Kiel bloki suspektindajn retkonektojn de CMD

¿Kiel bloki suspektindajn retkonektojn de CMD? Kiam komputilo komencas funkcii malrapide aŭ vi vidas nekutiman retan agadon, malfermi la komandlinion kaj uzi komandojn ofte estas la plej rapida maniero por reakiri kontrolon. Per nur kelkaj komandoj, vi povas detekti kaj bloki suspektindajn konektojnKontrolu malfermitajn pordojn kaj plifortigu vian sekurecon sen instali ion ajn ekstran.

En ĉi tiu artikolo vi trovos kompletan, praktikan gvidilon bazitan sur denaskaj iloj (CMD, PowerShell, kaj programoj kiel netstat kaj netsh). Vi vidos kiel identigi strangajn sesiojnKiujn metrikojn monitori, kiel bloki specifajn Wi-Fi-retojn, kaj kiel krei regulojn en la Vindoza Fajromuro aŭ eĉ FortiGate, ĉio klarigite per klara kaj simpla lingvo.

Netstat: kio ĝi estas, por kio ĝi estas, kaj kial ĝi restas ŝlosila

La nomo netstat devenas de "reto" kaj "statistiko", kaj ĝia funkcio estas ĝuste proponi statistikoj kaj konektostatoj en reala tempo. Ĝi estas integrita en Vindozon kaj Linukson ekde la 90-aj jaroj, kaj vi ankaŭ povas trovi ĝin en aliaj sistemoj kiel macOS aŭ BeOS, kvankam sen grafika interfaco.

Ruli ĝin en la konzolo permesos al vi vidi aktivajn konektojn, uzatajn pordojn, lokajn kaj malproksimajn adresojn, kaj ĝenerale klaran superrigardon pri tio, kio okazas en via TCP/IP-stako. Havi ĉi tion tuja retskanado Ĝi helpas vin agordi, diagnozi kaj altigi la sekurecnivelon de via komputilo aŭ servilo.

Monitori kiuj aparatoj konektiĝas, kiuj pordoj estas malfermitaj, kaj kiel via rutero estas agordita estas esenca. Per netstat, vi ankaŭ akiras vojigtabelojn kaj statistikoj laŭ protokolo kiuj gvidas vin kiam io ne kongruas: troa trafiko, eraroj, ŝtopiĝo aŭ neaŭtorizitaj konektoj.

Utila konsilo: Antaŭ ol fari seriozan analizon per netstat, fermu ĉiujn aplikaĵojn, kiujn vi ne bezonas, kaj eĉ Rekomencu se ebleTiel vi evitos bruon kaj gajnos precizecon pri tio, kio vere gravas.

Efiko sur rendimenton kaj plej bonaj praktikoj por uzo

Funkcii netstat mem ne difektos vian komputilon, sed uzi ĝin troe aŭ kun tro multaj parametroj samtempe povas konsumi CPU kaj memoron. Se vi funkciigas ĝin kontinue aŭ filtras maron da datumoj, la sistema ŝarĝo pliiĝas kaj la rendimento povas suferi.

Por minimumigi ĝian efikon, limigu ĝin al specifaj situacioj kaj fajnagordu la parametrojn. Se vi bezonas kontinuan fluon, taksu pli specifajn monitoradajn ilojn. Kaj memoru: Malpli estas pli kiam la celo estas esplori specifan simptomon.

• Limigu uzadon al tempoj kiam vi vere bezonas ĝin vidi aktivajn konektojn aŭ statistikoj.
• Filtri precize por montri nur la necesajn informojn.
• Evitu plani ekzekutojn je tre mallongaj intervaloj, kiuj saturi resursojn.
• Konsideru dediĉitajn servaĵojn se vi serĉas realtempa monitorado pli progresintaj.

Avantaĝoj kaj limigoj de uzado de netstat

Netstat restas populara inter administrantoj kaj teknikistoj ĉar ĝi provizas Tuja videbleco de konektoj kaj pordojn uzatajn de aplikaĵoj. Post sekundoj vi povas detekti kiu parolas kun kiu kaj tra kiuj pordoj.

Ĝi ankaŭ faciligas la monitorado kaj solvado de problemojObstrukciĝo, proplempunktoj, persistaj konektoj… ĉio malkaŝiĝas kiam oni rigardas la koncernajn statojn kaj statistikojn.

• Rapida detekto pri neaŭtorizitaj konektoj aŭ eblaj entrudiĝoj.
• Sesiospurado inter klientoj kaj serviloj por lokalizi kraŝojn aŭ latentecojn.
• Efikeco-taksado per protokolo prioritatigi plibonigojn kie ili havas la plej grandan efikon.

Kaj kion ĝi ne faras tiel bone? Ĝi ne provizas iujn ajn datumojn (tio ne estas ĝia celo), ĝia rezulto povas esti kompleksa por ne-teknikaj uzantoj, kaj en tre grandaj medioj ne skaleblaj kiel specialigita sistemo (ekzemple SNMP). Krome, ĝia uzo malpliiĝas favore al PowerShell kaj pli modernaj servaĵoj kun pli klaraj eligoj.

Kiel uzi netstat el CMD kaj legi ĝiajn rezultojn

Malfermu CMD kiel administranto (Komenco, tajpu “cmd”, dekstre-klaku, Ekzekuti kiel administranto) aŭ uzu Terminalon en Vindozo 11. Poste tajpu retstat kaj premu Enter por akiri la foton de la momento.

Vi vidos kolumnojn kun la protokolo (TCP/UDP), lokajn kaj malproksimajn adresojn kun iliaj pordoj, kaj statuskampon (LISTENING, ESTABLISHED, TIME_WAIT, ktp.). Se vi volas nombrojn anstataŭ pordnomojn, lanĉu netstat -n por pli rekta legado.

Periodaj ĝisdatigoj? Vi povas asigni al ĝi refreŝiĝi ĉiujn X sekundojn je intervalo: ekzemple, netstat -n 7 Ĝi ĝisdatigos la eliron ĉiujn 7 sekundojn por observi realtempajn ŝanĝojn.

Se vi nur interesiĝas pri establitaj konektoj, filtru la rezulton per findstr: netstat | findstr ESTABLITAŜanĝu al LISTENING, CLOSE_WAIT aŭ TIME_WAIT se vi preferas detekti aliajn statojn.

Utilaj netstat-parametroj por esplorado

Ĉi tiuj modifiloj permesas al vi redukti bruon kaj koncentriĝu pri tio, kion vi serĉas:

• -a: montras aktivajn kaj neaktivajn konektojn kaj aŭskultajn pordojn.
• -e: statistikoj pri interfacaj pakaĵoj (alvenantaj/elirantaj).
• -f: solvas kaj montras malproksimajn FQDN-ojn (plene kvalifikitajn domajnajn nomojn).
• -n: montras nesolvitajn pordon kaj IP-numerojn (pli rapide).
• -o: aldonas la PID-on de la procezo kiu konservas la konekton.
• -p X: filtras laŭ protokolo (TCP, UDP, tcpv6, tcpv4...).
• -q: pridemando ligitaj aŭskultantaj kaj ne-aŭskultantaj pordoj.
• -sStatistikoj grupigitaj laŭ protokolo (TCP, UDP, ICMP, IPv4/IPv6).
• -r: aktuala vojigotabelo de la sistemo.
• -t: informoj pri konektoj en elŝuta stato.
• -x: Detaloj pri la konekto de NetworkDirect.

Praktikaj ekzemploj por ĉiutaga vivo

Por listigi malfermitajn pordojn kaj konektojn kun ilia PID, lanĉu netstat -anoPer tiu PID vi povas krucreferenci la procezon en la Task Manager aŭ per iloj kiel TCPView.

Se vi nur interesiĝas pri IPv4-konektoj, filtru laŭ protokolo per netstat -p IP-adreso kaj vi ŝparos bruon dum la eliro.

Tutmondaj statistikoj laŭ protokolo venas de netstat -sDum se vi volas la aktivecon de la interfacoj (senditaj/ricevitaj) ĝi funkcios netstat -e havi precizajn nombrojn.

Por spuri problemon pri fora nomrezolucio, kombinu netstat -f kun filtrado: ekzemple, netstat -f | trovi mian domajnon Ĝi redonos nur tion, kio kongruas kun tiu domajno.

Kiam Wi-Fi estas malrapida kaj netstat estas plena de strangaj konektoj

Klasika kazo: malrapida retumado, rapidtesto kiu bezonas iom da tempo por komenciĝi sed donas normalajn ciferojn, kaj kiam oni uzas netstat, aperas jenaj: dekoj da konektoj ESTABLITAJOfte la kulpulo estas la retumilo (ekzemple, Fajrovulpo pro ĝia maniero trakti plurajn konektilojn), kaj eĉ se vi fermas fenestrojn, fonaj procezoj povas daŭre konservi seancojn.

Kion fari? Unue, identiĝu kun netstat -ano Notu la PID-ojn. Poste kontrolu en Task Manager aŭ per Process Explorer/TCPView, kiuj procezoj estas malantaŭ ĝi. Se la konekto kaj procezo ŝajnas suspektindaj, konsideru bloki la IP-adreson de la Windows Firewall. lanĉi antivirusan skanadon Kaj, se la risko ŝajnas alta al vi, provizore malkonektu la ekipaĵon de la reto ĝis ĝi fariĝos klara.

Se la amaso da sesioj daŭras post reinstalo de la retumilo, kontrolu etendaĵojn, provizore malŝaltu sinkronigadon, kaj vidu ĉu aliaj klientoj (kiel via portebla aparato) ankaŭ estas malrapidaj: tio indikas la problemon. problemo pri reto/ISP anstataŭ loka programaro.

Memoru, ke netstat ne estas realtempa monitorilo, sed vi povas simuli tian per netstat -n 5 refreŝiĝi ĉiujn 5 sekundojn. Se vi bezonas kontinuan kaj pli oportunan panelon, rigardu TCPView aŭ pli dediĉitaj monitoradaj alternativoj.

Bloki specifajn Wi-Fi-retojn de CMD

Se estas proksimaj retoj, kiujn vi ne volas vidi aŭ ke via aparato provu uzi, vi povas filtri ilin el la konzoloLa komando permesas al vi bloki specifan SSID-on kaj administru ĝin sen tuŝi la grafikan panelon.

Malfermu CMD kiel administranto kaj uzas:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Post ĝia lanĉo, tiu reto malaperos el la listo de disponeblaj retoj. Por kontroli kion vi blokis, lanĉu netsh wlan montri filtrilojn permeso=blokiKaj se vi bedaŭras ĝin, forigu ĝin per:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Bloku suspektindajn IP-adresojn per la Fajromuro de Vindozo

Se vi detektas, ke la sama publika IP-adreso provas suspektindajn agojn kontraŭ viaj servoj, la rapida respondo estas krei regulon kiu blokas Tiuj konektoj. En la grafika konzolo, aldonu kutiman regulon, apliku ĝin al "Ĉiuj programoj", protokolu "Ajna", specifu la forajn IP-adresojn por bloki, marku "Bloki la konekton" kaj apliku al domajno/privata/publika.

Ĉu vi preferas aŭtomatigon? Per PowerShell, vi povas krei, modifi aŭ forigi regulojn sen klaki. Ekzemple, por bloki elirantan Telnet-trafikon kaj poste limigi la permesitan malproksiman IP-adreson, vi povas uzi regulojn kun Nova-RetaFajromuro-Regulo kaj poste ĝustigu per Agordi-RetanFajromuranRegulon.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Por administri regulojn laŭ grupoj aŭ forigi blokajn regulojn amase, fidu je Ebligi/Malebligi/Forigi-NetFirewall-Regulon kaj en serĉoj kun ĵokeroj aŭ filtriloj laŭ ecoj.

Plej bonaj praktikoj: Ne malŝaltu la fajromuran servon

Mikrosofto konsilas ne haltigi la fajromuran servon (MpsSvc). Fari tion povas kaŭzi problemojn en la startmenuo, problemojn instali modernajn aplikaĵojn aŭ aliajn problemojn. aktivigaj eraroj Per telefono. Se, laŭ politiko, vi bezonas malŝalti profilojn, faru tion ĉe la fajromuro aŭ GPO-agorda nivelo, sed lasu la servon funkcii.

Profiloj (domajno/privata/publika) kaj defaŭltaj agoj (permesi/bloki) povas esti agorditaj de la komandlinio aŭ la fajromurkonzolo. Teni ĉi tiujn defaŭltojn bone difinitaj malhelpas kontraŭvolaj truoj kiam oni kreas novajn regulojn.

FortiGate: Bloku SSL VPN-provojn de suspektindaj publikaj IP-adresoj

Se vi uzas FortiGate kaj vidas malsukcesajn ensalutajn provojn al via SSL VPN de nekonataj IP-adresoj, kreu adresaron (ekzemple, nigra listo) kaj aldonu ĉiujn konfliktajn IP-adresojn tien.

En la konzolo, enigu la SSL VPN-agordojn per agordo de vpn ssl kaj aplikas: agordi fontadreson "blacklistipp" y agordi fonto-adreso-negi ebligiKun spektaklo Vi konfirmas, ke ĝi estis aplikita. Tiel, kiam iu venos de tiuj IP-adresoj, la konekto estos malakceptita dekomence.

Por kontroli trafikon trafantan tiun IP-adreson kaj havenon, vi povas uzi diagnozi snufantan pakaĵeton ajnan "gastiganton XXXX kaj havenon 10443" 4kaj kun akiri vpn ssl monitorilon Vi kontrolas permesitajn sesiojn de IP-adresoj ne inkluzivitaj en la listo.

Alia maniero estas SSL_VPN > Limigi Aliron > Limigi aliron al specifaj gastigantojTamen, en tiu kazo la malakcepto okazas post enigo de akreditaĵoj, ne tuj kiel per la konzolo.

Alternativoj al netstat por rigardi kaj analizi trafikon

Se vi serĉas pli da komforto aŭ detaloj, ekzistas iloj, kiuj provizas ĝin. grafikoj, progresintaj filtriloj kaj profunda kapto de pakaĵoj:

• Wireshark: trafikkaptado kaj analizo je ĉiuj niveloj.
• iprotokolo2 (Linukso): iloj por administri TCP/UDP kaj IPv4/IPv6.
• VitrodratoRetanalizo kun fajromuradministrado kaj fokuso sur privateco.
• Uptrends Uptime MonitorKontinua reteja monitorado kaj alarmoj.
• Germain UX: monitorado fokusita sur vertikaloj kiel financo aŭ sano.
• AteraRMM-programaro kun monitorado kaj fora aliro.
• NubŝarkoTTT-analitiko kaj kunhavigo de ekranfotoj.
• iptraf / iftop (Linukso): Realtempa trafiko per tre intuicia interfaco.
• ss (Ingostatistiko) (Linukso): moderna, pli klara alternativo al netstat.

IP-blokado kaj ĝia efiko sur SEO, plus mildigaj strategioj

Bloki agresemajn IP-adresojn havas sencon, sed estu singarda pri bloki serĉilrobotojnĈar vi povus perdi indeksigon. Landblokado ankaŭ povas ekskludi legitimajn uzantojn (aŭ VPN-ojn) kaj redukti vian videblecon en certaj regionoj.

Komplementaj mezuroj: aldonu CAPTCHA-oj Por haltigi robotojn, apliku rapidlimigon por malhelpi misuzon kaj starigu CDN por mildigi DDoS distribuante la ŝarĝon trans distribuitaj nodoj.

Se via retgastigo uzas Apache kaj vi ebligis geoblokadon sur la servilo, vi povas redirekti vizitojn el specifa lando uzante .htaccess kun reskriba regulo (ĝenerala ekzemplo):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Por bloki IP-adresojn ĉe la retgastigo (Plesk), vi ankaŭ povas redakti .htaccess kaj nei specifajn adresojn, ĉiam kun antaŭa sekurkopio de la dosiero en kazo ke vi bezonas nuligi ŝanĝojn.

Administru Vindozan Fajromuron detale per PowerShell kaj netsh

Krom krei individuajn regulojn, PowerShell donas al vi kompletan kontrolon: difini defaŭltajn profilojn, krei/modifi/forigi regulojn kaj eĉ labori kontraŭ GPO-oj de Active Directory kun kaŝmemoritaj sesioj por redukti ŝarĝon sur domajnaj regiloj.

Rapidaj ekzemploj: krei regulon, ŝanĝi ĝian malproksiman adreson, ebligi/malebligi tutajn grupojn, kaj forigi blokajn regulojn per unu falinta bato. La objektorientita modelo permesas pridemandi filtrilojn por pordoj, aplikaĵoj aŭ adresoj kaj ĉeni rezultojn per duktoj.

Por administri malproksimajn teamojn, fidu je WinRM kaj la parametroj -CimSessionĈi tio permesas al vi listigi regulojn, modifi aŭ forigi erojn sur aliaj maŝinoj sen forlasi vian konzolon.

Eraroj en skriptoj? Uzu -EraroAgo SilenteDaŭrigi por subpremi "regulo ne trovita" dum forigo, -KioSe antaŭrigardi kaj -Konfirmi Se vi volas konfirmon por ĉiu ero. Kun - Multvorta Vi havos pliajn detalojn pri la efektivigo.

IPsec: Aŭtentigo, ĉifrado kaj politik-bazita izolado

Kiam vi bezonas nur aŭtentikigitan aŭ ĉifritan trafikon por trapasi, vi kombinas Fajromuro kaj IPsec-regulojKreu transportreĝimajn regulojn, difinu kriptografiajn arojn kaj aŭtentigajn metodojn, kaj asociu ilin kun la taŭgaj reguloj.

Se via partnero bezonas IKEv2, vi povas specifi ĝin en la IPsec-regulo kun aŭtentigo per aparatatestilo. Tio ankaŭ eblas. kopireguloj de unu GPO al alia kaj iliaj asociitaj aroj por akceli deplojojn.

Por izoli domajnajn membrojn, apliku regulojn kiuj postulas aŭtentigon por alvenanta trafiko kaj postulas ĝin por eliranta trafiko. Vi ankaŭ povas postulas membrecon en grupoj kun SDDL-ĉenoj, limigante aliron al rajtigitaj uzantoj/aparatoj.

Neĉifritaj aplikaĵoj (kiel ekzemple telnet) povas esti devigitaj uzi IPsec se vi kreas fajromuran regulon "permesi se sekura" kaj IPsec-politikon kiu Postulu aŭtentikigon kaj ĉifradonTiamaniere nenio vojaĝas klare.

Aŭtentikigita pretervojo kaj finpunkta sekureco

Aŭtentikigita preteriro permesas al trafiko de fidindaj uzantoj aŭ aparatoj superregi blokajn regulojn. Utila por ĝisdatigaj kaj skanaj serviloj sen malfermi havenojn al la tuta mondo.

Se vi serĉas kompletan sekurecon tra multaj aplikaĵoj, anstataŭ krei regulon por ĉiu, movu la rajtigo al la IPsec-tavolo kun listoj de maŝino/uzantgrupoj permesitaj en la tutmonda agordo.

Majstri netstat por vidi kiu konektas, utiligi netsh kaj PowerShell por devigi regulojn, kaj skali per IPsec aŭ perimetraj fajromuroj kiel FortiGate donas al vi kontrolon de via reto. Kun CMD-bazitaj Wi-Fi-filtriloj, bone dizajnita IP-blokado, SEO-antaŭzorgoj, kaj alternativaj iloj kiam vi bezonas pli profundan analizon, vi povos... detekti suspektindajn konektojn ĝustatempe kaj bloki ilin sen interrompi viajn operaciojn.