Comment bloquer les connexions réseau suspectes depuis l'invite de commandes

¿Comment bloquer les connexions réseau suspectes depuis l'invite de commandes ? Lorsqu'un ordinateur commence à ralentir ou que vous constatez une activité réseau inhabituelle, ouvrir l'invite de commandes et utiliser des commandes est souvent la solution la plus rapide pour reprendre le contrôle. En quelques commandes seulement, vous pouvez détecter et bloquer les connexions suspectesAuditez les ports ouverts et renforcez votre sécurité sans rien installer de plus.

Dans cet article, vous trouverez un guide complet et pratique basé sur les outils natifs (CMD, PowerShell et utilitaires comme netstat et netsh). Vous verrez comment identifier les sessions étrangesQuelles métriques surveiller, comment bloquer des réseaux Wi-Fi spécifiques et comment créer des règles dans le pare-feu Windows ou même un FortiGate, tout cela est expliqué dans un langage clair et simple.

Netstat : définition, utilité et importance.

Le nom netstat vient de « network » et « statistics », et sa fonction est précisément d'offrir statistiques et états de connexion en temps réel. Il est intégré à Windows et Linux depuis les années 90, et on le trouve également dans d'autres systèmes comme macOS ou BeOS, bien que sans interface graphique.

L'exécution de cette commande dans la console vous permettra de visualiser les connexions actives, les ports utilisés, les adresses locales et distantes et, de manière générale, d'avoir une vue d'ensemble claire de ce qui se passe dans votre pile TCP/IP. analyse immédiate du réseau Il vous aide à configurer, diagnostiquer et améliorer le niveau de sécurité de votre ordinateur ou serveur.

Il est essentiel de surveiller quels appareils se connectent, quels ports sont ouverts et comment votre routeur est configuré. Avec netstat, vous obtenez également les tables de routage et statistiques par protocole qui vous guident lorsque quelque chose cloche : trafic excessif, erreurs, congestion ou connexions non autorisées.

Conseil utile : avant de lancer une analyse approfondie avec netstat, fermez toutes les applications inutiles et même Redémarrez si possibleVous éviterez ainsi les interférences et gagnerez en précision sur ce qui compte vraiment.

Impact sur les performances et bonnes pratiques d'utilisation

L'exécution de netstat en elle-même n'endommagera pas votre PC, mais une utilisation excessive ou avec trop de paramètres simultanément peut consommer beaucoup de ressources CPU et de mémoire. Si vous l'exécutez en continu ou si vous filtrez une grande quantité de données, la charge du système augmente et les performances pourraient en pâtir.

Pour minimiser son impact, limitez son utilisation à des situations spécifiques et ajustez précisément les paramètres. Si vous avez besoin d'un flux continu, évaluez des outils de surveillance plus spécifiques. Et n'oubliez pas : less is more lorsque l'objectif est d'étudier un symptôme spécifique.

• Limitez son utilisation aux moments où vous en avez vraiment besoin. afficher les connexions actives ou des statistiques.
• Filtrer précisément pour afficher uniquement les informations nécessaires.
• Évitez de programmer des exécutions à des intervalles très courts. saturer les ressources.
• Envisagez des services publics dédiés si vous recherchez surveillance en temps réel plus avancé.

Avantages et limites de l'utilisation de netstat

Netstat reste populaire auprès des administrateurs et des techniciens car il offre Visibilité immédiate des connexions et les ports utilisés par les applications. En quelques secondes, vous pouvez détecter qui communique avec qui et par quels ports.

Cela facilite également la surveillance et dépannageCongestion, goulots d'étranglement, connexions persistantes… tout cela devient évident lorsqu'on examine les statuts et les statistiques pertinents.

• Détection rapide des connexions non autorisées ou d'éventuelles intrusions.
• Suivi de session entre les clients et les serveurs pour localiser les pannes ou les latences.
• Évaluation du rendu conformément au protocole, afin de prioriser les améliorations là où elles ont le plus grand impact.

Et qu'est-ce qu'il ne fait pas si bien ? Il ne fournit aucune donnée (ce n'est pas son but), ses résultats peuvent être complexes pour les utilisateurs non techniques, et dans environnements très vastes non à l'échelle en tant que système spécialisé (SNMP, par exemple). De plus, son utilisation a diminué au profit de PowerShell et des utilitaires plus modernes avec des résultats plus clairs.

Comment utiliser netstat depuis l'invite de commandes et lire ses résultats

Ouvrez l'invite de commandes en tant qu'administrateur (Démarrer, tapez « cmd », clic droit, Exécuter en tant qu'administrateur) ou utilisez le Terminal sous Windows 11. Ensuite, saisissez : netstat Appuyez sur Entrée pour prendre la photo du moment.

Vous verrez des colonnes indiquant le protocole (TCP/UDP), les adresses locales et distantes avec leurs ports, ainsi qu'un champ d'état (ÉCOUTE, ÉTABLI, ATTENTE, etc.). Si vous souhaitez afficher les numéros de port à la place des noms de ports, exécutez la commande suivante : netstat -n pour une lecture plus directe.

Mises à jour périodiques ? Vous pouvez configurer l’actualisation pour qu’elle s’effectue toutes les X secondes à un intervalle : par exemple, netstat -n 7 Il mettra à jour les données toutes les 7 secondes pour observer les changements en temps réel.

Si vous ne vous intéressez qu'aux connexions établies, filtrez le résultat avec findstr : netstat | findstr ÉTABLIPassez à LISTENING, CLOSE_WAIT ou TIME_WAIT si vous préférez détecter d'autres états.

Paramètres netstat utiles pour l'investigation

Ces modificateurs vous permettent Reduire le bruit et concentrez-vous sur ce que vous recherchez :

• -a: affiche les connexions actives et inactives ainsi que les ports d'écoute.
• -e: statistiques des paquets d'interface (entrants/sortants).
• -f: résout et affiche les noms de domaine pleinement qualifiés (FQDN) distants.
• -n: affiche les numéros de port et d'adresse IP non résolus (plus rapidement).
• -o: ajoute le PID du processus qui maintient la connexion.
• -p X: filtres par protocole (TCP, UDP, tcpv6, tcpv4...).
• -q: requête liée aux ports d'écoute et de non-écoute.
• -sStatistiques regroupées par protocole (TCP, UDP, ICMP, IPv4/IPv6).
• -r: table de routage actuelle du système.
• -t: informations sur les connexions en cours de téléchargement.
• -xDétails de la connexion NetworkDirect.

Exemples pratiques pour la vie de tous les jours

Pour lister les ports ouverts et les connexions avec leur PID, exécutez la commande suivante : netstat -anoGrâce à ce PID, vous pouvez recouper le processus dans le Gestionnaire des tâches ou avec des outils comme TCPView.

Si vous ne vous intéressez qu'aux connexions IPv4, filtrez par protocole avec netstat -p IP et vous éviterez les nuisances sonores en sortant.

Les statistiques mondiales par protocole proviennent de netstat-sEn revanche, si vous souhaitez connaître l'activité des interfaces (envoi/réception), cela fonctionnera. netstat-e avoir des chiffres précis.

Pour résoudre un problème de résolution de noms distants, combinez netstat -f avec filtrage : par exemple, netstat -f | findstr mydomain Il ne renverra que les éléments correspondant à ce domaine.

Lorsque le Wi-Fi est lent et que netstat affiche de nombreuses connexions étranges

Un cas classique : navigation lente, test de vitesse long à démarrer mais donnant des résultats normaux, et lors de l’exécution de netstat, les résultats suivants apparaissent : des dizaines de connexions ÉTABLIESLe coupable est souvent le navigateur (Firefox, par exemple, en raison de sa façon de gérer plusieurs sockets), et même si vous fermez les fenêtres, des processus en arrière-plan peuvent continuer à maintenir des sessions.

Que faire ? Tout d'abord, s'identifier à netstat -ano Notez les PID. Vérifiez ensuite dans le Gestionnaire des tâches ou avec Process Explorer/TCPView quels processus sont associés à cette connexion. Si la connexion et le processus semblent suspects, envisagez de bloquer l'adresse IP dans le pare-feu Windows. effectuer une analyse antivirus Et, si le risque vous semble élevé, débranchez temporairement l'équipement du réseau jusqu'à ce que la situation soit plus claire.

Si le problème de la multiplication des sessions persiste après la réinstallation du navigateur, vérifiez les extensions, désactivez temporairement la synchronisation et voyez si d'autres clients (comme votre appareil mobile) sont également lents : cela indique la source du problème. problème de réseau/FAI plutôt qu'un logiciel local.

N'oubliez pas que netstat n'est pas un moniteur en temps réel, mais vous pouvez en simuler un avec netstat -n 5 Pour une actualisation toutes les 5 secondes. Si vous avez besoin d'un panneau continu et plus pratique, consultez : TCPView ou des solutions de surveillance plus spécialisées.

Bloquer des réseaux Wi-Fi spécifiques depuis l'invite de commandes

S'il existe des réseaux à proximité que vous ne souhaitez pas voir ou que votre appareil tente d'utiliser, vous pouvez filtrez-les depuis la consoleLa commande vous permet bloquer un SSID spécifique et le gérer sans toucher au panneau graphique.

Ouvrir CMD en tant qu'administrateur et utilisations :

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Après son exécution, ce réseau disparaîtra de la liste des réseaux disponibles. Pour vérifier les réseaux bloqués, lancez netsh wlan afficher les filtres permission=blockEt si vous le regrettez, supprimez-le avec :

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Bloquez les adresses IP suspectes avec le Pare-feu Windows.

Si vous constatez qu'une même adresse IP publique tente des actions suspectes contre vos services, la réponse rapide est : créer une règle qui bloque Ces connexions. Dans la console graphique, ajoutez une règle personnalisée, appliquez-la à « Tous les programmes », au protocole « Tous », spécifiez les adresses IP distantes à bloquer, cochez « Bloquer la connexion » et appliquez-la au domaine/privé/public.

Vous préférez l'automatisation ? Avec PowerShell, vous pouvez créer, modifier ou supprimer des règles sans cliquer. Par exemple, pour bloquer le trafic Telnet sortant et restreindre ensuite l'adresse IP distante autorisée, vous pouvez utiliser des règles avec Nouvelle règle NetFirewall et ensuite ajuster avec Définir-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Pour gérer les règles par groupes ou supprimer en masse les règles de blocage, utilisez Activer/Désactiver/Supprimer une règle de pare-feu réseau et dans les requêtes avec des caractères génériques ou des filtres par propriétés.

Bonnes pratiques : ne désactivez pas le service de pare-feu.

Microsoft déconseille l'arrêt du service Pare-feu (MpsSvc). Cela peut entraîner des problèmes avec le menu Démarrer, des difficultés d'installation d'applications modernes, ou d'autres dysfonctionnements. erreurs d'activation Par téléphone. Si, par mesure de précaution, vous devez désactiver des profils, faites-le au niveau de la configuration du pare-feu ou de la stratégie de groupe, mais laissez le service en fonctionnement.

Les profils (domaine/privé/public) et les actions par défaut (autoriser/bloquer) peuvent être configurés depuis la ligne de commande ou la console du pare-feu. Le maintien de ces valeurs par défaut bien définies permet d'éviter les problèmes. trous involontaires lors de la création de nouvelles règles.

FortiGate : Bloquer les tentatives de VPN SSL provenant d’adresses IP publiques suspectes

Si vous utilisez FortiGate et que vous constatez des tentatives de connexion infructueuses à votre VPN SSL depuis des adresses IP inconnues, créez un pool d'adresses (par exemple, liste noire) et ajoutez-y toutes les adresses IP conflictuelles.

Sur la console, saisissez les paramètres du VPN SSL avec configuration VPN SSL et s'applique : définir l'adresse source « blacklistipp » y activer la négation de l'adresse source. avec montrer Vous confirmez que la restriction a été appliquée. Ainsi, toute connexion provenant de ces adresses IP sera rejetée d'emblée.

Pour vérifier le trafic atteignant cette adresse IP et ce port, vous pouvez utiliser diagnostiquer le paquet de renifleur tout « hôte XXXX et port 10443 » 4, et avec obtenir un moniteur VPN SSL Vous vérifiez les sessions autorisées provenant d'adresses IP non incluses dans la liste.

Une autre façon est SSL_VPN > Restreindre l'accès > Limiter l'accès à des hôtes spécifiquesCependant, dans ce cas, le rejet intervient après la saisie des identifiants, et non immédiatement comme via la console.

Alternatives à netstat pour visualiser et analyser le trafic

Si vous recherchez plus de confort ou de précision, il existe des outils qui vous le permettent. graphismes, filtres avancés et capture en profondeur colis :

• Wireshark: capture et analyse du trafic à tous les niveaux.
• iproute2 (Linux) : utilitaires pour gérer TCP/UDP et IPv4/IPv6.
• GlassWireAnalyse de réseau avec gestion des pare-feu et accent mis sur la confidentialité.
• Moniteur de disponibilité UptrendsSurveillance et alertes continues du site.
• Germain UX: un suivi axé sur des secteurs verticaux tels que la finance ou la santé.
• AteraSuite RMM avec surveillance et accès à distance.
• Requin des nuagesAnalyse Web et partage de captures d'écran.
• iptraf / iftop (Linux) : Trafic en temps réel via une interface très intuitive.
• ss (Statistiques de socket) (Linux) : une alternative moderne et plus claire à netstat.

Le blocage des adresses IP et son impact sur le référencement naturel, ainsi que les stratégies d'atténuation

Bloquer les adresses IP agressives est logique, mais attention à… bloquer les robots des moteurs de rechercheCar vous risquez de perdre votre indexation. Le blocage géographique peut également exclure des utilisateurs légitimes (ou des VPN) et réduire votre visibilité dans certaines régions.

Mesures complémentaires : ajouter CAPTCHA Pour stopper les bots, appliquez une limitation du débit afin d'empêcher les abus et mettez en place un CDN pour atténuer les attaques DDoS en répartissant la charge sur des nœuds distribués.

Si votre hébergement utilise Apache et que le géoblocage est activé sur le serveur, vous pouvez rediriger les visites depuis un pays spécifique utilisant .htaccess avec une règle de réécriture (exemple générique) :

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Pour bloquer les adresses IP sur l'hébergement (Plesk), vous pouvez également modifier .htaccess et bloquez certaines adresses, en prenant toujours soin de sauvegarder le fichier au préalable au cas où vous auriez besoin d'annuler les modifications.

Gérez en détail le pare-feu Windows à l'aide de PowerShell et de netsh.

Au-delà de la création de règles individuelles, PowerShell vous offre un contrôle total : définir les profils par défaut, créer/modifier/supprimer des règles et même travailler avec les GPO Active Directory grâce à des sessions mises en cache afin de réduire la charge sur les contrôleurs de domaine.

Exemples rapides : création d’une règle, modification de son adresse distante, activation/désactivation de groupes entiers, etc. supprimer les règles de blocage En une seule opération. Le modèle orienté objet permet d'interroger des filtres pour les ports, les applications ou les adresses et d'enchaîner les résultats avec des pipelines.

Pour gérer des équipes à distance, appuyez-vous sur WinRM et les paramètres -CimSessionCela vous permet de lister les règles, de modifier ou de supprimer des entrées sur d'autres machines sans quitter votre console.

Des erreurs dans les scripts ? Utilisez -ErrorAction SilentlyContinue pour supprimer le message « règle introuvable » lors de la suppression, -Et qu'est-ce qui se passerait si prévisualiser et -Confirmer Si vous souhaitez une confirmation pour chaque article. Avec -Verbeux Vous recevrez plus de détails sur l'exécution.

IPsec : Authentification, chiffrement et isolation basée sur des politiques

Lorsque vous n'avez besoin que du trafic authentifié ou chiffré pour transiter, vous combinez Règles de pare-feu et d'IPsecCréez des règles de mode de transport, définissez des ensembles cryptographiques et des méthodes d'authentification, et associez-les aux règles appropriées.

Si votre partenaire exige IKEv2, vous pouvez le spécifier dans la règle IPsec avec authentification par certificat de périphérique. C'est également possible. règles de copie d'une GPO à une autre et de leurs ensembles associés pour accélérer les déploiements.

Pour isoler les membres du domaine, appliquez des règles exigeant une authentification pour le trafic entrant et sortant. Vous pouvez également exiger l'adhésion à des groupes avec les chaînes SDDL, restreignant l'accès aux utilisateurs/appareils autorisés.

Les applications non chiffrées (telles que telnet) peuvent être forcées d'utiliser IPsec si vous créez une règle de pare-feu « autoriser si sécurisé » et une politique IPsec qui Exiger une authentification et un chiffrementDe cette façon, rien ne circule clairement.

Contournement authentifié et sécurité des terminaux

Le contournement authentifié permet au trafic provenant d'utilisateurs ou d'appareils de confiance de passer outre les règles de blocage. Utile pour serveurs de mise à jour et d'analyse sans ouvrir les ports au monde entier.

Si vous recherchez une sécurité de bout en bout pour de nombreuses applications, au lieu de créer une règle pour chacune d'elles, déplacez le autorisation à la couche IPsec avec des listes de groupes de machines/utilisateurs autorisés dans la configuration globale.

La maîtrise de netstat pour identifier les connexions, l'utilisation de netsh et PowerShell pour appliquer des règles, et la mise à l'échelle avec IPsec ou des pare-feu de périmètre comme FortiGate vous permettent de contrôler votre réseau. Grâce aux filtres Wi-Fi en ligne de commande, au blocage IP bien conçu, aux précautions SEO et aux outils alternatifs pour une analyse plus approfondie, vous pourrez : détecter les connexions suspectes à temps et les bloquer sans perturber vos opérations.