نحوه مسدود کردن اتصالات شبکه مشکوک از طریق CMD

¿چگونه اتصالات شبکه مشکوک را از طریق CMD مسدود کنیم؟ وقتی کامپیوتر شروع به کند شدن می‌کند یا فعالیت غیرمعمول شبکه را مشاهده می‌کنید، باز کردن خط فرمان و استفاده از دستورات اغلب سریع‌ترین راه برای بازیابی کنترل است. تنها با چند دستور، می‌توانید شناسایی و مسدود کردن اتصالات مشکوکپورت‌های باز را بررسی کنید و امنیت خود را بدون نصب هیچ چیز اضافی تقویت کنید.

در این مقاله، یک راهنمای کامل و کاربردی مبتنی بر ابزارهای بومی (CMD، PowerShell و ابزارهایی مانند netstat و netsh) خواهید یافت. خواهید دید که چگونه شناسایی نشست‌های عجیبچه معیارهایی را باید رصد کرد، چگونه شبکه‌های وای‌فای خاصی را مسدود کرد و چگونه در فایروال ویندوز یا حتی فورتی‌گیت قوانینی ایجاد کرد، همه به زبانی واضح و سرراست توضیح داده شده‌اند.

نت‌استات: چیست، برای چیست و چرا همچنان کلیدی است

نام netstat از دو کلمه "network" و "statistics" گرفته شده است و عملکرد آن دقیقاً ارائه ... آمار و وضعیت اتصال در زمان واقعی. از دهه 90 در ویندوز و لینوکس ادغام شده است و می‌توانید آن را در سیستم‌های دیگری مانند macOS یا BeOS نیز پیدا کنید، اگرچه بدون رابط گرافیکی.

اجرای آن در کنسول به شما امکان می‌دهد اتصالات فعال، پورت‌های مورد استفاده، آدرس‌های محلی و راه دور و به طور کلی، یک نمای کلی از آنچه در پشته TCP/IP شما اتفاق می‌افتد را مشاهده کنید. داشتن این اسکن فوری شبکه این به شما کمک می‌کند تا سطح امنیت رایانه یا سرور خود را پیکربندی، تشخیص و افزایش دهید.

نظارت بر اینکه کدام دستگاه‌ها متصل می‌شوند، کدام پورت‌ها باز هستند و نحوه پیکربندی روتر شما بسیار حیاتی است. با netstat، جداول مسیریابی را نیز به دست می‌آورید و آمار بر اساس پروتکل که وقتی مشکلی پیش می‌آید شما را راهنمایی می‌کنند: ترافیک بیش از حد، خطاها، ازدحام یا اتصالات غیرمجاز.

نکته مفید: قبل از اجرای یک تحلیل جدی با netstat، برنامه‌هایی را که نیازی به آنها ندارید و حتی در صورت امکان دوباره راه اندازی کنیدبه این ترتیب از نویز جلوگیری می‌کنید و در آنچه واقعاً مهم است، دقت بیشتری به دست می‌آورید.

تأثیر بر عملکرد و بهترین شیوه‌های استفاده

اجرای خود netstat کامپیوتر شما را خراب نمی‌کند، اما استفاده بیش از حد از آن یا با پارامترهای زیاد به طور همزمان می‌تواند CPU و حافظه را اشغال کند. اگر آن را به طور مداوم اجرا کنید یا دریایی از داده‌ها را فیلتر کنید، بار سیستم افزایش می‌یابد و عملکرد ممکن است آسیب ببیند.

برای به حداقل رساندن تأثیر آن، آن را به موقعیت‌های خاص محدود کنید و پارامترها را به دقت تنظیم کنید. اگر به یک جریان مداوم نیاز دارید، ابزارهای نظارتی خاص‌تری را ارزیابی کنید. و به یاد داشته باشید: کمتر، بیشتر است وقتی هدف بررسی یک علامت خاص است.

• استفاده را به زمان‌هایی محدود کنید که واقعاً به آن نیاز دارید مشاهده اتصالات فعال یا آمار.
• فیلتر کردن دقیق برای نمایش فقط اطلاعات ضروری.
• از زمانبندی اجراها در فواصل زمانی بسیار کوتاه خودداری کنید منابع اشباع.
• اگر به دنبال موارد زیر هستید، ابزارهای اختصاصی را در نظر بگیرید نظارت در زمان واقعی پیشرفته تر.

مزایا و محدودیت‌های استفاده از netstat

Netstat به دلیل ارائه موارد زیر، همچنان در بین مدیران و تکنسین‌ها محبوب است: مشاهده فوری اتصالات و پورت‌های مورد استفاده توسط برنامه‌ها. در عرض چند ثانیه می‌توانید تشخیص دهید چه کسی با چه کسی و از طریق کدام پورت‌ها صحبت می‌کند.

همچنین تسهیل می کند نظارت و عیب‌یابیازدحام، گلوگاه‌ها، اتصالات مداوم... همه اینها وقتی به وضعیت‌ها و آمارهای مربوطه نگاه می‌کنید، آشکار می‌شود.

• تشخیص سریع از اتصالات غیرمجاز یا نفوذهای احتمالی.
• ردیابی جلسه بین کلاینت‌ها و سرورها برای یافتن خرابی‌ها یا تأخیرها.
• ارزیابی رندیمینتو طبق پروتکل، اولویت‌بندی بهبودها در مواردی که بیشترین تأثیر را دارند.

و چه چیزی را به خوبی انجام نمی‌دهد؟ هیچ داده‌ای ارائه نمی‌دهد (هدف آن این نیست)، خروجی آن می‌تواند برای کاربران غیرفنی پیچیده باشد، و در محیط‌های بسیار بزرگ که مقیاس‌پذیر نیستند به عنوان یک سیستم تخصصی (به عنوان مثال SNMP). علاوه بر این، استفاده از آن به نفع [سیستم‌های] دیگر رو به کاهش بوده است. پاورشل و ابزارهای مدرن‌تر با خروجی‌های واضح‌تر.

نحوه استفاده از netstat از CMD و خواندن نتایج آن

CMD را به عنوان مدیر باز کنید (شروع، "cmd" را تایپ کنید، کلیک راست کنید، Run as administrator را انتخاب کنید) یا از ترمینال در ویندوز 11 استفاده کنید. سپس تایپ کنید نت‌استات و برای گرفتن عکس آن لحظه، Enter را فشار دهید.

ستون‌هایی با پروتکل (TCP/UDP)، آدرس‌های محلی و راه دور به همراه پورت‌هایشان و یک فیلد وضعیت (LISTENING، ESTABLISHED، TIME_WAIT و غیره) را مشاهده خواهید کرد. اگر به جای نام پورت‌ها، عدد می‌خواهید، دستور زیر را اجرا کنید. netstat -n برای خوانش مستقیم‌تر.

به‌روزرسانی‌های دوره‌ای؟ می‌توانید به آن بگویید که هر X ثانیه در یک بازه زمانی به‌روزرسانی کند: برای مثال، دستور netstat -n 7 این خروجی را هر 7 ثانیه به‌روزرسانی می‌کند تا تغییرات را به صورت زنده مشاهده کند.

اگر فقط به اتصالات برقرار شده علاقه‌مند هستید، خروجی را با findstr فیلتر کنید: دستور netstat | findstr برقرار شداگر ترجیح می‌دهید حالت‌های دیگری را تشخیص دهید، به LISTENING، CLOSE_WAIT یا TIME_WAIT تغییر دهید.

پارامترهای مفید netstat برای بررسی

این اصلاح‌کننده‌ها به شما اجازه می‌دهند کاهش نویز و روی چیزی که دنبالش هستید تمرکز کنید:

• -a: اتصالات فعال و غیرفعال و پورت‌های در حال گوش دادن را نشان می‌دهد.
• -eآمار بسته‌های رابط (ورودی/خروجی).
• -fFQDN های راه دور (نام‌های دامنه کاملاً واجد شرایط) را شناسایی و نمایش می‌دهد.
• -n: شماره‌های پورت و IP حل نشده را نمایش می‌دهد (سریع‌تر).
• -o: شناسه‌ی PID فرآیندی را که اتصال را برقرار می‌کند، اضافه می‌کند.
• -پ ایکسفیلترها بر اساس پروتکل (TCP، UDP، tcpv6، tcpv4...).
• -q: پرس و جوی پورت‌های متصل در حال گوش دادن و غیرشنیدن.
• -sآمار گروه‌بندی‌شده بر اساس پروتکل (TCP، UDP، ICMP، IPv4/IPv6).
• -r: جدول مسیریابی فعلی سیستم.
• -t: اطلاعات مربوط به اتصالات در حالت دانلود.
• -x: جزئیات اتصال NetworkDirect.

مثال‌های کاربردی برای زندگی روزمره

برای فهرست کردن پورت‌ها و اتصالات باز به همراه PID آنها، دستور زیر را اجرا کنید. netstat -anoبا استفاده از آن PID می‌توانید فرآیند را در Task Manager یا با ابزارهایی مانند TCPView به صورت متقابل ارجاع دهید.

اگر فقط به اتصالات IPv4 علاقه‌مند هستید، بر اساس پروتکل فیلتر کنید. netstat -p آی‌پی و در هنگام خروج، سر و صدا کمتری خواهید داشت.

آمار جهانی بر اساس پروتکل از ... آمده است. دستور netstat -sدر حالی که اگر فعالیت رابط‌ها (ارسالی/دریافتی) را بخواهید، کار خواهد کرد. نت‌استات -e برای داشتن اعداد دقیق

برای پیگیری مشکل در حل نام از راه دور، موارد زیر را ترکیب کنید نت‌استات -f با فیلتر کردن: برای مثال، netstat -f | پیدا کردن دامنه‌ی من فقط مواردی را که با آن دامنه مطابقت دارند، برمی‌گرداند.

وقتی وای‌فای کند است و netstat پر از اتصالات عجیب و غریب است

یک مورد کلاسیک: مرور کند، تست سرعتی که کمی طول می‌کشد تا شروع شود اما ارقام عادی را ارائه می‌دهد، و هنگام اجرای netstat، موارد زیر ظاهر می‌شوند: ده‌ها اتصال برقرار شداغلب مقصر مرورگر است (برای مثال، فایرفاکس به دلیل نحوه مدیریت چندین سوکت) و حتی اگر پنجره‌ها را ببندید، فرآیندهای پس‌زمینه ممکن است به حفظ جلسات ادامه دهند.

چه باید کرد؟ اول، با خودتان همذات پنداری کنید netstat -ano به PID ها توجه کنید. سپس در Task Manager یا با Process Explorer/TCPView بررسی کنید که کدام فرآیندها پشت آن هستند. اگر اتصال و فرآیند مشکوک به نظر می‌رسد، مسدود کردن آدرس IP از فایروال ویندوز را در نظر بگیرید. اسکن آنتی ویروس را اجرا کنید و اگر خطر برای شما زیاد به نظر می‌رسد، تجهیزات را موقتاً از شبکه جدا کنید تا وضعیت مشخص شود.

اگر پس از نصب مجدد مرورگر، همچنان با مشکل مواجه بودید، افزونه‌ها را بررسی کنید، همگام‌سازی را موقتاً غیرفعال کنید و ببینید آیا سایر کلاینت‌ها (مانند دستگاه تلفن همراه شما) نیز کند هستند یا خیر: این موضوع نشان‌دهنده‌ی مشکل است. مشکل شبکه/ISP به جای نرم‌افزارهای محلی.

به یاد داشته باشید که netstat یک مانیتور بلادرنگ نیست، اما می‌توانید آن را با ... شبیه‌سازی کنید. دستور netstat -n 5 برای تازه کردن هر 5 ثانیه. اگر به یک پنل مداوم و راحت تر نیاز دارید، نگاهی به تی‌سی‌پی‌ویو یا گزینه‌های نظارتی اختصاصی‌تر.

مسدود کردن شبکه‌های وای‌فای خاص از طریق CMD

اگر شبکه‌هایی در نزدیکی شما وجود دارند که نمی‌خواهید آنها را ببینید یا دستگاهتان سعی کند از آنها استفاده کند، می‌توانید آنها را از کنسول فیلتر کنیددستور به شما اجازه می‌دهد مسدود کردن یک SSID خاص و بدون لمس پنل گرافیکی، آن را مدیریت کنید.

CMD را به عنوان مدیر باز کنید و موارد استفاده:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

پس از اجرای آن، آن شبکه از فهرست شبکه‌های موجود ناپدید می‌شود. برای بررسی اینکه چه شبکه‌هایی را مسدود کرده‌اید، نمایش فیلترهای شبکه بی‌سیم netsh با مجوز = مسدود کردنو اگر پشیمان شدید، آن را با این دستور حذف کنید:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

مسدود کردن آدرس‌های IP مشکوک با فایروال ویندوز

اگر تشخیص دهید که همان آدرس IP عمومی در حال انجام اقدامات مشکوک علیه سرویس‌های شما است، پاسخ سریع این است: یک قانون ایجاد کنید که مسدود شود آن اتصالات. در کنسول گرافیکی، یک قانون سفارشی اضافه کنید، آن را روی "همه برنامه‌ها" و پروتکل "هر" اعمال کنید، IP های راه دور را برای مسدود کردن مشخص کنید، "مسدود کردن اتصال" را علامت بزنید و روی domain/private/public اعمال کنید.

آیا اتوماسیون را ترجیح می‌دهید؟ با PowerShell، می‌توانید بدون کلیک کردن، قوانین را ایجاد، اصلاح یا حذف کنید. به عنوان مثال، برای مسدود کردن ترافیک خروجی Telnet و سپس محدود کردن آدرس IP راه دور مجاز، می‌توانید از قوانینی با ... استفاده کنید. New-NetFirewallRule و سپس با آن تنظیم کنید Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

برای مدیریت قوانین بر اساس گروه‌ها یا حذف قوانین مسدودکننده به صورت عمده، به موارد زیر تکیه کنید: فعال/غیرفعال/حذف NetFirewallRule و در پرس‌وجوهایی با کاراکترهای عمومی یا فیلترها بر اساس ویژگی‌ها.

بهترین شیوه‌ها: سرویس فایروال را غیرفعال نکنید

مایکروسافت توصیه می‌کند سرویس فایروال (MpsSvc) را متوقف نکنید. انجام این کار می‌تواند باعث ایجاد مشکلاتی در منوی استارت، نصب برنامه‌های مدرن یا سایر مشکلات شود. خطاهای فعال‌سازی از طریق تلفن. اگر به عنوان یک سیاست، نیاز به غیرفعال کردن پروفایل‌ها دارید، این کار را در سطح پیکربندی فایروال یا GPO انجام دهید، اما سرویس را در حال اجرا بگذارید.

پروفایل‌ها (دامنه/خصوصی/عمومی) و اقدامات پیش‌فرض (اجازه/مسدود کردن) را می‌توان از خط فرمان یا کنسول فایروال تنظیم کرد. تعریف دقیق این پیش‌فرض‌ها از ... جلوگیری می‌کند. سوراخ‌های غیرارادی هنگام ایجاد قوانین جدید.

فورتی‌گیت: تلاش‌های SSL VPN را از IPهای عمومی مشکوک مسدود کنید

اگر از FortiGate استفاده می‌کنید و تلاش‌های ناموفق برای ورود به SSL VPN خود از IPهای ناآشنا را مشاهده می‌کنید، یک مجموعه آدرس ایجاد کنید (برای مثال، لیست سیاه) و تمام IP های متناقض را در آنجا اضافه کنید.

در کنسول، تنظیمات SSL VPN را با دستور زیر وارد کنید: پیکربندی تنظیمات vpn ssl و اعمال می‌شود: تنظیم آدرس منبع به صورت "blacklistipp" y فعال کردن آدرس منبع-نفیبا یک نشان دادن شما تأیید می‌کنید که اعمال شده است. به این ترتیب، وقتی کسی از آن IPها می‌آید، اتصال از همان ابتدا رد می‌شود.

برای بررسی ترافیکی که به آن IP و پورت می‌رسد، می‌توانید از دستور زیر استفاده کنید: تشخیص بسته‌ی شنود هر «میزبان XXXX و پورت ۱۰۴۴۳» ۴و با دریافت مانیتور vpn ssl شما نشست‌های مجاز از IPهایی که در لیست نیستند را بررسی می‌کنید.

راه دیگر این است که SSL_VPN > محدود کردن دسترسی > محدود کردن دسترسی به میزبان‌های خاصبا این حال، در این حالت، رد درخواست پس از وارد کردن اطلاعات کاربری رخ می‌دهد، نه بلافاصله مانند آنچه از طریق کنسول انجام می‌شود.

جایگزین‌هایی برای netstat برای مشاهده و تحلیل ترافیک

اگر به دنبال راحتی یا جزئیات بیشتری هستید، ابزارهایی وجود دارند که آن را فراهم می‌کنند. گرافیک، فیلترهای پیشرفته و ضبط عمیق از بسته‌ها:

• وایرشارک: ثبت و تحلیل ترافیک در تمام سطوح.
• iproute2 (لینوکس): ابزارهایی برای مدیریت TCP/UDP و IPv4/IPv6.
• سیم شیشه‌ایتحلیل شبکه با مدیریت فایروال و تمرکز بر حریم خصوصی.
• مانیتور آپتایم روندهای صعودینظارت مداوم بر سایت و هشدارها.
• ژرمن UX: نظارت متمرکز بر حوزه‌های عمودی مانند امور مالی یا سلامت.
• آترا: مجموعه RMM با نظارت و دسترسی از راه دور.
• کلودشارکتجزیه و تحلیل وب و اشتراک گذاری اسکرین شات.
• ایپتراف / ایفتاپ (لینوکس): ترافیک بلادرنگ از طریق یک رابط کاربری بسیار کاربرپسند.
• ss (آمار سوکت) (لینوکس): یک جایگزین مدرن و واضح‌تر برای netstat.

مسدود کردن IP و تأثیر آن بر سئو، به علاوه راهکارهای کاهش آن

مسدود کردن IP های مهاجم منطقی است، اما مراقب باشید مسدود کردن ربات‌های موتور جستجوزیرا ممکن است ایندکس شدن را از دست بدهید. مسدود کردن کشور همچنین می‌تواند کاربران قانونی (یا VPN) را از دسترسی خارج کند و دیده شدن شما را در مناطق خاص کاهش دهد.

اقدامات تکمیلی: اضافه کردن کپچاها برای متوقف کردن ربات‌ها، برای جلوگیری از سوءاستفاده، محدودیت سرعت اعمال کنید و یک CDN قرار دهید تا با توزیع بار در گره‌های توزیع‌شده، DDoS را کاهش دهد.

اگر هاست شما از آپاچی استفاده می‌کند و مسدودسازی جغرافیایی را روی سرور فعال کرده‌اید، می‌توانید تغییر مسیر بازدیدها از یک کشور خاص با استفاده از .htaccess با یک قانون بازنویسی (مثال عمومی):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

برای مسدود کردن IP ها در هاستینگ (Plesk)، می‌توانید ویرایش کنید. فایل htaccess. و آدرس‌های خاص را رد کنید، همیشه با یک نسخه پشتیبان قبلی از فایل در صورتی که نیاز به برگرداندن تغییرات داشته باشید.

مدیریت عمیق فایروال ویندوز با استفاده از PowerShell و netsh

فراتر از ایجاد قوانین فردی، PowerShell کنترل کاملی را در اختیار شما قرار می‌دهد: تعریف پروفایل‌های پیش‌فرض، ایجاد/تغییر/حذف قوانین و حتی کار با Active Directory GPO ها با جلسات ذخیره شده برای کاهش بار روی کنترل کننده های دامنه.

مثال‌های سریع: ایجاد یک قانون، تغییر آدرس راه دور آن، فعال/غیرفعال کردن کل گروه‌ها، و حذف قوانین مسدودکننده در یک حرکت. مدل شیءگرا امکان پرس‌وجو از فیلترها برای پورت‌ها، برنامه‌ها یا آدرس‌ها و زنجیره‌سازی نتایج با خطوط لوله را فراهم می‌کند.

برای مدیریت تیم‌های از راه دور، به موارد زیر تکیه کنید وین آر ام و پارامترها -سییم‌سشناین به شما امکان می‌دهد بدون ترک کنسول خود، قوانین را فهرست کنید، ورودی‌ها را در دستگاه‌های دیگر تغییر دهید یا حذف کنید.

خطا در اسکریپت‌ها؟ استفاده کنید -ErrorAction SilentlyContinue برای سرکوب «قانون یافت نشد» هنگام حذف، -چه می شود اگر برای پیش نمایش و -تایید اگر برای هر مورد تأیید می‌خواهید. با -وبربس جزئیات بیشتری در مورد اجرا خواهید داشت.

IPsec: احراز هویت، رمزگذاری و جداسازی مبتنی بر سیاست

وقتی فقط به ترافیک احراز هویت شده یا رمزگذاری شده برای عبور نیاز دارید، شما ترکیبی از قوانین فایروال و IPsecایجاد قوانین حالت حمل و نقل، تعریف مجموعه‌های رمزنگاری و روش‌های احراز هویت و مرتبط کردن آنها با قوانین مناسب.

اگر شریک شما به IKEv2 نیاز دارد، می‌توانید آن را در قانون IPsec با احراز هویت توسط گواهی دستگاه مشخص کنید. این نیز امکان‌پذیر است. قوانین کپی از یک GPO به GPO دیگر و مجموعه‌های مرتبط با آنها برای تسریع استقرار.

برای ایزوله کردن اعضای دامنه، قوانینی اعمال کنید که برای ترافیک ورودی نیاز به احراز هویت داشته باشند و برای ترافیک خروجی نیز آن را الزامی کنند. همچنین می‌توانید نیاز به عضویت در گروه‌ها با زنجیره‌های SDDL، دسترسی را به کاربران/دستگاه‌های مجاز محدود می‌کند.

اگر یک قانون فایروال با عنوان «اجازه دهید اگر امن باشد» و یک سیاست IPsec ایجاد کنید، برنامه‌های رمزگذاری نشده (مانند telnet) ممکن است مجبور به استفاده از IPsec شوند. نیاز به احراز هویت و رمزگذاریبه این ترتیب هیچ چیز به وضوح منتقل نمی‌شود.

امنیت نقاط پایانی و دور زدن احراز هویت شده

بای‌پس احراز هویت‌شده به ترافیک کاربران یا دستگاه‌های مورد اعتماد اجازه می‌دهد تا قوانین مسدودسازی را نادیده بگیرند. مفید برای به‌روزرسانی و اسکن سرورها بدون باز کردن پورت‌ها به روی تمام دنیا.

اگر به دنبال امنیت سرتاسری در بسیاری از برنامه‌ها هستید، به جای ایجاد یک قانون برای هر کدام، ... را منتقل کنید. مجوز به لایه IPsec به همراه فهرست گروه‌های ماشین/کاربر مجاز در پیکربندی سراسری.

تسلط بر netstat برای مشاهده‌ی افراد متصل، استفاده از netsh و PowerShell برای اعمال قوانین، و مقیاس‌پذیری با IPsec یا فایروال‌های محیطی مانند FortiGate به شما امکان کنترل شبکه‌تان را می‌دهد. با فیلترهای Wi-Fi مبتنی بر CMD، مسدود کردن IP با طراحی خوب، اقدامات احتیاطی سئو و ابزارهای جایگزین در صورت نیاز به تجزیه و تحلیل عمیق‌تر، قادر خواهید بود تشخیص به موقع اتصالات مشکوک و آنها را بدون ایجاد اختلال در عملیات خود مسدود کنید.