Hvernig á að loka fyrir grunsamlegar nettengingar frá CMD

¿Hvernig á að loka fyrir grunsamlegar nettengingar frá CMD? Þegar tölva fer að hægja á sér eða þú sérð óvenjulega netvirkni er það oft fljótlegasta leiðin til að endurheimta stjórn á því að opna skipanalínuna og nota skipanir. Með aðeins fáeinum skipunum geturðu... greina og loka fyrir grunsamlegar tengingarGerðu úttekt á opnum höfnum og styrktu öryggið þitt án þess að setja upp neitt aukalega.

Í þessari grein finnur þú ítarlega og hagnýta leiðbeiningar sem byggja á innfæddum tólum (CMD, PowerShell og tólum eins og netstat og netsh). Þú munt sjá hvernig bera kennsl á undarlegar loturHvaða mælikvarða á að fylgjast með, hvernig á að loka fyrir tiltekin Wi-Fi net og hvernig á að búa til reglur í Windows eldveggnum eða jafnvel FortiGate, allt útskýrt á skýrum og einföldum hátt.

Netstat: hvað það er, til hvers það er notað og hvers vegna það er enn lykilatriði

Nafnið netstat kemur frá „network“ og „statistics“ og hlutverk þess er einmitt að bjóða upp á tölfræði og tengingarstöður í rauntíma. Það hefur verið samþætt í Windows og Linux frá tíunda áratugnum og þú getur einnig fundið það í öðrum kerfum eins og macOS eða BeOS, þó án grafísks viðmóts.

Með því að keyra þetta í stjórnborðinu geturðu séð virkar tengingar, tengi í notkun, staðbundin og fjartengd vistföng og almennt séð skýra yfirsýn yfir hvað er að gerast í TCP/IP staflanum þínum. tafarlaus netskönnun Það hjálpar þér að stilla, greina og hækka öryggisstig tölvunnar þinnar eða netþjóns.

Það er mikilvægt að fylgjast með hvaða tæki tengjast, hvaða tengi eru opin og hvernig leiðin þín er stillt. Með netstat færðu einnig leiðartöflur og tölfræði eftir samskiptareglum sem leiðbeina þér þegar eitthvað passar ekki: mikil umferð, villur, umferðarteppur eða óheimilar tengingar.

Gagnlegt ráð: Áður en þú keyrir alvarlega greiningu með netstat skaltu loka öllum forritum sem þú þarft ekki á að halda og jafnvel Endurræsa ef mögulegt erÞannig forðast þú hávaða og öðlast nákvæmni í því sem raunverulega skiptir máli.

Áhrif á afköst og bestu starfsvenjur við notkun

Að keyra netstat í sjálfu sér mun ekki bila tölvuna þína, en að nota það óhóflega eða með of mörgum breytum í einu getur notað örgjörva og minni. Ef þú keyrir það stöðugt eða síar hafsjó af gögnum, álagið á kerfið eykst og afköst gætu orðið fyrir barðinu á því.

Til að lágmarka áhrif þess skaltu takmarka það við ákveðnar aðstæður og fínstilla breyturnar. Ef þú þarft samfellt flæði skaltu meta sértækari eftirlitstæki. Og mundu: minna er meira þegar markmiðið er að rannsaka tiltekið einkenni.

• Taktu notkunina við þær stundir sem þú þarft virkilega á henni að halda skoða virkar tengingar eða tölfræði.
• Sía nákvæmlega til að sýna aðeins nauðsynlegar upplýsingar.
• Forðastu að skipuleggja framkvæmdir með mjög stuttum millibilum sem mettaðar auðlindir.
• Íhugaðu sérhæfð veitukerfi ef þú ert að leita að rauntíma eftirlit lengra komnar.

Kostir og takmarkanir við notkun netstat

Netstat er enn vinsælt meðal stjórnenda og tæknimanna vegna þess að það býður upp á Tafarlaus sýnileiki tenginga og tengi sem forrit nota. Á nokkrum sekúndum geturðu greint hver er að tala við hvern og í gegnum hvaða tengi.

Það auðveldar líka eftirlit og bilanaleitÞrengsli, flöskuhálsar, viðvarandi tengingar ... allt kemur í ljós þegar skoðað er viðeigandi stöður og tölfræði.

• Fljótleg uppgötvun af óheimilum tengingum eða mögulegum innbrotum.
• Lotumælingar milli viðskiptavina og netþjóna til að finna hrun eða töf.
• Frammistöðumat með samskiptareglum til að forgangsraða úrbótum þar sem þær hafa mest áhrif.

Og hvað gerir það ekki svona vel? Það veitir engin gögn (það er ekki tilgangurinn), úttak þess getur verið flókið fyrir notendur sem eru ekki tæknilega kunnugir, og í mjög stórt umhverfi ekki í réttri stærðargráðu sem sérhæft kerfi (til dæmis SNMP). Ennfremur hefur notkun þess verið að minnka í þágu PowerShell og nútímalegri veitur með skýrari úttaki.

Hvernig á að nota netstat úr CMD og lesa niðurstöður þess

Opnaðu CMD sem stjórnandi (Start, skrifaðu „cmd“, hægrismelltu, Keyra sem stjórnandi) eða notaðu Terminal í Windows 11. Skrifaðu síðan netstat og ýttu á Enter til að fá mynd augnabliksins.

Þú munt sjá dálka með samskiptareglunum (TCP/UDP), staðbundnum og fjarlægum vistföngum með tengi þeirra og stöðusviði (LISTENING, ESTABLISHED, TIME_WAIT, o.s.frv.). Ef þú vilt tölur í stað tenginafna skaltu keyra netstat -n fyrir beinni lestur.

Reglulegar uppfærslur? Þú getur látið það endurnýjast á X sekúndna fresti með millibili: til dæmis, netstat -n 7 Það mun uppfæra úttakið á 7 sekúndna fresti til að fylgjast með breytingum í rauntíma.

Ef þú hefur aðeins áhuga á tengingum sem komið hefur verið á, síaðu þá úttakið með findstr: netstat | findstr STOFNAÐSkiptu yfir í LISTENING, CLOSE_WAIT eða TIME_WAIT ef þú vilt frekar greina aðrar aðstæður.

Gagnlegar netstat breytur fyrir rannsóknir

Þessir breytir leyfa þér draga úr hávaða og einbeittu þér að því sem þú ert að leita að:

• -a: sýnir virkar og óvirkar tengingar og hlustunartengi.
• -e: tölfræði um tengipakka (innkomandi/útgengandi).
• -f: leysir upp og birtir fjarlæg FQDN (fullgild lénsheiti).
• -n: sýnir óleystar tengi- og IP-númer (hraðar).
• -obætir við PID ferlisins sem viðheldur tengingunni.
• -p Xsíur eftir samskiptareglum (TCP, UDP, tcpv6, tcpv4...).
• -q: fyrirspurn um tengdar hlustandi og óhlustandi tengi.
• -sTölfræði flokkuð eftir samskiptareglum (TCP, UDP, ICMP, IPv4/IPv6).
• -rnúverandi leiðartafla kerfisins.
• -tupplýsingar um tengingar í niðurhalsástandi.
• -xUpplýsingar um NetworkDirect tengingu.

Hagnýt dæmi fyrir daglegt líf

Til að lista upp opnar tengi og tengingar með PID þeirra, keyrðu netstat -anoMeð því PID er hægt að vísa til ferlisins í Task Manager eða með tólum eins og TCPView.

Ef þú hefur aðeins áhuga á IPv4 tengingum, síaðu eftir samskiptareglum með netstat -p IP-númer og þú sparar hávaða á leiðinni út.

Alþjóðleg tölfræði eftir samskiptareglum kemur frá netstat -sHins vegar, ef þú vilt virkni viðmótanna (sent/móttekið), þá virkar það. netstat -e að hafa nákvæmar tölur.

Til að rekja vandamál með fjarlægri nafnaupplausn skaltu sameina netstat -f með síun: til dæmis, netstat -f | findstr lénið mitt Það mun aðeins skila því sem passar við það lén.

Þegar Wi-Fi er hægt og netstat er fullt af undarlegum tengingum

Klassískt tilfelli: hægfara vafranotkun, hraðapróf sem tekur smá tíma að ræsa en gefur eðlilegar tölur, og þegar netstat er keyrt birtist eftirfarandi: tugir tenginga stofnaðirOft er sökudólgurinn vafrinn (til dæmis Firefox, vegna þess hvernig hann meðhöndlar marga tengipunkta), og jafnvel þótt þú lokir gluggum geta bakgrunnsferlar haldið áfram að viðhalda lotum.

Hvað á að gera? Fyrst skaltu samsama þig við netstat -ano Taktu eftir PID-tölunum. Athugaðu síðan í Task Manager eða með Process Explorer/TCPView hvaða ferlar eru á bak við það. Ef tengingin og ferlið virðast grunsamlegt skaltu íhuga að loka fyrir IP-töluna frá Windows Firewall. keyra vírusvarnarskönnun Og ef þér finnst hættan mikil skaltu aftengja búnaðinn tímabundið frá netinu þar til hún verður ljós.

Ef flóðið af lotum heldur áfram eftir að vafrinn hefur verið settur upp aftur skaltu athuga viðbætur, slökkva tímabundið á samstillingu og sjá hvort aðrir notendur (eins og snjalltækið þitt) séu líka hægir: þetta bendir til vandamálsins. vandamál með net/internetþjónustuaðila frekar en staðbundinn hugbúnað.

Mundu að netstat er ekki rauntímaeftirlitskerfi, en þú getur hermt eftir einu með því. netstat -n 5 að endurnýja á 5 sekúndna fresti. Ef þú þarft samfellda og þægilegri spjaldsíðu, skoðaðu þá tcpview eða fleiri sérhæfðari eftirlitsvalkostir.

Lokaðu á tiltekin Wi-Fi net frá CMD

Ef það eru net í nágrenninu sem þú vilt ekki sjá eða að tækið þitt reyni að nota geturðu sía þau úr stjórnborðinuSkipunin leyfir þér loka fyrir tiltekið SSID og stjórna því án þess að snerta grafíska spjaldið.

Opna CMD sem stjórnandi og notar:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Eftir að þú hefur keyrt það mun það net hverfa af listanum yfir tiltæk net. Til að athuga hvað þú hefur lokað á skaltu ræsa netsh wlan sýna síur leyfi = blokkOg ef þú sérð eftir því, eyðið því þá með:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Lokaðu grunsamlegum IP-tölum með Windows Firewall

Ef þú tekur eftir því að sama opinbera IP-talan reynir grunsamlegar aðgerðir gegn þjónustum þínum, þá er fljótlega svarið búa til reglu sem blokkar Þessar tengingar. Í grafísku stjórnborðinu skaltu bæta við sérsniðinni reglu, beita henni á "Öll forrit", samskiptareglurnar "Hvaða sem er", tilgreina fjarlægar IP-tölur sem á að loka fyrir, haka við "Loka tengingunni" og beita henni á lén/einka/opinber.

Kýst þú sjálfvirkni? Með PowerShell geturðu búið til, breytt eða eytt reglum án þess að smella. Til dæmis, til að loka fyrir útleiðandi Telnet umferð og takmarka síðan leyfilega fjarlæga IP tölu, geturðu notað reglur með Ný-NetFirewallRule og aðlagast síðan með Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Til að stjórna reglum eftir hópum eða eyða lokunarreglum í einu lagi skaltu nota Virkja/Slökkva á/Fjarlægja-NetFirewallRule og í fyrirspurnum með algildisstöfum eða síum eftir eiginleikum.

Bestu venjur: Ekki slökkva á eldveggsþjónustunni

Microsoft ráðleggur því að stöðva eldveggsþjónustuna (MpsSvc). Það getur valdið vandamálum í upphafsvalmyndinni, vandamálum í uppsetningu nútímaforrita eða öðrum vandamálum. virkjunarvillur Í síma. Ef þú þarft, samkvæmt reglum, að slökkva á prófílum skaltu gera það á eldveggnum eða í stillingum GPO, en láta þjónustuna vera í gangi.

Hægt er að stilla prófíla (lén/einka/opinber) og sjálfgefnar aðgerðir (leyfa/blokka) úr skipanalínunni eða eldveggnum. Með því að halda þessum sjálfgefnum stillingum vel skilgreindum kemur í veg fyrir... óviljandi holur þegar verið er að búa til nýjar reglur.

FortiGate: Lokaðu fyrir SSL VPN tilraunir frá grunsamlegum opinberum IP tölum

Ef þú notar FortiGate og sérð misheppnaðar innskráningartilraunir á SSL VPN-netið þitt frá ókunnum IP-tölum, búðu þá til vistfangasafn (til dæmis, svartur listi) og bæta við öllum árekstra IP-tölum þar.

Í stjórnborðinu skaltu slá inn SSL VPN stillingarnar með stilling fyrir vpn og ssl og gildir: setja uppruna-vistfangið „blacklistipp“ y virkja negative uppruna-vistfangs. Með Sýna Þú staðfestir að þetta hafi verið notað. Þannig verður tengingunni hafnað frá upphafi þegar einhver kemur frá þessum IP-tölum.

Til að athuga umferð sem nær þeirri IP-tölu og porti geturðu notað greina sniffer pakka hvaða „hýsill XXXX og tengi 10443“ 4, og með fáðu vpn ssl skjá Þú athugar hvort leyfðar lotur séu frá IP-tölum sem eru ekki á listanum.

Önnur leið er SSL_VPN > Takmarka aðgang > Takmarka aðgang að tilteknum hýsingumHins vegar, í því tilfelli á sér höfnunin stað eftir að innskráningarupplýsingar eru slegnar inn, ekki strax eins og í gegnum stjórnborðið.

Valkostir við netstat til að skoða og greina umferð

Ef þú ert að leita að meiri þægindum eða smáatriðum, þá eru til verkfæri sem veita það. grafík, háþróaðar síur og djúp myndataka af pakka:

• WiresharkUmferðarskráning og greining á öllum stigum.
• iproute2 (Linux): tól til að stjórna TCP/UDP og IPv4/IPv6.
• GlassWireNetgreining með stjórnun eldveggja og áherslu á friðhelgi einkalífs.
• Uppstreymis spenntímaeftirlitStöðug eftirlit með vefnum og viðvaranir.
• Germain UX: eftirlit með áherslu á lóðrétta geira eins og fjármál eða heilbrigðismál.
• AteraRMM-svíta með eftirliti og fjaraðgangi.
• SkýjahákarlVefgreiningar og deiling skjámynda.
• iptraf / iftop (Linux): Rauntímaumferð í gegnum mjög innsæisríkt viðmót.
• ss (Socket Tölfræði) (Linux): nútímalegri og skýrari valkostur við netstat.

IP-blokkun og áhrif hennar á leitarvélabestun, ásamt aðferðum til að draga úr áhrifum hennar

Það er skynsamlegt að loka á árásargjarnar IP-tölur, en verið varkár með blokka leitarvélabottaVegna þess að þú gætir misst skráningu. Landsblokkun getur einnig útilokað lögmæta notendur (eða VPN) og dregið úr sýnileika þínum á ákveðnum svæðum.

Viðbótarráðstafanir: bæta við CAPTCHAs Til að stöðva vélmenni skal setja hraðatakmarkanir til að koma í veg fyrir misnotkun og setja upp CDN til að draga úr DDoS með því að dreifa álaginu á dreifða hnúta.

Ef vefþjónustan þín notar Apache og þú ert með geoblokkun virka á netþjóninum, geturðu það beina heimsóknum frá tilteknu landi með því að nota .htaccess með endurskrifunarreglu (almennt dæmi):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Til að loka fyrir IP-tölur á hýsingunni (Plesk) geturðu einnig breytt . Htaccess og hafna tilteknum netföngum, alltaf með því að taka afrit af skránni ef þú þarft að afturkalla breytingar.

Stjórnaðu Windows Firewall ítarlega með PowerShell og netsh

Auk þess að búa til einstakar reglur, gefur PowerShell þér fulla stjórn: skilgreina sjálfgefin snið, búa til/breyta/eyða reglum og jafnvel vinna gegn Active Directory GPO-um með skyndiminni til að draga úr álagi á lénsstjóra.

Stutt dæmi: að búa til reglu, breyta fjarvistfangi hennar, virkja/gera óvirka heila hópa og fjarlægja blokkunarreglur í einu vetfangi. Hlutbundna líkanið gerir kleift að leita í síum að tengi, forritum eða vistföngum og tengja niðurstöður við leiðslur.

Til að stjórna fjartengdum teymum skaltu treysta á WinRM og breyturnar -CimSessionÞetta gerir þér kleift að lista reglur, breyta eða eyða færslum á öðrum vélum án þess að fara úr stjórnborðinu þínu.

Villur í forskriftum? Notið -ErrorAction SilentlyContinue til að fella niður „regla fannst ekki“ við eyðingu, -Hvað ef til að forskoða og -Staðfesta Ef þú vilt staðfestingu fyrir hvern hlut. Með -Ítarlegt Þú munt fá nánari upplýsingar um framkvæmdina.

IPsec: Auðkenning, dulkóðun og einangrun byggð á stefnu

Þegar þú þarft aðeins staðfesta eða dulkóðaða umferð til að fara í gegn, sameinar þú Reglur um eldvegg og IPsecBúðu til reglur um flutningsmáta, skilgreindu dulritunarsett og auðkenningaraðferðir og tengdu þær viðeigandi reglum.

Ef samstarfsaðili þinn krefst IKEv2 geturðu tilgreint það í IPsec-reglunni með auðkenningu með tækjavottorði. Þetta er einnig mögulegt. afritunarreglur frá einu GPO til annars og tengdum söfnum til að flýta fyrir dreifingu.

Til að einangra lénsmeðlimi skaltu beita reglum sem krefjast auðkenningar fyrir innkomandi umferð og krefjast þess fyrir útkomandi umferð. Þú getur einnig krefjast aðildar að hópum með SDDL-keðjum, sem takmarkar aðgang við viðurkennda notendur/tæki.

Ódulkóðuð forrit (eins og telnet) gætu verið neydd til að nota IPsec ef þú býrð til eldveggsregluna „leyfa ef öruggt“ og IPsec-stefnu sem... Krefjast auðkenningar og dulkóðunarÞannig ferðast ekkert skýrt.

Staðfest framhjáhlaup og endapunktöryggi

Staðfest framhjáhlaup gerir umferð frá traustum notendum eða tækjum kleift að hnekkja lokunarreglum. Gagnlegt fyrir uppfæra og skanna netþjóna án þess að opna hafnir fyrir allan heiminn.

Ef þú ert að leita að heildstæðu öryggi í mörgum forritum, í stað þess að búa til reglu fyrir hvert og eitt, færðu heimild til IPsec lagsins með listum yfir vélar-/notendahópa sem eru leyfðir í alheimsstillingunni.

Að ná tökum á netstat til að sjá hver tengist, nýta netsh og PowerShell til að framfylgja reglum og stækka með IPsec eða jaðareldveggjum eins og FortiGate gefur þér stjórn á netinu þínu. Með CMD-byggðum Wi-Fi síum, vel hönnuðum IP-blokkum, SEO varúðarráðstöfunum og öðrum tólum þegar þú þarft ítarlegri greiningu, munt þú geta... greina grunsamleg tengsl í tæka tíð og loka fyrir þau án þess að trufla starfsemi þína.