўваць дыягнаставаць любы сніфер-пакет «хост XXXX і порт 10443» 4і з атрымаць VPN-манітор SSL Вы правяраеце дазволеныя сесіі з IP-адрасоў, якія не ўключаны ў спіс.

Іншы спосаб - гэта SSL_VPN > Абмежаваць доступ > Абмежаваць доступ пэўнымі хостаміАднак у гэтым выпадку адмова адбываецца пасля ўводу ўліковых дадзеных, а не адразу, як праз кансоль.

Альтэрнатывы netstat для прагляду і аналізу трафіку

Калі вы шукаеце большага камфорту або дэталізацыі, ёсць інструменты, якія забяспечваюць гэта. графіка, пашыраныя фільтры і глыбокі захоп пакетаў:

• Wireshark: збор і аналіз трафіку на ўсіх узроўнях.
• iproute2 (Linux): утыліты для кіравання TCP/UDP і IPv4/IPv6.
• GlassWireАналіз сеткі з кіраваннем брандмаўэрам і акцэнтам на прыватнасць.
• Манітор часу працы ўзыходзячых трэндаўПастаянны маніторынг сайта і абвесткі.
• Germain UXманіторынг, сканцэнтраваны на такіх вертыкалях, як фінансы або ахова здароўя.
• АтэраПакет RMM з маніторынгам і дыстанцыйным доступам.
• Хмарная акулаВэб-аналітыка і абмен скрыншотамі.
• iptraf / iftop (Linux): Трафік у рэжыме рэальнага часу праз вельмі інтуітыўна зразумелы інтэрфейс.
• ss (статыстыка сокетаў) (Linux): сучасная, больш зразумелая альтэрнатыва netstat.

Блакіроўка IP-адрасоў і яе ўплыў на SEO, а таксама стратэгіі па змякчэнні наступстваў

Блакіроўка агрэсіўных IP-адрасоў мае сэнс, але будзьце асцярожныя блакіраваць ботаў пошукавых сістэмТаму што вы можаце страціць індэксацыю. Блакіроўка па краінах таксама можа выключыць законных карыстальнікаў (або VPN) і знізіць вашу бачнасць у пэўных рэгіёнах.

Дадатковыя меры: дадаць CAPTCHA Каб спыніць ботаў, ужывайце абмежаванне хуткасці для прадухілення злоўжыванняў і размясціце CDN для змякчэння DDoS-атак шляхам размеркавання нагрузкі паміж размеркаванымі вузламі.

Калі ваш хостынг выкарыстоўвае Apache і на серверы ўключана геаблакіроўка, вы можаце перанакіраваць наведванні з пэўнай краіны з выкарыстаннем .htaccess з правілам перазапісу (агульны прыклад):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Каб заблакаваць IP-адрасы на хостынгу (Plesk), вы таксама можаце адрэдагаваць .htaccess і забараняць пэўныя адрасы, заўсёды з папярэдняй рэзервовай копіяй файла на выпадак, калі вам спатрэбіцца адмяніць змены.

Падрабязнае кіраванне брандмаўэрам Windows з дапамогай PowerShell і netsh

Акрамя стварэння асобных правілаў, PowerShell дае вам поўны кантроль: вызначыць профілі па змаўчанні, ствараць/змяняць/выдаляць правілы і нават працаваць з аб'ектамі груповай палітыкі Active Directory з кэшаванымі сесіямі, каб паменшыць нагрузку на кантролеры дамена.

Кароткія прыклады: стварэнне правіла, змяненне яго аддаленага адраса, уключэнне/адключэнне цэлых груп і выдаліць правілы блакавання адным махам. Аб'ектна-арыентаваная мадэль дазваляе запытваць фільтры для партоў, праграм або адрасоў і аб'ядноўваць вынікі з дапамогай канвеераў.

Для кіравання дыстанцыйнымі камандамі спадзявайцеся на WinRM і параметры -CimSessionГэта дазваляе вам праглядаць правілы, змяняць або выдаляць запісы на іншых машынах, не выходзячы з кансолі.

Памылкі ў скрыптах? Выкарыстоўвайце -ErrorAction SilentlyContinue каб пры выдаленні не было паведамлення «правіла не знойдзена», -Што, калі для папярэдняга прагляду і -Пацвердзіць Калі вам патрэбна пацверджанне для кожнага элемента. З дапамогай -Падрабязны Вы атрымаеце больш падрабязную інфармацыю аб выкананні.

IPsec: аўтэнтыфікацыя, шыфраванне і ізаляцыя на аснове палітык

Калі вам патрэбен толькі аўтэнтыфікаваны або зашыфраваны трафік, вы аб'ядноўваеце Правілы брандмаўэра і IPsecСтварыце правілы транспартнага рэжыму, вызначце крыптаграфічныя наборы і метады аўтэнтыфікацыі і звяжыце іх з адпаведнымі правіламі.

Калі вашаму партнёру патрабуецца IKEv2, вы можаце ўказаць яго ў правіле IPsec з аўтэнтыфікацыяй па сертыфікаце прылады. Гэта таксама магчыма. правілы капіявання з аднаго аб'екта групавой палітыкі ў іншы і звязаныя з імі наборы для паскарэння разгортвання.

Каб ізаляваць удзельнікаў дамена, ужывайце правілы, якія патрабуюць аўтэнтыфікацыі для ўваходнага трафіку і патрабуюць яе для выходнага трафіку. Вы таксама можаце патрабуецца членства ў групах з ланцужкамі SDDL, абмяжоўваючы доступ аўтарызаванымі карыстальнікамі/прыладамі.

Незашыфраваныя праграмы (напрыклад, telnet) могуць быць вымушаныя выкарыстоўваць IPsec, калі вы створыце правіла брандмаўэра «дазволіць, калі бяспечна» і палітыку IPsec, якая Патрабаваць аўтэнтыфікацыю і шыфраваннеТакім чынам, нічога не перамяшчаецца выразна.

Аўтэнтыфікаваны абыход і бяспека канчатковых кропак

Аўтэнтыфікаваны абыход дазваляе трафіку ад давераных карыстальнікаў або прылад ігнараваць правілы блакіроўкі. Карысна для серверы абнаўлення і сканавання не адкрываючы партоў для ўсяго свету.

Калі вам патрэбна комплексная бяспека для многіх праграм, замест таго, каб ствараць правіла для кожнай з іх, перамясціце аўтарызацыя на ўзроўні IPsec са спісамі груп машын/карыстальнікаў, дазволеных у глабальнай канфігурацыі.

Авалоданне netstat для адсочвання падключаных карыстальнікаў, выкарыстанне netsh і PowerShell для забеспячэння выканання правілаў, а таксама маштабаванне з дапамогай IPsec або перыметральных брандмаўэраў, такіх як FortiGate, дае вам кантроль над вашай сеткай. З дапамогай фільтраў Wi-Fi на аснове CMD, добра распрацаванай блакіроўкі IP-адрасоў, мер засцярогі SEO і альтэрнатыўных інструментаў, калі вам патрэбен больш падрабязны аналіз, вы зможаце... своечасова выяўляць падазроныя злучэнні і блакаваць іх, не перашкаджаючы вашай дзейнасці.