Cara memblokir koneksi jaringan yang mencurigakan dari CMD

¿Bagaimana cara memblokir koneksi jaringan yang mencurigakan dari CMD? Ketika komputer mulai berjalan lambat atau Anda melihat aktivitas jaringan yang tidak biasa, membuka command prompt dan menggunakan perintah seringkali merupakan cara tercepat untuk mendapatkan kembali kendali. Hanya dengan beberapa perintah, Anda dapat mendeteksi dan memblokir koneksi yang mencurigakanAudit port yang terbuka dan perkuat keamanan Anda tanpa menginstal apa pun tambahan.

Di artikel ini, Anda akan menemukan panduan praktis dan lengkap berdasarkan alat bawaan (CMD, PowerShell, dan utilitas seperti netstat dan netsh). Anda akan melihat bagaimana mengidentifikasi sesi-sesi anehMetrik apa yang harus dipantau, cara memblokir jaringan Wi-Fi tertentu, dan cara membuat aturan di Windows Firewall atau bahkan FortiGate, semuanya dijelaskan dalam bahasa yang jelas dan lugas.

Netstat: apa itu, apa fungsinya, dan mengapa tetap menjadi kunci

Nama netstat berasal dari “jaringan” dan “statistik”, dan fungsinya justru untuk menawarkan statistik dan status koneksi secara real-time. Telah terintegrasi ke dalam Windows dan Linux sejak tahun 90-an, dan Anda juga dapat menemukannya di sistem lain seperti macOS atau BeOS, meskipun tanpa antarmuka grafis.

Menjalankannya di konsol akan memungkinkan Anda melihat koneksi aktif, port yang digunakan, alamat lokal dan jarak jauh, dan, secara umum, gambaran umum yang jelas tentang apa yang terjadi di tumpukan TCP/IP Anda. pemindaian jaringan langsung Ini membantu Anda mengonfigurasi, mendiagnosis, dan meningkatkan tingkat keamanan komputer atau server Anda.

Memantau perangkat mana yang terhubung, port mana yang terbuka, dan bagaimana router Anda dikonfigurasi sangatlah penting. Dengan netstat, Anda juga mendapatkan tabel routing dan statistik berdasarkan protokol yang memandu Anda saat terjadi sesuatu yang tidak beres: lalu lintas yang berlebihan, kesalahan, kemacetan, atau koneksi yang tidak sah.

Kiat bermanfaat: Sebelum menjalankan analisis serius dengan netstat, tutup semua aplikasi yang tidak Anda perlukan dan bahkan Mulai ulang jika memungkinkanDengan cara ini Anda akan terhindar dari kebisingan dan memperoleh ketepatan dalam hal yang benar-benar penting.

Dampak pada kinerja dan praktik terbaik untuk penggunaan

Menjalankan netstat sendiri tidak akan merusak PC Anda, tetapi menggunakannya secara berlebihan atau dengan terlalu banyak parameter sekaligus dapat menghabiskan CPU dan memori. Jika Anda menjalankannya terus-menerus atau memfilter banyak data, beban sistem meningkat dan kinerja mungkin menurun.

Untuk meminimalkan dampaknya, batasi penggunaannya pada situasi tertentu dan sesuaikan parameternya. Jika Anda membutuhkan aliran yang berkelanjutan, evaluasi alat pemantauan yang lebih spesifik. Dan ingat: lebih sedikit lebih banyak ketika tujuannya adalah untuk menyelidiki gejala tertentu.

• Batasi penggunaan pada saat Anda benar-benar membutuhkannya melihat koneksi aktif atau statistik.
• Filter secara tepat untuk menampilkan hanya informasi yang diperlukan.
• Hindari penjadwalan eksekusi pada interval yang sangat pendek yang memenuhi sumber daya.
• Pertimbangkan utilitas khusus jika Anda mencari pemantauan waktu nyata lebih maju.

Keuntungan dan keterbatasan penggunaan netstat

Netstat tetap populer di kalangan administrator dan teknisi karena menyediakan Visibilitas koneksi langsung dan port yang digunakan oleh aplikasi. Dalam hitungan detik, Anda dapat mendeteksi siapa yang berbicara dengan siapa dan melalui port mana.

Ini juga memfasilitasi pemantauan dan pemecahan masalahKemacetan, hambatan, koneksi yang terus-menerus… semuanya terungkap ketika Anda melihat status dan statistik yang relevan.

• Deteksi cepat dari koneksi yang tidak sah atau kemungkinan intrusi.
• Pelacakan sesi antara klien dan server untuk menemukan kerusakan atau latensi.
• Evaluasi kinerja berdasarkan protokol untuk memprioritaskan perbaikan yang berdampak paling besar.

Dan apa yang tidak dilakukannya dengan baik? Ia tidak menyediakan data apa pun (itu bukan tujuannya), output-nya bisa rumit bagi pengguna non-teknis, dan dalam lingkungan yang sangat besar yang tidak dapat diskalakan sebagai sistem khusus (SNMP, misalnya). Selain itu, penggunaannya telah menurun karena PowerShell dan utilitas yang lebih modern dengan keluaran yang lebih jelas.

Cara menggunakan netstat dari CMD dan membaca hasilnya

Buka CMD sebagai administrator (Mulai, ketik “cmd”, klik kanan, Jalankan sebagai administrator) atau gunakan Terminal di Windows 11. Kemudian ketik netstat dan tekan Enter untuk mendapatkan foto momen tersebut.

Anda akan melihat kolom berisi protokol (TCP/UDP), alamat lokal dan jarak jauh beserta port-nya, dan kolom status (LISTENING, ESTABLISHED, TIME_WAIT, dll.). Jika Anda menginginkan angka, bukan nama port, jalankan status bersih -n untuk pembacaan yang lebih langsung.

Pembaruan berkala? Anda dapat mengaturnya untuk menyegarkan setiap X detik dengan interval tertentu: misalnya, netstat -n 7 Output akan diperbarui setiap 7 detik untuk mengamati perubahan langsung.

Jika Anda hanya tertarik pada koneksi yang sudah ada, saring outputnya dengan findstr: netstat | findstr DIDIRIKANUbah ke LISTENING, CLOSE_WAIT atau TIME_WAIT jika Anda ingin mendeteksi status lainnya.

Parameter netstat yang berguna untuk investigasi

Pengubah ini memungkinkan Anda mengurangi kebisingan dan fokus pada apa yang Anda cari:

• -a: menunjukkan koneksi aktif dan tidak aktif serta port yang mendengarkan.
• -e: statistik paket antarmuka (masuk/keluar).
• -f: menyelesaikan dan menampilkan FQDN (nama domain yang sepenuhnya memenuhi syarat) jarak jauh.
• -n: menampilkan nomor port dan IP yang belum terselesaikan (lebih cepat).
• -o: menambahkan PID proses yang memelihara koneksi.
• -p X: filter berdasarkan protokol (TCP, UDP, tcpv6, tcpv4...).
• -q: kueri yang menghubungkan port mendengarkan dan tidak mendengarkan.
• -sStatistik dikelompokkan berdasarkan protokol (TCP, UDP, ICMP, IPv4/IPv6).
• -r: tabel perutean sistem saat ini.
• -t: informasi tentang koneksi dalam status unduhan.
• -x: Detail koneksi NetworkDirect.

Contoh praktis dalam kehidupan sehari-hari

Untuk membuat daftar port dan koneksi terbuka dengan PID-nya, jalankan status net -anoDengan PID itu Anda dapat melakukan referensi silang proses di Task Manager atau dengan alat seperti TCPView.

Jika Anda hanya tertarik pada koneksi IPv4, filter berdasarkan protokol dengan netstat -p IP dan Anda akan terhindar dari kebisingan saat keluar.

Statistik global berdasarkan protokol berasal dari status bersih -sSedangkan jika menginginkan aktivitas interface (dikirim/diterima) maka akan berfungsi status bersih -e untuk mendapatkan angka yang tepat.

Untuk melacak masalah dengan resolusi nama jarak jauh, gabungkan netstat -f dengan penyaringan: misalnya, netstat -f | findstr domainsaya Ini hanya akan mengembalikan apa yang cocok dengan domain tersebut.

Ketika Wi-Fi lambat dan netstat penuh dengan koneksi aneh

Kasus klasik: penelusuran lambat, uji kecepatan yang memerlukan waktu lama untuk memulai tetapi memberikan angka normal, dan saat menjalankan netstat, muncul hal berikut: puluhan koneksi TERBUATSeringkali penyebabnya adalah browser (Firefox, misalnya, karena caranya menangani banyak soket), dan bahkan jika Anda menutup jendela, proses latar belakang dapat terus mempertahankan sesi.

Apa yang harus dilakukan? Pertama, identifikasi dengan status net -ano Catat PID-nya. Kemudian, periksa proses-proses yang berada di baliknya di Task Manager atau Process Explorer/TCPView. Jika koneksi dan prosesnya tampak mencurigakan, pertimbangkan untuk memblokir alamat IP dari Windows Firewall. jalankan pemindaian antivirus Dan, jika risikonya tampak tinggi bagi Anda, putuskan sambungan peralatan dari jaringan untuk sementara waktu hingga keadaan menjadi aman.

Jika banjir sesi tetap ada setelah menginstal ulang browser, periksa ekstensi, nonaktifkan sinkronisasi sementara, dan lihat apakah klien lain (seperti perangkat seluler Anda) juga lambat: ini menunjukkan adanya masalah. masalah jaringan/ISP daripada perangkat lunak lokal.

Ingat bahwa netstat bukanlah monitor waktu nyata, tetapi Anda dapat mensimulasikannya dengan netstat -n 5 untuk menyegarkan setiap 5 detik. Jika Anda membutuhkan panel yang berkelanjutan dan lebih nyaman, lihatlah TCPView atau alternatif pemantauan yang lebih khusus.

Blokir jaringan Wi-Fi tertentu dari CMD

Jika ada jaringan di sekitar yang tidak ingin Anda lihat atau perangkat Anda coba gunakan, Anda dapat menyaringnya dari konsolPerintah ini memungkinkan Anda blokir SSID tertentu dan mengelolanya tanpa menyentuh panel grafis.

Buka CMD sebagai administrator dan kegunaan:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Setelah menjalankannya, jaringan tersebut akan hilang dari daftar jaringan yang tersedia. Untuk memeriksa jaringan yang telah Anda blokir, luncurkan netsh wlan tampilkan izin filter=blokirDan jika Anda menyesalinya, hapus dengan:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blokir alamat IP yang mencurigakan dengan Windows Firewall

Jika Anda mendeteksi bahwa alamat IP publik yang sama mencoba melakukan tindakan mencurigakan terhadap layanan Anda, jawaban cepatnya adalah membuat aturan yang memblokir Koneksi tersebut. Di konsol grafis, tambahkan aturan khusus, terapkan ke "Semua program", protokol "Apa pun", tentukan IP jarak jauh yang akan diblokir, centang "Blokir koneksi", dan terapkan ke domain/pribadi/publik.

Apakah Anda lebih suka otomatisasi? Dengan PowerShell, Anda dapat membuat, mengubah, atau menghapus aturan tanpa perlu mengklik. Misalnya, untuk memblokir lalu lintas Telnet keluar dan kemudian membatasi alamat IP jarak jauh yang diizinkan, Anda dapat menggunakan aturan dengan Aturan NetFirewall Baru dan kemudian sesuaikan dengan Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Untuk mengelola aturan berdasarkan grup atau menghapus aturan pemblokiran secara massal, andalkan Aktifkan/Nonaktifkan/Hapus-NetFirewallRule dan dalam kueri dengan karakter pengganti atau filter berdasarkan properti.

Praktik terbaik: Jangan nonaktifkan layanan Firewall

Microsoft menyarankan untuk tidak menghentikan layanan Firewall (MpsSvc). Hal ini dapat menyebabkan masalah menu Start, masalah saat menginstal aplikasi modern, atau masalah lainnya. kesalahan aktivasi Melalui telepon. Jika, berdasarkan kebijakan, Anda perlu menonaktifkan profil, lakukan di tingkat konfigurasi firewall atau GPO, tetapi biarkan layanan tetap berjalan.

Profil (domain/pribadi/publik) dan tindakan default (izinkan/blokir) dapat diatur melalui baris perintah atau konsol firewall. Membiarkan pengaturan default ini terdefinisi dengan baik akan mencegah lubang tak disengaja saat membuat aturan baru.

FortiGate: Blokir upaya SSL VPN dari IP publik yang mencurigakan

Jika Anda menggunakan FortiGate dan melihat upaya login yang gagal ke SSL VPN Anda dari IP yang tidak dikenal, buat kumpulan alamat (misalnya, blacklistipp) dan tambahkan semua IP yang bentrok di sana.

Di konsol, masukkan pengaturan SSL VPN dengan konfigurasi pengaturan vpn ssl dan berlaku: tetapkan alamat sumber “blacklistipp” y atur sumber-alamat-negasikan aktifkan. Dengan Menunjukkan Anda mengonfirmasi bahwa koneksi telah diterapkan. Dengan demikian, ketika seseorang masuk dari IP tersebut, koneksi akan ditolak sejak awal.

Untuk memeriksa lalu lintas yang mencapai IP dan port tersebut, Anda dapat menggunakan mendiagnosis paket sniffer apa pun “host XXXX dan port 10443” 4, dan dengan dapatkan monitor ssl vpn Anda memeriksa sesi yang diizinkan dari IP yang tidak termasuk dalam daftar.

Cara lain adalah SSL_VPN > Batasi Akses > Batasi akses ke host tertentuAkan tetapi, dalam kasus tersebut penolakan terjadi setelah memasukkan kredensial, tidak langsung seperti melalui konsol.

Alternatif untuk netstat untuk melihat dan menganalisis lalu lintas

Jika Anda mencari kenyamanan atau detail lebih, ada alat yang menyediakannya. grafis, filter canggih, dan penangkapan mendalam paket:

• Wireshark: penangkapan dan analisis lalu lintas di semua tingkatan.
• iproute2 (Linux): utilitas untuk mengelola TCP/UDP dan IPv4/IPv6.
• GlassWireAnalisis jaringan dengan manajemen firewall dan fokus pada privasi.
• Monitor Waktu Aktif Tren NaikPemantauan dan peringatan situs secara berkelanjutan.
• Germain UX: pemantauan difokuskan pada vertikal seperti keuangan atau kesehatan.
• lain:Rangkaian RMM dengan pemantauan dan akses jarak jauh.
• hiu awanAnalisis web dan berbagi tangkapan layar.
• iptraf / iftop (Linux): Lalu lintas waktu nyata melalui antarmuka yang sangat intuitif.
• ss (Statistik Soket) (Linux): alternatif netstat yang modern dan lebih jelas.

Pemblokiran IP dan dampaknya terhadap SEO, serta strategi mitigasi

Memblokir IP agresif masuk akal, tetapi berhati-hatilah dengan blokir bot mesin pencariKarena Anda bisa kehilangan pengindeksan. Pemblokiran negara juga dapat mengecualikan pengguna yang sah (atau VPN) dan mengurangi visibilitas Anda di wilayah tertentu.

Tindakan pelengkap: tambahkan CAPTCHA Untuk menghentikan bot, terapkan pembatasan kecepatan untuk mencegah penyalahgunaan dan tempatkan CDN untuk mengurangi DDoS dengan mendistribusikan beban ke seluruh node yang terdistribusi.

Jika hosting Anda menggunakan Apache dan Anda mengaktifkan pemblokiran geografis di server, Anda dapat mengalihkan kunjungan dari negara tertentu menggunakan .htaccess dengan aturan penulisan ulang (contoh umum):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Untuk memblokir IP pada hosting (Plesk), Anda juga dapat mengedit .htaccess dan menolak alamat tertentu, selalu dengan cadangan file sebelumnya apabila Anda perlu mengembalikan perubahan.

Kelola Windows Firewall secara mendalam menggunakan PowerShell dan netsh

Selain membuat aturan individual, PowerShell memberi Anda kendali penuh: tentukan profil default, membuat/memodifikasi/menghapus aturan dan bahkan bekerja terhadap GPO Direktori Aktif dengan sesi yang di-cache untuk mengurangi beban pada pengontrol domain.

Contoh cepat: membuat aturan, mengubah alamat jarak jauhnya, mengaktifkan/menonaktifkan seluruh grup, dan hapus aturan pemblokiran dalam satu gerakan. Model berorientasi objek memungkinkan kueri filter untuk port, aplikasi, atau alamat dan merangkai hasilnya dengan jalur pipa.

Untuk mengelola tim jarak jauh, andalkan MenangRM dan parameternya -Sesi CimIni memungkinkan Anda untuk membuat daftar aturan, mengubah, atau menghapus entri pada mesin lain tanpa meninggalkan konsol Anda.

Kesalahan dalam skrip? Gunakan -ErrorAction Diam-diamLanjutkan untuk menekan “aturan tidak ditemukan” saat menghapus, -Bagaimana jika untuk melihat pratinjau dan -Mengonfirmasi Jika Anda ingin konfirmasi untuk setiap item. Dengan -Bertele-tele Anda akan memiliki rincian lebih lanjut tentang eksekusi.

IPsec: Autentikasi, enkripsi, dan isolasi berbasis kebijakan

Ketika Anda hanya memerlukan lalu lintas yang diautentikasi atau dienkripsi untuk melewatinya, Anda menggabungkan Aturan Firewall dan IPsecBuat aturan moda transportasi, tentukan set kriptografi dan metode autentikasi, lalu kaitkan dengan aturan yang sesuai.

Jika mitra Anda memerlukan IKEv2, Anda dapat menentukannya dalam aturan IPsec dengan autentikasi melalui sertifikat perangkat. Hal ini juga dimungkinkan. aturan penyalinan dari satu GPO ke GPO lain dan set terkaitnya untuk mempercepat penerapan.

Untuk mengisolasi anggota domain, terapkan aturan yang mewajibkan autentikasi untuk lalu lintas masuk dan mewajibkannya untuk lalu lintas keluar. Anda juga dapat memerlukan keanggotaan dalam kelompok dengan rantai SDDL, membatasi akses ke pengguna/perangkat yang sah.

Aplikasi yang tidak terenkripsi (seperti telnet) mungkin dipaksa menggunakan IPsec jika Anda membuat aturan firewall "izinkan jika aman" dan kebijakan IPsec yang Memerlukan otentikasi dan enkripsiDengan cara itu, tidak ada yang bergerak dengan jelas.

Bypass terautentikasi dan keamanan titik akhir

Bypass terautentikasi memungkinkan lalu lintas dari pengguna atau perangkat tepercaya untuk mengabaikan aturan pemblokiran. Berguna untuk pembaruan dan pemindaian server tanpa membuka pelabuhan ke seluruh dunia.

Jika Anda mencari keamanan menyeluruh di banyak aplikasi, alih-alih membuat aturan untuk masing-masing aplikasi, pindahkan otorisasi ke lapisan IPsec dengan daftar grup mesin/pengguna yang diizinkan dalam konfigurasi global.

Menguasai netstat untuk melihat siapa yang terhubung, memanfaatkan netsh dan PowerShell untuk menegakkan aturan, dan melakukan penskalaan dengan IPsec atau firewall perimeter seperti FortiGate memberi Anda kendali atas jaringan Anda. Dengan filter Wi-Fi berbasis CMD, pemblokiran IP yang dirancang dengan baik, tindakan pencegahan SEO, dan alat alternatif saat Anda membutuhkan analisis yang lebih mendalam, Anda akan dapat mendeteksi koneksi mencurigakan tepat waktu dan memblokirnya tanpa mengganggu operasi Anda.