Как да блокирате подозрителни мрежови връзки от CMD

¿Как да блокирам подозрителни мрежови връзки от CMD? Когато компютърът започне да работи бавно или забележите необичайна мрежова активност, отварянето на командния ред и използването на команди често е най-бързият начин да си възвърнете контрола. Само с няколко команди можете откриване и блокиране на подозрителни връзкиОдитирайте отворените портове и засилете сигурността си, без да инсталирате нищо допълнително.

В тази статия ще намерите пълно, практично ръководство, базирано на вградени инструменти (CMD, PowerShell и помощни програми като netstat и netsh). Ще видите как идентифициране на странни сесииКакви показатели да се следят, как да се блокират конкретни Wi-Fi мрежи и как да се създават правила в защитната стена на Windows или дори във FortiGate, всичко това е обяснено на ясен и разбираем език.

Netstat: какво е, за какво е и защо остава ключов

Името netstat произлиза от „мрежа“ и „статистика“ и неговата функция е именно да предлага статистика и състояния на връзките в реално време. Той е интегриран в Windows и Linux от 90-те години на миналия век и можете да го намерите и в други системи като macOS или BeOS, макар и без графичен интерфейс.

Стартирането му в конзолата ще ви позволи да видите активни връзки, използвани портове, локални и отдалечени адреси и като цяло ясен преглед на случващото се във вашия TCP/IP стек. Това е важно. незабавно сканиране на мрежата Той ви помага да конфигурирате, диагностицирате и повишите нивото на сигурност на вашия компютър или сървър.

Мониторингът на това кои устройства се свързват, кои портове са отворени и как е конфигуриран вашият рутер е жизненоважен. С netstat получавате също така таблици за маршрутизиране и статистика по протокол които ви насочват, когато нещо не е наред: прекомерен трафик, грешки, задръствания или неоторизирани връзки.

Полезен съвет: Преди да извършите сериозен анализ с netstat, затворете всички приложения, които не са ви необходими, и дори Рестартирайте, ако е възможноПо този начин ще избегнете шума и ще постигнете прецизност в това, което наистина има значение.

Въздействие върху производителността и най-добри практики за употреба

Самото стартиране на netstat няма да повреди компютъра ви, но прекомерното му използване или използването му с твърде много параметри едновременно може да изразходва процесора и паметта. Ако го стартирате непрекъснато или филтрирате море от данни, натоварването на системата се увеличава и производителността може да пострада.

За да сведете до минимум въздействието му, ограничете го до специфични ситуации и прецизно настройте параметрите. Ако се нуждаете от непрекъснат поток, оценете по-специфични инструменти за мониторинг. И не забравяйте: по-малко е повече когато целта е да се изследва специфичен симптом.

• Ограничете употребата до времето, когато наистина имате нужда от нея преглед на активните връзки или статистика.
• Филтрирайте прецизно, за да се покаже само необходимата информация.
• Избягвайте да планирате изпълнения на много кратки интервали, които насищане на ресурси.
• Помислете за специализирани комунални услуги, ако търсите наблюдение в реално време по-напреднал.

Предимства и ограничения на използването на netstat

Netstat остава популярен сред администраторите и техниците, защото предоставя Незабавна видимост на връзките и портове, използвани от приложенията. За секунди можете да откриете кой с кого говори и през кои портове.

Освен това улеснява мониторинг и отстраняване на проблемиЗадръствания, пречки, постоянни връзки… всичко това става ясно, когато погледнете съответните състояния и статистики.

• Бързо откриване на неоторизирани връзки или евентуални прониквания.
• Проследяване на сесии между клиенти и сървъри, за да се локализират сривове или латентности.
• Оценка на изпълнението чрез протокол, за да се приоритизират подобренията там, където те имат най-голямо въздействие.

И какво не прави толкова добре? Не предоставя никакви данни (това не е целта му), резултатът му може да бъде сложен за нетехнически потребители и в много големи среди, които не са мащабируеми като специализирана система (например SNMP). Освен това употребата му намалява в полза на PowerShell и по-модерни комунални услуги с по-ясни резултати.

Как да използвате netstat от CMD и да прочетете резултатите от него

Отворете CMD като администратор (Старт, въведете „cmd“, щракнете с десния бутон, Изпълни като администратор) или използвайте Терминал в Windows 11. След това въведете NETSTAT и натиснете Enter, за да получите снимката на момента.

Ще видите колони с протокола (TCP/UDP), локални и отдалечени адреси с техните портове и поле за състояние (LISTENING, ESTABLISHED, TIME_WAIT и т.н.). Ако искате числа вместо имена на портове, изпълнете netstat -n за по-директно четене.

Периодични актуализации? Можете да му кажете да се обновява на всеки X секунди през определен интервал: например netstat -n 7 Той ще актуализира изхода на всеки 7 секунди, за да наблюдава промените в реално време.

Ако се интересувате само от установени връзки, филтрирайте изхода с findstr: netstat | findstr УСТАНОВЕНАПроменете на LISTENING, CLOSE_WAIT или TIME_WAIT, ако предпочитате да откривате други състояния.

Полезни параметри на netstat за разследване

Тези модификатори ви позволяват намаляване на шума и се съсредоточете върху това, което търсите:

• -a: показва активни и неактивни връзки и слушащи портове.
• -e: статистика за пакетите в интерфейса (входящи/изходящи).
• -f: разрешава и показва отдалечени FQDN (пълни имена на домейни).
• -n: показва неразрешени номера на портове и IP адреси (по-бързо).
• -oДобавете PID на процеса, който поддържа връзката.
• -p Xфилтрира по протокол (TCP, UDP, tcpv6, tcpv4...).
• -q: портове за слушане и без слушане, свързани със заявки.
• -sСтатистика, групирана по протокол (TCP, UDP, ICMP, IPv4/IPv6).
• -r: текуща таблица за маршрутизиране на системата.
• -t: информация за връзките в състояние на изтегляне.
• -x: Подробности за връзката с NetworkDirect.

Практически примери за ежедневието

За да изброите отворените портове и връзки с техния PID, изпълнете netstat -годинаС този PID можете да направите кръстосана препратка към процеса в диспечера на задачите или с инструменти като TCPView.

Ако се интересувате само от IPv4 връзки, филтрирайте по протокол с netstat -p IP адрес и ще си спестите шум на излизане.

Глобалната статистика по протокол идва от netstat -sДокато ако искате активността на интерфейсите (изпратени/получени), това ще работи netstat -e да има точни числа.

За да откриете проблем с отдалеченото разрешаване на имена, комбинирайте netstat -f с филтриране: например, netstat -f | findstr моят домейн Ще върне само това, което съответства на този домейн.

Когато Wi-Fi е бавен и netstat е пълен със странни връзки

Класически случай: бавно сърфиране, тест за скорост, който отнема известно време, за да започне, но дава нормални стойности, и при изпълнение на netstat се появява следното: десетки установени връзкиЧесто виновникът е браузърът (Firefox, например, поради начина му на работа с множество сокети) и дори ако затворите прозорци, фоновите процеси могат да продължат да поддържат сесии.

Какво да направите? Първо, идентифицирайте се с netstat -година Обърнете внимание на PID-овете. След това проверете в диспечера на задачите или с Process Explorer/TCPView кои процеси стоят зад него. Ако връзката и процесът изглеждат подозрителни, помислете за блокиране на IP адреса от защитната стена на Windows. стартирайте антивирусно сканиране И ако рискът ви се струва висок, временно изключете оборудването от мрежата, докато стане ясно.

Ако напливът от сесии продължава след преинсталиране на браузъра, проверете разширенията, временно деактивирайте синхронизацията и вижте дали други клиенти (като мобилното ви устройство) също са бавни: това сочи към проблема. проблем с мрежата/интернет доставчика а не локален софтуер.

Не забравяйте, че netstat не е монитор в реално време, но можете да симулирате такъв с netstat -n 5 да се обновява на всеки 5 секунди. Ако имате нужда от непрекъснат и по-удобен панел, разгледайте TCPView или по-специализирани алтернативи за мониторинг.

Блокиране на конкретни Wi-Fi мрежи от CMD

Ако има мрежи наблизо, които не искате да виждате или да се опитвате да използвате от устройството си, можете филтрирайте ги от конзолатаКомандата ви позволява блокиране на конкретен SSID и да го управлявате, без да докосвате графичния панел.

Отворете CMD като администратор и използва:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

След като го стартирате, тази мрежа ще изчезне от списъка с налични мрежи. За да проверите какво сте блокирали, стартирайте netsh wlan покажи филтри permission=blockИ ако съжалявате, изтрийте го с:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Блокирайте подозрителни IP адреси със защитната стена на Windows

Ако откриете, че същият публичен IP адрес се опитва да извърши подозрителни действия срещу вашите услуги, бързият отговор е създайте правило, което блокира Тези връзки. В графичната конзола добавете персонализирано правило, приложете го към „Всички програми“, протокол „Всеки“, посочете отдалечените IP адреси за блокиране, отметнете „Блокиране на връзката“ и го приложете към домейн/частен/публичен.

Предпочитате ли автоматизация? С PowerShell можете да създавате, променяте или изтривате правила, без да кликвате. Например, за да блокирате изходящия Telnet трафик и след това да ограничите разрешения отдалечен IP адрес, можете да използвате правила с New-NetFirewallRule и след това коригирайте с Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

За да управлявате правилата по групи или да изтривате групово правила за блокиране, разчитайте на Активиране/Деактивиране/Премахване на правилото на NetFirewall и в заявки със заместващи символи или филтри по свойства.

Най-добри практики: Не деактивирайте услугата защитна стена

Microsoft съветва да не спирате услугата Firewall (MpsSvc). Това може да причини проблеми с менюто „Старт“, проблеми с инсталирането на съвременни приложения или други проблеми. грешки при активиране По телефона. Ако, от съображения за политика, е необходимо да деактивирате профилите, направете го на ниво конфигурация на защитната стена или GPO, но оставете услугата да работи.

Профилите (домейн/частен/публичен) и действията по подразбиране (разрешаване/блокиране) могат да бъдат зададени от командния ред или конзолата на защитната стена. Поддържането на тези добре дефинирани настройки по подразбиране предотвратява неволни дупки при създаването на нови правила.

FortiGate: Блокиране на SSL VPN опити от подозрителни публични IP адреси

Ако използвате FortiGate и видите неуспешни опити за влизане във вашата SSL VPN мрежа от непознати IP адреси, създайте адресен пул (например, черен списък) и добавете всички конфликтни IP адреси там.

В конзолата въведете настройките за SSL VPN с конфигуриране на VPN SSL настройка и се прилага: задайте адрес на източника „blacklistipp“ y задаване на активиране на отрицание на source-address, С a Покажи Вие потвърждавате, че е приложено. По този начин, когато някой дойде от тези IP адреси, връзката ще бъде отхвърлена от самото начало.

За да проверите трафика, достигащ до този IP адрес и порт, можете да използвате диагностицира снифер пакети „хост XXXX и порт 10443“ 4, и със вземете VPN SSL монитор Проверявате за разрешени сесии от IP адреси, които не са включени в списъка.

Друг начин е SSL_VPN > Ограничаване на достъпа > Ограничаване на достъпа до конкретни хостовеВ този случай обаче отхвърлянето се случва след въвеждане на идентификационни данни, а не веднага, както през конзолата.

Алтернативи на netstat за преглед и анализ на трафика

Ако търсите повече комфорт или детайлност, има инструменти, които го осигуряват. графика, разширени филтри и дълбоко заснемане от пакети:

• Wireshark: събиране и анализ на трафика на всички нива.
• iproute2 (Linux): помощни програми за управление на TCP/UDP и IPv4/IPv6.
• GlassWireМрежов анализ с управление на защитна стена и фокус върху поверителността.
• Монитор за време на работа на възходящите трендовеНепрекъснато наблюдение на обекта и предупреждения.
• Жермен UXмониторинг, фокусиран върху вертикали като финанси или здравеопазване.
• АтераRMM пакет с мониторинг и отдалечен достъп.
• КлаудшаркУеб анализи и споделяне на екранни снимки.
• iptraf / iftop (Linux): Трафик в реално време чрез много интуитивен интерфейс.
• ss (Статистика на сокетите) (Linux): модерна, по-ясна алтернатива на netstat.

Блокирането на IP адреси и неговият ефект върху SEO, както и стратегии за смекчаване на последиците

Блокирането на агресивни IP адреси има смисъл, но бъдете внимателни с... блокиране на ботове на търсачкитеЗащото може да загубите индексиране. Блокирането по държави може също да изключи легитимни потребители (или VPN мрежи) и да намали видимостта ви в определени региони.

Допълнителни мерки: добавяне CAPTCHA За да спрете ботовете, приложете ограничаване на скоростта, за да предотвратите злоупотреба, и поставете CDN, за да смекчите DDoS чрез разпределяне на натоварването между разпределените възли.

Ако вашият хостинг използва Apache и имате активирано геоблокиране на сървъра, можете пренасочване на посещения от конкретна държава, използвайки .htaccess с правило за пренаписване (общ пример):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

За да блокирате IP адреси на хостинга (Plesk), можете също да редактирате . Htaccess и да откажете конкретни адреси, винаги с предварително архивиране на файла, в случай че се наложи да отмените промените.

Управлявайте защитната стена на Windows подробно с помощта на PowerShell и netsh

Освен създаването на индивидуални правила, PowerShell ви дава пълен контрол: дефиниране на профили по подразбиране, създаване/промяна/изтриване на правила и дори работа срещу GPO на Active Directory с кеширани сесии, за да се намали натоварването на домейн контролерите.

Бързи примери: създаване на правило, промяна на отдалечения му адрес, активиране/деактивиране на цели групи и премахнете правилата за блокиране с един замах. Обектно-ориентираният модел позволява заявки към филтри за портове, приложения или адреси и верижно свързване на резултати с конвейери.

За да управлявате отдалечени екипи, разчитайте на WinRM и параметрите -CimSessionТова ви позволява да изброявате правила, да променяте или изтривате записи на други машини, без да напускате конзолата си.

Грешки в скриптовете? Използвайте -ErrorAction БезшумноПродължи за да се потисне „правилото не е намерено“ при изтриване, -Какво, ако за предварителен преглед и -Потвърдете Ако искате потвърждение за всеки елемент. С -Подробно Ще имате повече подробности за изпълнението.

IPsec: Удостоверяване, криптиране и изолация, базирана на правила

Когато ви е необходим само удостоверен или криптиран трафик, вие комбинирате Правила за защитна стена и IPsecСъздайте правила за транспортен режим, дефинирайте криптографски набори и методи за удостоверяване и ги свържете със съответните правила.

Ако вашият партньор изисква IKEv2, можете да го посочите в IPsec правилото с удостоверяване чрез сертификат на устройството. Това също е възможно. правила за копиране от един GPO към друг и свързаните с тях набори, за да се ускори внедряването.

За да изолирате членовете на домейна, приложете правила, които изискват удостоверяване за входящ трафик и изискват такова за изходящ трафик. Можете също така изискват членство в групи с SDDL вериги, ограничаващи достъпа до оторизирани потребители/устройства.

Некриптираните приложения (като telnet) може да бъдат принудени да използват IPsec, ако създадете правило за защитна стена „позволи, ако е защитено“ и IPsec политика, която Изискване за удостоверяване и криптиранеПо този начин нищо не се движи ясно.

Удостоверен байпас и защита на крайните точки

Удостовереното заобикаляне позволява на трафика от доверени потребители или устройства да отменя правилата за блокиране. Полезно за сървъри за актуализиране и сканиране без да отварят пристанища за целия свят.

Ако търсите цялостна сигурност за много приложения, вместо да създавате правило за всяко едно, преместете оторизация към IPsec слоя със списъци с групи машини/потребители, разрешени в глобалната конфигурация.

Овладяването на netstat, за да видите кой се свързва, използването на netsh и PowerShell за прилагане на правила и мащабирането с IPsec или периметърни защитни стени като FortiGate ви дава контрол над вашата мрежа. С Wi-Fi филтри, базирани на CMD, добре проектирано блокиране на IP адреси, SEO предпазни мерки и алтернативни инструменти, когато се нуждаете от по-задълбочен анализ, ще можете... откриване на подозрителни връзки навреме и да ги блокирате, без да прекъсвате дейността си.