Како да блокирате сомнителни мрежни врски од CMD

¿Како да блокирате сомнителни мрежни врски од CMD? Кога компјутерот почнува да работи бавно или забележувате необична мрежна активност, отворањето на командната линија и користењето на команди е често најбрзиот начин да ја вратите контролата. Со само неколку команди, можете откривање и блокирање на сомнителни врскиРевидирајте ги отворените порти и зајакнете ја вашата безбедност без да инсталирате ништо дополнително.

Во оваа статија ќе најдете комплетен, практичен водич базиран на нативни алатки (CMD, PowerShell и алатки како netstat и netsh). Ќе видите како идентификувајте чудни сесииКои метрики да се следат, како да се блокираат одредени Wi-Fi мрежи и како да се креираат правила во Windows Firewall или дури и во FortiGate, сето тоа објаснето на јасен и едноставен јазик.

Netstat: што е тоа, за што служи и зошто останува клучно

Името netstat доаѓа од зборовите „мрежа“ и „статистика“, а неговата функција е токму да понуди статистика и статуси на поврзување во реално време. Интегриран е во Windows и Linux од 90-тите, а можете да го најдете и во други системи како macOS или BeOS, иако без графички интерфејс.

Неговото стартување во конзолата ќе ви овозможи да ги видите активните конекции, портите што се користат, локалните и оддалечените адреси и, генерално, јасен преглед на тоа што се случува во вашиот TCP/IP стек. Имајќи го ова моментално скенирање на мрежата Ви помага да конфигурирате, дијагностицирате и подигнете го нивото на безбедност на вашиот компјутер или сервер.

Следењето кои уреди се поврзуваат, кои порти се отворени и како е конфигуриран вашиот рутер е од витално значење. Со netstat, исто така добивате табели за рутирање и статистика по протокол кои ве водат кога нешто не е во ред: прекумерен сообраќај, грешки, застој или неовластени врски.

Корисен совет: Пред да извршите сериозна анализа со netstat, затворете ги сите апликации што не ви се потребни, па дури и Рестартирајте ако е можноНа овој начин ќе избегнете бучава и ќе добиете прецизност во она што е навистина важно.

Влијание врз перформансите и најдобри практики за употреба

Самото стартување на netstat нема да го расипе вашиот компјутер, но прекумерното користење или со премногу параметри одеднаш може да ја потроши процесорската единица и меморијата. Ако го стартувате континуирано или филтрирате море од податоци, оптоварувањето на системот се зголемува и перформансите може да страдаат.

За да го минимизирате неговото влијание, ограничете го на специфични ситуации и прецизно подесете ги параметрите. Доколку ви е потребен континуиран тек, оценете поспецифични алатки за следење. И запомнете: Помалку е повеќе кога целта е да се испита специфичен симптом.

• Ограничете ја употребата на моменти кога навистина ви е потребна преглед на активни врски или статистика.
• Филтрирај прецизно за да се прикаже само потребните информации.
• Избегнувајте закажување на извршувања во многу кратки интервали кои заситени ресурси.
• Размислете за наменски комунални услуги ако барате следење во реално време понапреден.

Предности и ограничувања на користењето на netstat

Netstat останува популарен меѓу администраторите и техничарите бидејќи обезбедува Непосредна видливост на врските и порти што ги користат апликациите. За неколку секунди можете да откриете кој со кого разговара и преку кои порти.

Таа, исто така го олеснува на мониторинг и решавање проблемиЗастој, тесни грла, постојани врски… сè излегува на виделина кога ќе ги погледнете релевантните статуси и статистика.

• Брзо откривање на неовластени врски или можни упади.
• Следење на сесијата помеѓу клиентите и серверите за да се лоцираат падови или доцнења.
• Евалуација на перформансите преку протокол за да се даде приоритет на подобрувањата таму каде што имаат најголемо влијание.

И што не прави толку добро? Не дава никакви податоци (тоа не му е намена), неговиот излез може да биде сложен за корисници кои не се технички искусни, а во многу големи средини кои не се за размер како специјализиран систем (SNMP, на пример). Понатаму, неговата употреба е во опаѓање во корист на PowerShell и посовремени комунални услуги со појасни излезни податоци.

Како да се користи netstat од CMD и да се прочитаат неговите резултати

Отворете го CMD како администратор (Start, напишете „cmd“, кликнете со десното копче, Run како администратор) или користете го терминалот во Windows 11. Потоа напишете netstat и притиснете Enter за да ја добиете фотографијата од моментот.

Ќе видите колони со протоколот (TCP/UDP), локални и далечински адреси со нивните порти и поле за статус (LISTENING, ESTABLISHED, TIME_WAIT, итн.). Ако сакате броеви наместо имиња на порти, извршете нетстат -n за подиректно читање.

Периодични ажурирања? Можете да му кажете да се освежува на секои X секунди во одреден интервал: на пример, netstat -n 7 Ќе го ажурира излезот на секои 7 секунди за да ги набљудува промените во живо.

Ако сте заинтересирани само за воспоставени врски, филтрирајте го излезот со findstr: netstat | findstr ВОСПОСТАВЕНОПроменете на LISTENING, CLOSE_WAIT или TIME_WAIT ако претпочитате да детектирате други состојби.

Корисни netstat параметри за истражување

Овие модификатори ви овозможуваат намалување на бучавата и фокусирајте се на она што го барате:

• -a: прикажува активни и неактивни конекции и порти за слушање.
• -e: статистика на пакети на интерфејсот (влезни/излезни).
• -f: ги решава и прикажува оддалечените FQDN (целосно квалификувани имиња на домени).
• -n: прикажува нерешени порти и IP броеви (побрзо).
• -o: го додава PID-от на процесот што ја одржува врската.
• -p X: филтрира по протокол (TCP, UDP, tcpv6, tcpv4...).
• -q: пребарување поврзани порти за слушање и неслушање.
• -sСтатистика групирана по протокол (TCP, UDP, ICMP, IPv4/IPv6).
• -r: моментална табела за рутирање на системот.
• -t: информации за врските во состојба на преземање.
• -x: Детали за поврзувањето со NetworkDirect.

Практични примери за секојдневниот живот

За да ги наведете отворените порти и конекции со нивниот PID, извршете нетстат -аноСо тој PID можете да го споредите процесот во Task Manager или со алатки како TCPView.

Ако сте заинтересирани само за IPv4 врски, филтрирајте по протокол со netstat -p IP и ќе заштедите бучава на излегување.

Глобалната статистика по протокол доаѓа од нетстат -сДодека ако сакате активноста на интерфејсите (испратени/примени), тоа ќе работи нетстат -е за да има прецизни бројки.

За да пронајдете проблем со далечинско решавање на имиња, комбинирајте netstat -f со филтрирање: на пример, netstat -f | findstr мојот домен Ќе врати само она што се совпаѓа со тој домен.

Кога Wi-Fi е бавен, а netstat е полн со чудни врски

Класичен случај: бавно прелистување, тест за брзина кој започнува подолго време, но дава нормални бројки, а при стартување на netstat, се појавуваат следниве: десетици воспоставени врскиЧестопати виновникот е прелистувачот (на пример, Firefox, поради неговиот начин на ракување со повеќе сокети), па дури и ако ги затворите прозорците, процесите во позадина може да продолжат да одржуваат сесии.

Што да се прави? Прво, идентификувајте се со нетстат -ано Забележете ги PID-ата. Потоа проверете во Task Manager или со Process Explorer/TCPView кои процеси стојат зад нив. Ако врската и процесот ви се чинат сомнителни, размислете за блокирање на IP адресата од Windows Firewall. изврши антивирусно скенирање И, ако ризикот ви изгледа висок, привремено исклучете ја опремата од мрежата додека не стане јасно.

Ако поплавата од сесии продолжи по повторното инсталирање на прелистувачот, проверете ги екстензиите, привремено оневозможете ја синхронизацијата и видете дали другите клиенти (како вашиот мобилен уред) се исто така бавни: ова укажува на проблемот. проблем со мрежата/интернет провајдерот наместо локален софтвер.

Запомнете дека netstat не е монитор во реално време, но можете да симулирате еден со netstat -n 5 да се освежува на секои 5 секунди. Ако ви треба континуиран и попрактичен панел, погледнете го TCPView или повеќе наменски алтернативи за следење.

Блокирај специфични Wi-Fi мрежи од CMD

Доколку има мрежи во близина што не сакате да ги видите или вашиот уред да се обиде да ги користи, можете филтрирај ги од конзолатаКомандата ви овозможува блокирај одреден SSID и управувајте со него без да го допирате графичкиот панел.

Отворете CMD како администратор и користи:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Откако ќе ја стартувате, таа мрежа ќе исчезне од листата на достапни мрежи. За да проверите што сте блокирале, стартувајте netsh wlan прикажува филтри дозвола = блокИ ако се каете, избришете го со:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Блокирајте сомнителни IP адреси со Windows Firewall

Ако откриете дека истата јавна IP адреса се обидува да изврши сомнителни дејства против вашите услуги, брзиот одговор е креирај правило што блокира Тие врски. Во графичката конзола, додадете прилагодено правило, применете го на „Сите програми“, протокол „Сите“, наведете ги оддалечените IP-адреси што треба да се блокираат, означете го „Блокирај ја врската“ и применете на domain/private/public.

Дали преферирате автоматизација? Со PowerShell, можете да креирате, менувате или бришете правила без кликнување. На пример, за да го блокирате појдовниот Telnet сообраќај, а потоа да ја ограничите дозволената далечинска IP адреса, можете да користите правила со Ново-NetFirewallПравило а потоа прилагодете со Постави-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

За управување со правила по групи или групно бришење правила за блокирање, потпрете се на Овозможи/Оневозможи/Отстрани-NetFirewallRule и во барања со џокер-знаци или филтри по својства.

Најдобри практики: Не ја оневозможувајте услугата Firewall

Microsoft советува да не се запира услугата Firewall (MpsSvc). Тоа може да предизвика проблеми со менито Start, проблеми со инсталирање на модерни апликации или други проблеми. грешки во активирањето Преку телефон. Доколку, според политиката, треба да ги оневозможите профилите, направете го тоа на ниво на конфигурација на заштитен ѕид или GPO, но оставете ја услугата да работи.

Профилите (домен/приватно/јавно) и стандардните дејства (дозволи/блокира) можат да се постават од командната линија или од конзолата на заштитниот ѕид. Одржувањето на овие стандардни вредности добро дефинирани спречува неволни дупки при креирање на нови правила.

FortiGate: Блокирајте ги обидите за SSL VPN од сомнителни јавни IP адреси

Ако користите FortiGate и видите неуспешни обиди за најавување на вашата SSL VPN од непознати IP-адреси, креирајте збир на адреси (на пример, црна листа) и додадете ги сите конфликтни IP-адреси таму.

На конзолата, внесете ги поставките за SSL VPN со конфигурација на vpn ssl подесување и важи: постави изворна адреса „blacklistipp“ y постави изворна-адреса-негати овозможиСо шоу Потврдувате дека е применето. На овој начин, кога некој ќе дојде од тие IP-адреси, врската ќе биде одбиена од самиот почеток.

За да проверите сообраќајот што ја посетува таа IP адреса и порта, можете да користите дијагностицирање на пакетот за трагање кој било „домаќин XXXX и порта 10443“ 4и со добијте VPN SSL монитор Проверувате за дозволени сесии од IP-адреси што не се вклучени во листата.

Друг начин е SSL_VPN > Ограничи пристап > Ограничи пристап до одредени хостовиМеѓутоа, во тој случај, одбивањето се случува по внесувањето на акредитивите, а не веднаш како преку конзолата.

Алтернативи на netstat за прегледување и анализа на сообраќајот

Ако барате повеќе удобност или детали, постојат алатки што го обезбедуваат тоа. графика, напредни филтри и длабоко снимање на пакети:

• Вајршарк: снимање и анализа на сообраќајот на сите нивоа.
• iproute2 (Linux): алатки за управување со TCP/UDP и IPv4/IPv6.
• Стаклена жицаАнализа на мрежата со управување со заштитен ѕид и фокус на приватноста.
• Монитор за време на работа нагореКонтинуирано следење на локацијата и известувања.
• Жермен UXмониторинг фокусиран на вертикали како што се финансиите или здравството.
• АтераRMM пакет со мониторинг и далечински пристап.
• Облачна ајкулаВеб-аналитика и споделување слики од екранот.
• иптраф / ифтоп (Linux): Сообраќај во реално време преку многу интуитивен интерфејс.
• ss (Статистика на сокети) (Linux): модерна, појасна алтернатива на netstat.

Блокирањето на IP-адреси и неговото влијание врз SEO, плус стратегии за ублажување

Блокирањето на агресивни IP адреси има смисла, но бидете внимателни со тоа блокирање на ботови на пребарувачиБидејќи би можеле да го изгубите индексирањето. Блокирањето на земјите може да ги исклучи и легитимните корисници (или VPN-мрежи) и да ја намали вашата видливост во одредени региони.

Дополнителни мерки: додадете CAPTCHA-а За да ги запрете ботовите, нанесете ограничување на брзината за да спречите злоупотреба и поставете CDN за да го ублажите DDoS нападот со распределба на оптоварувањето низ дистрибуираните јазли.

Ако вашиот хостинг користи Apache и имате овозможено геоблокирање на серверот, можете пренасочување на посети од одредена земја користејќи .htaccess со правило за препишување (генерички пример):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

За да блокирате IP-адреси на хостингот (Plesk), можете исто така да уредувате .htaccess и негирајте одредени адреси, секогаш со претходна резервна копија од датотеката во случај да треба да ги вратите промените.

Детално управување со Windows Firewall користејќи PowerShell и netsh

Освен креирањето индивидуални правила, PowerShell ви дава целосна контрола: дефинирај стандардни профили, креирајте/модифицирајте/бришете правила, па дури и работете против Active Directory GPO со кеширани сесии за да го намалите оптоварувањето на контролерите на домени.

Брзи примери: креирање правило, промена на неговата далечинска адреса, овозможување/оневозможување на цели групи и отстрани ги правилата за блокирање со еден потег. Објектно-ориентираниот модел овозможува филтрирање за порти, апликации или адреси и поврзување на резултатите со цевководи.

За управување со тимови од далечина, потпрете се на WinRM и параметрите -CimSessionОва ви овозможува да наведувате правила, да менувате или бришете записи на други машини без да ја напуштите вашата конзола.

Грешки во скриптите? Користете -ErrorAction SilentlyПродолжи за да се потисне „правилото не е пронајдено“ при бришење, -Што ако за преглед и -Потврди Ако сакате потврда за секоја ставка. Со -Детален Ќе имате повеќе детали за извршувањето.

IPsec: Автентикација, енкрипција и изолација базирана на политика

Кога ви е потребен само автентициран или шифриран сообраќај за да поминете, комбинирате Правила за заштитен ѕид и IPsecКреирајте правила за режим на транспорт, дефинирајте криптографски множества и методи за автентикација и поврзете ги со соодветните правила.

Доколку на вашиот партнер му е потребен IKEv2, можете да го наведете во правилото IPsec со автентикација преку сертификат на уредот. Ова е исто така можно. правила за копирање од еден GPO до друг и нивните поврзани сетови за да се забрзаат распоредувањата.

За да ги изолирате членовите на доменот, применете правила што бараат автентикација за дојдовен сообраќај и ја бараат за појдовен сообраќај. Можете исто така бара членство во групи со SDDL синџири, ограничувајќи го пристапот на овластени корисници/уреди.

Неенкриптираните апликации (како што е телнет) може да бидат принудени да користат IPsec ако креирате правило за заштитен ѕид „дозволи ако е безбедно“ и IPsec политика што Бара автентикација и енкрипцијаНа тој начин ништо не патува јасно.

Автентифицирано заобиколување и безбедност на крајните точки

Автентицираниот бајпас му овозможува на сообраќајот од доверливи корисници или уреди да ги замени правилата за блокирање. Корисно за сервери за ажурирање и скенирање без отворање пристаништа кон целиот свет.

Ако барате целосна безбедност низ многу апликации, наместо да креирате правило за секоја од нив, преместете го овластување до IPsec слојот со листи на машини/кориснички групи дозволени во глобалната конфигурација.

Совладувањето на netstat за да видите кој се поврзува, користењето на netsh и PowerShell за спроведување правила и скалирањето со IPsec или периметарски firewall-ови како FortiGate ви дава контрола врз вашата мрежа. Со Wi-Fi филтри базирани на CMD, добро дизајнирано блокирање на IP адреси, SEO мерки на претпазливост и алтернативни алатки кога ви е потребна подетална анализа, ќе можете да откривање на сомнителни врски на време и блокирајте ги без да ги нарушите вашите операции.