Come bloccare le connessioni di rete sospette dal CMD

¿Come bloccare le connessioni di rete sospette dal CMD? Quando un computer inizia a funzionare lentamente o si nota un'attività di rete insolita, aprire il prompt dei comandi e utilizzare i comandi è spesso il modo più rapido per riprendere il controllo. Con pochi comandi, è possibile rilevare e bloccare connessioni sospetteControlla le porte aperte e rafforza la tua sicurezza senza installare nulla di extra.

In questo articolo troverete una guida completa e pratica basata su strumenti nativi (CMD, PowerShell e utilità come netstat e netsh). Vedrete come identificare sessioni straneQuali metriche monitorare, come bloccare reti Wi-Fi specifiche e come creare regole nel firewall di Windows o persino in un FortiGate, il tutto spiegato in un linguaggio chiaro e diretto.

Netstat: cos'è, a cosa serve e perché rimane fondamentale

Il nome netstat deriva da “network” e “statistics”, e la sua funzione è proprio quella di offrire statistiche e stati di connessione in tempo reale. È integrato in Windows e Linux fin dagli anni '90, e lo si può trovare anche in altri sistemi come macOS o BeOS, sebbene senza un'interfaccia grafica.

Eseguendolo nella console potrai vedere le connessioni attive, le porte in uso, gli indirizzi locali e remoti e, in generale, una chiara panoramica di ciò che sta accadendo nel tuo stack TCP/IP. Avere questo scansione immediata della rete Ti aiuta a configurare, diagnosticare e aumentare il livello di sicurezza del tuo computer o server.

Monitorare quali dispositivi si connettono, quali porte sono aperte e come è configurato il router è fondamentale. Con netstat, è anche possibile ottenere tabelle di routing e statistiche per protocollo che ti guidano quando qualcosa non torna: traffico eccessivo, errori, congestione o connessioni non autorizzate.

Suggerimento utile: prima di eseguire un'analisi seria con netstat, chiudi tutte le applicazioni che non ti servono e anche Riavviare se possibileIn questo modo eviterai il rumore e otterrai precisione in ciò che conta davvero.

Impatto sulle prestazioni e migliori pratiche per l'uso

Eseguire netstat di per sé non danneggerà il PC, ma usarlo eccessivamente o con troppi parametri contemporaneamente può consumare CPU e memoria. Se lo si esegue continuamente o si filtra un mare di dati, il carico del sistema aumenta e le prestazioni potrebbero risentirne.

Per minimizzarne l'impatto, limitatelo a situazioni specifiche e perfezionate i parametri. Se avete bisogno di un flusso continuo, valutate strumenti di monitoraggio più specifici. E ricordate: meno è di più quando l'obiettivo è indagare un sintomo specifico.

• Limita l'utilizzo ai momenti in cui ne hai realmente bisogno visualizza le connessioni attive o statistiche.
• Filtra con precisione per mostrare solo le informazioni necessarie.
• Evitare di pianificare esecuzioni a intervalli molto brevi che saturare le risorse.
• Considera le utility dedicate se stai cercando monitoraggio in tempo reale più avanza.

Vantaggi e limitazioni dell'utilizzo di netstat

Netstat rimane popolare tra gli amministratori e i tecnici perché fornisce Visibilità immediata delle connessioni e porte utilizzate dalle applicazioni. In pochi secondi puoi scoprire chi sta comunicando con chi e attraverso quali porte.

Facilita anche il monitoraggio e risoluzione dei problemiCongestione, colli di bottiglia, connessioni persistenti... tutto emerge quando si esaminano gli stati e le statistiche pertinenti.

• Rilevamento rapido di connessioni non autorizzate o possibili intrusioni.
• Monitoraggio della sessione tra client e server per individuare arresti anomali o latenze.
• Valutazione delle prestazioni tramite protocollo per dare priorità ai miglioramenti laddove hanno il maggiore impatto.

E cosa non fa così bene? Non fornisce dati (non è questo il suo scopo), il suo output può essere complesso per gli utenti non tecnici e, in ambienti molto grandi non in scala come sistema specializzato (SNMP, ad esempio). Inoltre, il suo utilizzo è in declino a favore di PowerShell e utilità più moderne con output più chiari.

Come usare netstat da CMD e leggerne i risultati

Aprire CMD come amministratore (Start, digitare "cmd", fare clic con il pulsante destro del mouse, Esegui come amministratore) o utilizzare Terminale in Windows 11. Quindi digitare netstat e premi Invio per ottenere la foto del momento.

Vedrai colonne con il protocollo (TCP/UDP), indirizzi locali e remoti con le loro porte e un campo di stato (LISTENING, ESTABLISHED, TIME_WAIT, ecc.). Se desideri numeri invece dei nomi delle porte, esegui comando netstat -n per una lettura più diretta.

Aggiornamenti periodici? Puoi dirgli di aggiornarsi ogni X secondi a intervalli: ad esempio, netstat -n 7 L'output verrà aggiornato ogni 7 secondi per osservare le modifiche in tempo reale.

Se sei interessato solo alle connessioni stabilite, filtra l'output con findstr: netstat | findstr STABILITOSe preferisci rilevare altri stati, cambia in LISTENING, CLOSE_WAIT o TIME_WAIT.

Parametri netstat utili per l'indagine

Questi modificatori ti consentono ridurre il rumore e concentrati su ciò che stai cercando:

• -a: mostra le connessioni attive e inattive e le porte di ascolto.
• -e: statistiche dei pacchetti di interfaccia (in entrata/in uscita).
• -f: risolve e visualizza i nomi di dominio completi (FQDN) remoti.
• -n: visualizza i numeri di porta e IP non risolti (più veloce).
• -o: aggiunge il PID del processo che mantiene la connessione.
• -p X: filtri per protocollo (TCP, UDP, tcpv6, tcpv4...).
• -q: interroga le porte collegate in ascolto e non in ascolto.
• -sStatistiche raggruppate per protocollo (TCP, UDP, ICMP, IPv4/IPv6).
• -r: tabella di routing corrente del sistema.
• -t: informazioni sulle connessioni in stato di download.
• -x: Dettagli della connessione NetworkDirect.

Esempi pratici per la vita di tutti i giorni

Per elencare le porte aperte e le connessioni con il loro PID, eseguire netstat -anoCon quel PID è possibile effettuare un riferimento incrociato del processo nel Task Manager o con strumenti come TCPView.

Se sei interessato solo alle connessioni IPv4, filtra per protocollo con netstat -p IP e risparmierai rumore all'uscita.

Le statistiche globali per protocollo provengono da netstat -sMentre se vuoi l'attività delle interfacce (inviate/ricevute) funzionerà netstat -e per avere numeri precisi.

Per individuare un problema con la risoluzione dei nomi remoti, combinare netstat -f con filtraggio: ad esempio, netstat -f | findstr miodominio Verrà restituito solo ciò che corrisponde a quel dominio.

Quando il Wi-Fi è lento e netstat è pieno di strane connessioni

Un caso classico: navigazione lenta, un test di velocità che impiega un po' di tempo ad avviarsi ma fornisce valori normali e, quando si esegue netstat, appare quanto segue: decine di connessioni STABILITESpesso il colpevole è il browser (Firefox, ad esempio, per il suo modo di gestire più socket) e anche se si chiudono le finestre, i processi in background potrebbero continuare a gestire le sessioni.

Cosa fare? Per prima cosa, identificarsi con netstat -ano Annota i PID. Quindi controlla in Task Manager o con Process Explorer/TCPView quali processi sono presenti. Se la connessione e il processo sembrano sospetti, valuta la possibilità di bloccare l'indirizzo IP dal firewall di Windows. eseguire una scansione antivirus E se il rischio ti sembra elevato, scollega temporaneamente l'apparecchiatura dalla rete finché la situazione non diventa chiara.

Se il flusso di sessioni persiste dopo aver reinstallato il browser, controlla le estensioni, disattiva temporaneamente la sincronizzazione e verifica se anche altri client (come il tuo dispositivo mobile) sono lenti: questo indica il problema. problema di rete/ISP piuttosto che software locale.

Ricorda che netstat non è un monitor in tempo reale, ma puoi simularne uno con netstat -n 5 per aggiornarsi ogni 5 secondi. Se hai bisogno di un pannello continuo e più comodo, dai un'occhiata a TCPView o alternative di monitoraggio più dedicate.

Blocca reti Wi-Fi specifiche dal CMD

Se ci sono reti nelle vicinanze che non vuoi vedere o che il tuo dispositivo non vuole provare a utilizzare, puoi filtrarli dalla consoleIl comando ti consente bloccare un SSID specifico e gestirlo senza toccare il pannello grafico.

Apri CMD come amministratore e utilizza:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Dopo averlo eseguito, la rete scomparirà dall'elenco delle reti disponibili. Per verificare cosa hai bloccato, avvia netsh wlan mostra filtri permesso=bloccoE se te ne penti, cancellalo con:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blocca gli indirizzi IP sospetti con Windows Firewall

Se rilevi che lo stesso indirizzo IP pubblico sta tentando azioni sospette contro i tuoi servizi, la risposta rapida è creare una regola che blocca Quelle connessioni. Nella console grafica, aggiungi una regola personalizzata, applicala a "Tutti i programmi", protocollo "Qualsiasi", specifica gli IP remoti da bloccare, seleziona "Blocca la connessione" e applicala a dominio/privato/pubblico.

Preferisci l'automazione? Con PowerShell puoi creare, modificare o eliminare regole senza cliccare. Ad esempio, per bloccare il traffico Telnet in uscita e quindi limitare l'indirizzo IP remoto consentito, puoi utilizzare regole con Nuova regola NetFirewall e poi regolare con Imposta-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Per gestire le regole per gruppi o eliminare le regole di blocco in blocco, affidati a Abilita/Disabilita/Rimuovi-NetFirewallRule e nelle query con caratteri jolly o filtri per proprietà.

Procedure consigliate: non disabilitare il servizio Firewall

Microsoft sconsiglia di interrompere il servizio Firewall (MpsSvc). Ciò potrebbe causare problemi con il menu Start, problemi di installazione di app moderne o altri problemi. errori di attivazione Per telefono. Se, per motivi di policy, è necessario disattivare i profili, è possibile farlo a livello di configurazione del firewall o del GPO, ma lasciare il servizio in esecuzione.

I profili (dominio/privato/pubblico) e le azioni predefinite (consenti/blocca) possono essere impostati dalla riga di comando o dalla console del firewall. Mantenere queste impostazioni predefinite ben definite impedisce buchi involontari quando si creano nuove regole.

FortiGate: blocca i tentativi di SSL VPN da IP pubblici sospetti

Se utilizzi FortiGate e riscontri tentativi di accesso non riusciti alla tua VPN SSL da IP non familiari, crea un pool di indirizzi (ad esempio, lista nera) e aggiungi tutti gli IP in conflitto.

Sulla console, immettere le impostazioni SSL VPN con configurazione impostazione VPN SSL e si applica: imposta l'indirizzo sorgente "blacklistipp" y imposta l'abilitazione di negazione dell'indirizzo sorgente. Con a mostrare attraverso le sue creazioni Confermi che è stato applicato. In questo modo, quando qualcuno proviene da quegli IP, la connessione verrà rifiutata fin dall'inizio.

Per controllare il traffico che colpisce quell'IP e quella porta, puoi usare diagnosticare il pacchetto sniffer "host XXXX e porta 10443" 4e con ottenere il monitor VPN SSL Si controllano le sessioni consentite da IP non inclusi nell'elenco.

Un altro modo è SSL_VPN > Limita accesso > Limita l'accesso a host specificiIn tal caso, però, il rifiuto avviene dopo l'inserimento delle credenziali e non immediatamente come avviene tramite console.

Alternative a netstat per visualizzare e analizzare il traffico

Se cerchi maggiore comfort o dettagli, esistono strumenti che li forniscono. grafica, filtri avanzati e acquisizione profonda di pacchetti:

• Wireshark: acquisizione e analisi del traffico a tutti i livelli.
• iproute2 (Linux): utilità per la gestione di TCP/UDP e IPv4/IPv6.
• GlassWireAnalisi di rete con gestione del firewall e attenzione alla privacy.
• Monitoraggio del tempo di attività dei trend rialzistiMonitoraggio continuo del sito e avvisi.
• Germain UX: monitoraggio focalizzato su settori verticali quali finanza o sanità.
• AteraSuite RMM con monitoraggio e accesso remoto.
• Squalo nuvolaAnalisi web e condivisione di screenshot.
• iptraf / iftop (Linux): Traffico in tempo reale tramite un'interfaccia molto intuitiva.
• ss (statistiche socket) (Linux): un'alternativa moderna e più chiara a netstat.

Blocco IP e il suo effetto sulla SEO, oltre a strategie di mitigazione

Bloccare gli IP aggressivi ha senso, ma fai attenzione bloccare i bot dei motori di ricercaPerché potresti perdere l'indicizzazione. Il blocco per Paese può anche escludere utenti legittimi (o VPN) e ridurre la tua visibilità in determinate regioni.

Misure complementari: aggiungere CAPTCHA Per fermare i bot, applicare un limite di velocità per prevenire abusi e posizionare una CDN per mitigare gli attacchi DDoS distribuendo il carico tra i nodi distribuiti.

Se il tuo hosting utilizza Apache e hai abilitato il blocco geografico sul server, puoi reindirizzare le visite da un paese specifico utilizzando .htaccess con una regola di riscrittura (esempio generico):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Per bloccare gli IP sull'hosting (Plesk), puoi anche modificare .htaccess e negare indirizzi specifici, sempre con un backup preventivo del file nel caso in cui sia necessario annullare le modifiche.

Gestire Windows Firewall in modo approfondito utilizzando PowerShell e netsh

Oltre a creare singole regole, PowerShell ti offre il controllo completo: definire profili predefiniti, creare/modificare/eliminare regole e persino lavorare con GPO di Active Directory con sessioni memorizzate nella cache per ridurre il carico sui controller di dominio.

Esempi rapidi: creazione di una regola, modifica del suo indirizzo remoto, abilitazione/disabilitazione di interi gruppi e rimuovere le regole di blocco in un colpo solo. Il modello orientato agli oggetti consente di interrogare filtri per porte, applicazioni o indirizzi e di concatenare i risultati con pipeline.

Per gestire team remoti, affidati a Gestione remota Windows e i parametri -CimSessionCiò consente di elencare le regole, modificare o eliminare voci su altri computer senza uscire dalla console.

Errori negli script? Usa -ErrorAction Continua silenziosamente per sopprimere "regola non trovata" durante l'eliminazione, -Cosa succede se per visualizzare in anteprima e -Confermare Se desideri una conferma per ogni articolo. Con -Verboso Avrete maggiori dettagli sull'esecuzione.

IPsec: autenticazione, crittografia e isolamento basato su policy

Quando è necessario che passi solo traffico autenticato o crittografato, si combina Regole firewall e IPsecCreare regole per la modalità di trasporto, definire set crittografici e metodi di autenticazione e associarli alle regole appropriate.

Se il tuo partner richiede IKEv2, puoi specificarlo nella regola IPsec con autenticazione tramite certificato del dispositivo. Anche questo è possibile. regole di copia da un GPO all'altro e i relativi set associati per accelerare le distribuzioni.

Per isolare i membri del dominio, applica regole che richiedono l'autenticazione per il traffico in entrata e la richiedono per il traffico in uscita. Puoi anche richiedono l'appartenenza a gruppi con catene SDDL, limitando l'accesso agli utenti/dispositivi autorizzati.

Le applicazioni non crittografate (come telnet) potrebbero essere costrette a utilizzare IPsec se si crea una regola firewall "consenti se sicuro" e un criterio IPsec che Richiede autenticazione e crittografiaIn questo modo nulla viaggia in modo chiaro.

Bypass autenticato e sicurezza degli endpoint

Il bypass autenticato consente al traffico proveniente da utenti o dispositivi attendibili di ignorare le regole di blocco. Utile per aggiornamento e scansione dei server senza aprire le porte al mondo intero.

Se stai cercando una sicurezza end-to-end su più app, invece di creare una regola per ciascuna, sposta il autorizzazione al livello IPsec con elenchi di gruppi di macchine/utenti consentiti nella configurazione globale.

Padroneggiare netstat per vedere chi si connette, sfruttare netsh e PowerShell per applicare le regole e scalare con IPsec o firewall perimetrali come FortiGate ti dà il controllo della tua rete. Con filtri Wi-Fi basati su CMD, blocchi IP ben progettati, precauzioni SEO e strumenti alternativi quando hai bisogno di analisi più approfondite, sarai in grado di: rilevare in tempo connessioni sospette e bloccarli senza interrompere le tue operazioni.