Kaip blokuoti įtartinus tinklo ryšius iš CMD

¿Kaip blokuoti įtartinus tinklo ryšius iš CMD? Kai kompiuteris pradeda veikti lėtai arba pastebite neįprastą tinklo veiklą, komandinės eilutės atidarymas ir komandų naudojimas dažnai yra greičiausias būdas atgauti valdymą. Vos keliomis komandomis galite aptikti ir blokuoti įtartinus ryšiusPatikrinkite atvirus prievadus ir sustiprinkite savo saugumą neįdiegdami nieko papildomo.

Šiame straipsnyje rasite išsamų, praktinį vadovą, pagrįstą vietiniais įrankiais (CMD, „PowerShell“ ir tokiomis programomis kaip „netstat“ ir „netsh“). Pamatysite, kaip atpažinti keistus seansusKokius rodiklius stebėti, kaip blokuoti konkrečius „Wi-Fi“ tinklus ir kaip kurti taisykles „Windows“ užkardoje ar net „FortiGate“ – visa tai paaiškinta aiškiai ir suprantamai.

„Netstat“: kas tai yra, kam jis skirtas ir kodėl jis išlieka svarbus

Pavadinimas „netstat“ kilęs iš žodžių „tinklas“ ir „statistika“, o jo funkcija yra būtent pasiūlyti statistika ir ryšio būsenos realiuoju laiku. Nuo 90-ųjų jis buvo integruotas į „Windows“ ir „Linux“, jį taip pat galite rasti kitose sistemose, tokiose kaip „macOS“ ar „BeOS“, nors ir be grafinės sąsajos.

Paleidus jį konsolėje, galėsite matyti aktyvius ryšius, naudojamus prievadus, vietinius ir nuotolinius adresus ir apskritai aiškiai matyti, kas vyksta jūsų TCP/IP steke. Turėdami tai momentinis tinklo nuskaitymas Tai padeda konfigūruoti, diagnozuoti ir padidinti kompiuterio ar serverio saugos lygį.

Labai svarbu stebėti, kurie įrenginiai prisijungia, kurie prievadai yra atviri ir kaip sukonfigūruotas jūsų maršrutizatorius. Naudodami „netstat“ taip pat galite gauti maršrutizavimo lenteles ir statistika pagal protokolą kurie padeda, kai kas nors nepavyksta: per didelis srautas, klaidos, spūstys ar neteisėti ryšiai.

Naudingas patarimas: prieš atlikdami rimtą analizę naudodami „netstat“, uždarykite visas programas, kurių jums nereikia, ir netgi Jei įmanoma, paleiskite iš naujoTokiu būdu išvengsite triukšmo ir tiksliai atliksite tai, kas iš tiesų svarbu.

Poveikis našumui ir geriausia naudojimo praktika

Pats „netstat“ paleidimas nesugadins jūsų kompiuterio, tačiau per didelis jo naudojimas arba per daug parametrų vienu metu gali eikvoti procesoriaus ir atminties išteklius. Jei jį paleisite nuolat arba filtruosite daugybę duomenų, sistemos apkrova padidėja ir gali nukentėti našumas.

Kad sumažintumėte poveikį, apribokite jį konkrečiomis situacijomis ir tiksliai sureguliuokite parametrus. Jei jums reikia nepertraukiamo srauto, įvertinkite konkretesnius stebėjimo įrankius. Ir nepamirškite: mažiau yra daugiau kai tikslas yra ištirti konkretų simptomą.

• Apribokite naudojimą iki to laiko, kai to tikrai reikia peržiūrėti aktyvius ryšius arba statistika.
• Filtruokite tiksliai, kad būtų rodoma tik būtiną informaciją.
• Venkite planuoti vykdymus labai trumpais intervalais, kurie prisotinti išteklius.
• Jei ieškote, apsvarstykite specialias komunalines paslaugas stebėjimas realiu laiku labiau pažengęs.

„Netstat“ naudojimo privalumai ir trūkumai

„Netstat“ išlieka populiarus tarp administratorių ir technikų, nes teikia Tiesioginis jungčių matomumas ir programų naudojamus prievadus. Per kelias sekundes galite nustatyti, kas su kuo ir per kuriuos prievadus bendrauja.

Tai taip pat palengvina stebėjimas ir trikčių šalinimasSpūstys, kliūtys, nuolatiniai ryšiai... visa tai išryškėja peržiūrėjus atitinkamas būsenas ir statistiką.

• Greitas aptikimas apie neleistinus prisijungimus ar galimus įsilaužimus.
• Seanso stebėjimas tarp klientų ir serverių, siekiant nustatyti gedimus ar vėlavimus.
• Veiklos vertinimas pagal protokolą, kad būtų galima teikti pirmenybę patobulinimams ten, kur jie turi didžiausią poveikį.

O kas jame ne taip gerai? Jis nepateikia jokių duomenų (tai ne jo paskirtis), jo išvestis gali būti sudėtinga netechniniams vartotojams ir... labai didelės aplinkos, kurių mastelis nėra didelis kaip specializuota sistema (pavyzdžiui, SNMP). Be to, jos naudojimas mažėja, pirmenybė teikiama PowerShell " ir modernesnės komunalinės paslaugos su aiškesniais rezultatais.

Kaip naudoti „netstat“ iš CMD ir perskaityti jo rezultatus

Atidarykite CMD kaip administratorius (Pradėti, įveskite „cmd“, dešiniuoju pelės mygtuku spustelėkite, Vykdyti kaip administratorius) arba naudokite terminalą sistemoje „Windows 11“. Tada įveskite netstat ir paspauskite „Enter“, kad gautumėte akimirkos nuotrauką.

Matysite stulpelius su protokolu (TCP/UDP), vietiniais ir nuotoliniais adresais su jų prievadais ir būsenos lauku (LISTENING, ESTABLISHED, TIME_WAIT ir kt.). Jei norite skaičių vietoj prievadų pavadinimų, paleiskite netstat -n tiesioginiam skaitymui.

Periodiniai atnaujinimai? Galite nurodyti, kad jis atnaujintų kas X sekundžių tam tikru intervalu: pavyzdžiui, tinklo statistika -n 7 Jis atnaujins išvestį kas 7 sekundes, kad būtų galima stebėti tiesioginius pokyčius.

Jei jus domina tik užmegzti ryšiai, filtruokite išvestį naudodami findstr: „netstat“ | „findstr“ ĮKURTAJei norite aptikti kitas būsenas, pakeiskite į LISTENING, CLOSE_WAIT arba TIME_WAIT.

Naudingi „netstat“ parametrai tyrimui

Šie modifikatoriai leidžia jums sumažinti triukšmą ir sutelkite dėmesį į tai, ko ieškote:

• -a: rodo aktyvius ir neaktyvius ryšius bei klausymosi prievadus.
• -e: sąsajos paketų statistika (gaunamų/išsiunčiamų).
• -f: nustato ir rodo nuotolinius FQDN (pilnai kvalifikuotus domenų vardus).
• -n: rodo neišspręstus prievadų ir IP numerius (greičiau).
• -o: prideda ryšį palaikančio proceso PID.
• -p X: filtruoja pagal protokolą (TCP, UDP, tcpv6, tcpv4...).
• -q: su užklausomis susieti klausymosi ir neklausymo prievadai.
• -sStatistika sugrupuota pagal protokolą (TCP, UDP, ICMP, IPv4/IPv6).
• -r: dabartinė sistemos maršruto lentelė.
• -t: informacija apie ryšius atsisiuntimo būsenoje.
• -x: „NetworkDirect“ ryšio informacija.

Praktiniai pavyzdžiai kasdieniniam gyvenimui

Norėdami išvardyti atvirus prievadus ir ryšius su jų PID, paleiskite netstat-anoSu tuo PID galite susieti procesą užduočių tvarkytuvėje arba naudodami tokius įrankius kaip TCPView.

Jei jus domina tik IPv4 ryšiai, filtruokite pagal protokolą su tinklo statistikos IP adresas ir išeidami išvengsite triukšmo.

Pasaulinė statistika pagal protokolą gaunama iš netstat -sTuo tarpu jei norite sąsajų aktyvumo (išsiųsto/gaujamo), jis veiks netstat -e turėti tikslius skaičius.

Norėdami nustatyti nuotolinio vardų atpažinimo problemą, sujunkite tinklo statistika -f su filtravimu: pavyzdžiui, netstat -f | findstr manodomenas Bus grąžinti tik tie duomenys, kurie atitinka tą domeną.

Kai „Wi-Fi“ lėtas, o „netstat“ pilna keistų ryšių

Klasikinis atvejis: lėtas naršymas, greičio testas, kurio pradžia užtrunka, bet rodo normalius skaičius, o paleidus „netstat“, pasirodo: Užmegzta dešimtys ryšiųDažnai kaltininkė yra naršyklė (pavyzdžiui, „Firefox“ dėl savo kelių lizdų apdorojimo būdo), ir net uždarius langus, foniniai procesai gali toliau palaikyti sesijas.

Ką daryti? Pirmiausia, susitapatinkite su netstat-ano Atkreipkite dėmesį į PID. Tada užduočių tvarkytuvėje arba „Process Explorer“ / TCPView patikrinkite, kurie procesai už jų slypi. Jei ryšys ir procesas atrodo įtartini, apsvarstykite galimybę užblokuoti IP adresą nuo „Windows“ užkardos. paleisti antivirusinę programą Ir, jei rizika jums atrodo didelė, laikinai atjunkite įrangą nuo tinklo, kol ji taps aiški.

Jei po naršyklės įdiegimo iš naujo sesijų antplūdis išlieka, patikrinkite plėtinius, laikinai išjunkite sinchronizavimą ir pažiūrėkite, ar kiti klientai (pvz., jūsų mobilusis įrenginys) taip pat nėra lėti: tai rodo problemą. tinklo / interneto paslaugų teikėjo problema o ne vietinę programinę įrangą.

Atminkite, kad „netstat“ nėra realaus laiko monitorius, bet galite jį imituoti su tinklo statistika -n 5 atnaujinti kas 5 sekundes. Jei jums reikia nepertraukiamo ir patogesnio skydelio, peržiūrėkite tcpview arba specializuotos stebėjimo alternatyvos.

Blokuoti konkrečius „Wi-Fi“ tinklus iš CMD

Jei yra netoliese esančių tinklų, kurių nenorite matyti arba kurių nenorite, kad jūsų įrenginys bandytų naudoti, galite filtruokite juos iš konsolėsKomanda leidžia jums blokuoti konkretų SSID ir valdyti jį neliesdami grafinio skydelio.

Atidarykite CMD kaip administratorius ir naudoja:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Paleidus programą, tas tinklas išnyks iš galimų tinklų sąrašo. Norėdami patikrinti, ką užblokavote, paleiskite netsh wlan rodyti filtrus permission=blockIr jei gailėsitės, ištrinkite naudodami:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blokuokite įtartinus IP adresus naudodami „Windows“ užkardą

Jei aptiksite, kad tas pats viešas IP adresas bando atlikti įtartinus veiksmus prieš jūsų paslaugas, greitas atsakymas yra toks: sukurti taisyklę, kuri blokuoja Tie ryšiai. Grafinėje konsolėje pridėkite pasirinktinę taisyklę, pritaikykite ją „Visos programos“, protokolui „Bet kuris“, nurodykite blokuojamus nuotolinius IP adresus, pažymėkite „Blokuoti ryšį“ ir pritaikykite domenui / privačiam / viešajam.

Ar teikiate pirmenybę automatizavimui? Naudodami „PowerShell“ galite kurti, modifikuoti arba ištrinti taisykles nespaudinėdami. Pavyzdžiui, norėdami blokuoti išeinantį „Telnet“ srautą ir apriboti leidžiamą nuotolinį IP adresą, galite naudoti taisykles su New-NetFirewallRule ir tada pakoreguokite su Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Norėdami valdyti taisykles pagal grupes arba masiškai ištrinti blokavimo taisykles, pasikliaukite Įjungti / išjungti / pašalinti „NetFirewallRule“ taisyklę ir užklausose su pakaitos simboliais arba filtrais pagal ypatybes.

Geriausia praktika: Neišjunkite užkardos paslaugos

„Microsoft“ nerekomenduoja sustabdyti užkardos paslaugos („MpsSvc“). Tai gali sukelti problemų su meniu „Pradėti“, diegiant modernias programas ar kitomis problemomis. aktyvinimo klaidos Telefonu. Jei pagal politiką reikia išjungti profilius, tai padarykite užkardos arba GPO konfigūracijos lygmeniu, bet palikite paslaugą veikiančią.

Profilius (domenas / privatus / viešas) ir numatytuosius veiksmus (leisti / blokuoti) galima nustatyti komandinėje eilutėje arba užkardos konsolėje. Šių numatytųjų parametrų tikslus apibrėžimas apsaugo nuo... nevalingos skylės kuriant naujas taisykles.

„FortiGate“: blokuokite SSL VPN bandymus iš įtartinų viešųjų IP adresų

Jei naudojate „FortiGate“ ir matote nesėkmingus prisijungimo prie SSL VPN bandymus iš nepažįstamų IP adresų, sukurkite adresų telkinį (pvz., juodasis sąrašas) ir pridėkite ten visus konfliktuojančius IP adresus.

Konsolėje įveskite SSL VPN nustatymus naudodami VPN ir SSL konfigūravimas ir taikoma: nustatyti šaltinio adresą „juodasis sąrašas“ y nustatyti šaltinio adreso neigimo įjungimą, Su Parodyti Jūs patvirtinate, kad tai buvo pritaikyta. Tokiu būdu, kai kas nors prisijungs iš tų IP adresų, ryšys bus atmestas nuo pat pradžių.

Norėdami patikrinti srautą, pasiekiantį tą IP adresą ir prievadą, galite naudoti diagnozuoti šnipinėjimo paketą bet kurį „host XXXX ir port 10443“ 4ir su Gaukite VPN SSL monitorių Jūs patikrinate leidžiamas sesijas iš IP adresų, kurie nėra įtraukti į sąrašą.

Kitas būdas yra SSL_VPN > Apriboti prieigą > Apriboti prieigą prie konkrečių pagrindinių kompiuteriųTačiau tokiu atveju atmetimas įvyksta įvedus prisijungimo duomenis, o ne iš karto, kaip per konsolę.

„Netstat“ alternatyvos srauto peržiūrai ir analizei

Jei ieškote daugiau komforto ar detalių, yra įrankių, kurie tai suteikia. grafika, išplėstiniai filtrai ir gilus fiksavimas pakuočių:

• wireshark: srauto fiksavimas ir analizė visais lygmenimis.
• iproute2 (Linux): TCP/UDP ir IPv4/IPv6 valdymo priemonės.
• GlassWireTinklo analizė su užkardos valdymu ir dėmesiu privatumui.
• „Uptrends“ veikimo laiko monitoriusNuolatinis objekto stebėjimas ir įspėjimai.
• Germain UXstebėsena, orientuota į tokias vertikales kaip finansai ar sveikatos apsauga.
• ateraRMM paketas su stebėjimo ir nuotolinės prieigos funkcija.
• Debesų ryklysŽiniatinklio analizė ir ekrano kopijų bendrinimas.
• iptraf / iftop (Linux): Eismo stebėjimas realiuoju laiku per labai intuityvią sąsają.
• ss (lizdo statistika) (Linux): moderni, aiškesnė „netstat“ alternatyva.

IP blokavimas ir jo poveikis SEO, taip pat mažinimo strategijos

Agresyvių IP adresų blokavimas yra prasmingas, tačiau būkite atsargūs blokuoti paieškos sistemų robotusNes galite prarasti indeksavimą. Šalies blokavimas taip pat gali neįtraukti teisėtų vartotojų (arba VPN) ir sumažinti jūsų matomumą tam tikruose regionuose.

Papildomos priemonės: pridėti CAPTCHA Norėdami sustabdyti robotus, taikykite tarifų ribojimą, kad išvengtumėte piktnaudžiavimo, ir įdiekite CDN, kad sumažintumėte DDoS ataką paskirstydami apkrovą paskirstytuose mazguose.

Jei jūsų priegloba naudoja „Apache“ ir serveryje įjungtas geografinis blokavimas, galite nukreipti apsilankymus iš konkrečios šalies naudojant .htaccess su perrašymo taisykle (bendrinis pavyzdys):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Norėdami blokuoti IP adresus priegloboje („Plesk“), taip pat galite redaguoti .htaccess ir atmesti konkrečius adresus, visada su išankstine failo atsargine kopija, jei reikėtų atšaukti pakeitimus.

Išsamiai tvarkykite „Windows“ užkardą naudodami „PowerShell“ ir „netsh“

Be individualių taisyklių kūrimo, „PowerShell“ suteikia jums visišką kontrolę: apibrėžti numatytuosius profilius, kurti / modifikuoti / ištrinti taisykles ir netgi dirbti su „Active Directory“ GPO su talpykloje saugomais seansais, siekiant sumažinti domeno valdiklių apkrovą.

Greiti pavyzdžiai: taisyklės sukūrimas, jos nuotolinio adreso keitimas, ištisų grupių įjungimas / išjungimas ir pašalinti blokavimo taisykles vienu ypu. Objektinis modelis leidžia užklausti filtrus pagal prievadus, programas ar adresus ir susieti rezultatus su srautais.

Norėdami valdyti nuotolines komandas, pasikliaukite „WinRM“ ir parametrai -CimSessionTai leidžia jums išvardyti taisykles, modifikuoti arba ištrinti įrašus kituose kompiuteriuose neišeinant iš konsolės.

Klaidos scenarijuose? Naudokite -ErrorAction TyliaiTęsti kad ištrinant nerastų klaidos „taisyklė nerasta“, -Kas, jeigu peržiūrėti ir -Patvirtinti Jei norite gauti kiekvieno elemento patvirtinimą. Su - Daugiakalbis Turėsite daugiau informacijos apie vykdymą.

IPsec: autentifikavimas, šifravimas ir politika pagrįsta izoliacija

Kai reikia perduoti tik autentifikuotą arba užšifruotą srautą, jūs sujungiate Ugniasienės ir IPsec taisyklėsSukurkite transportavimo režimo taisykles, apibrėžkite kriptografinius rinkinius ir autentifikavimo metodus ir susiekite juos su atitinkamomis taisyklėmis.

Jei jūsų partneriui reikalingas IKEv2, galite jį nurodyti IPsec taisyklėje su autentifikavimu pagal įrenginio sertifikatą. Tai taip pat įmanoma. kopijavimo taisyklės iš vieno GPO į kitą ir su jais susijusius rinkinius, siekiant paspartinti diegimą.

Norėdami izoliuoti domeno narius, taikykite taisykles, kurios reikalauja autentifikavimo tiek gaunamam, tiek išeinančiam srautui. Taip pat galite reikalauti narystės grupėse su SDDL grandinėmis, ribojant prieigą tik įgaliotiems vartotojams / įrenginiams.

Neužšifruotos programos (pvz., „Telnet“) gali būti priverstos naudoti IPsec, jei sukuriate užkardos taisyklę „leisti, jei saugu“ ir IPsec politiką, kuri Reikalauti autentifikavimo ir šifravimoTokiu būdu niekas nekeliauja aiškiai.

Autentifikuotas apėjimas ir galinių taškų apsauga

Autentifikuotas apėjimas leidžia srautui iš patikimų vartotojų ar įrenginių nepaisyti blokavimo taisyklių. Naudinga atnaujinti ir nuskaityti serverius neatveriant uostų visam pasauliui.

Jei ieškote visapusiško saugumo daugelyje programų, užuot kūrę taisyklę kiekvienai iš jų, perkelkite autorizacija IPsec sluoksniui su visuotinėje konfigūracijoje leidžiamų mašinų / naudotojų grupių sąrašais.

Įvaldę „netstat“, kad pamatytumėte, kas prisijungia, naudodami „netsh“ ir „PowerShell“ taisyklėms užtikrinti ir mastelio keitimą naudojant IPsec arba perimetro užkardas, tokias kaip „FortiGate“, galite valdyti savo tinklą. Naudodami CMD pagrįstus „Wi-Fi“ filtrus, gerai suprojektuotą IP blokavimą, SEO atsargumo priemones ir alternatyvius įrankius, kai reikia išsamesnės analizės, galėsite... laiku aptikti įtartinus ryšius ir blokuoti juos netrikdant savo veiklos.