Slik blokkerer du mistenkelige nettverkstilkoblinger fra CMD

¿Hvordan blokkere mistenkelige nettverkstilkoblinger fra CMD? Når en datamaskin begynner å kjøre sakte, eller du ser uvanlig nettverksaktivitet, er det ofte den raskeste måten å få tilbake kontrollen ved å åpne ledeteksten og bruke kommandoer. Med bare noen få kommandoer kan du oppdage og blokkere mistenkelige forbindelserRevider åpne porter og styrk sikkerheten din uten å installere noe ekstra.

I denne artikkelen finner du en komplett, praktisk guide basert på innebygde verktøy (CMD, PowerShell og verktøy som netstat og netsh). Du vil se hvordan identifisere merkelige økterHvilke målinger som skal overvåkes, hvordan man blokkerer spesifikke Wi-Fi-nettverk, og hvordan man oppretter regler i Windows-brannmuren eller til og med en FortiGate, alt forklart på et klart og greit språk.

Netstat: hva det er, hva det er til for, og hvorfor det fortsatt er viktig

Navnet netstat kommer fra «nettverk» og «statistikk», og funksjonen er nettopp å tilby statistikk og tilkoblingsstatuser i sanntid. Den har vært integrert i Windows og Linux siden 90-tallet, og du kan også finne den i andre systemer som macOS eller BeOS, men uten et grafisk grensesnitt.

Hvis du kjører den i konsollen, kan du se aktive tilkoblinger, porter i bruk, lokale og eksterne adresser, og generelt sett en klar oversikt over hva som skjer i TCP/IP-stakken din. Å ha dette umiddelbar nettverksskanning Det hjelper deg med å konfigurere, diagnostisere og heve sikkerhetsnivået til datamaskinen eller serveren din.

Det er viktig å overvåke hvilke enheter som kobles til, hvilke porter som er åpne og hvordan ruteren din er konfigurert. Med netstat får du også rutingtabeller og statistikk etter protokoll som veileder deg når noe ikke stemmer: overdreven trafikk, feil, overbelastning eller uautoriserte tilkoblinger.

Nyttig tips: Før du kjører en seriøs analyse med netstat, lukk alle applikasjoner du ikke trenger, og til og med Start på nytt hvis muligPå denne måten unngår du støy og får presisjon i det som virkelig betyr noe.

Innvirkning på ytelse og beste praksis for bruk

Å kjøre netstat i seg selv vil ikke ødelegge PC-en din, men å bruke det for mye eller med for mange parametere samtidig kan bruke CPU og minne. Hvis du kjører det kontinuerlig eller filtrerer et hav av data, systembelastningen øker og ytelsen kan bli lidende.

For å minimere virkningen, begrens den til spesifikke situasjoner og finjuster parameterne. Hvis du trenger en kontinuerlig flyt, vurder mer spesifikke overvåkingsverktøy. Og husk: mindre er mer når målet er å undersøke et spesifikt symptom.

• Begrens bruken til tider du virkelig trenger det se aktive tilkoblinger eller statistikk.
• Filtrer presist for å vise bare den nødvendige informasjonen.
• Unngå å planlegge utførelser med svært korte intervaller som mettede ressurser.
• Vurder dedikerte verktøy hvis du er ute etter sanntidsovervåking mer avanzada.

Fordeler og begrensninger ved bruk av netstat

Netstat er fortsatt populært blant administratorer og teknikere fordi det tilbyr Umiddelbar synlighet av forbindelser og porter som brukes av applikasjoner. På sekunder kan du oppdage hvem som snakker med hvem og gjennom hvilke porter.

Det letter også overvåking og feilsøkingOverbelastning, flaskehalser, vedvarende forbindelser … alt kommer frem i lyset når du ser på relevante statuser og statistikk.

• Rask deteksjon av uautoriserte tilkoblinger eller mulige inntrenginger.
• Øktsporing mellom klienter og servere for å finne krasj eller forsinkelser.
• Evaluering av framføring etter protokoll for å prioritere forbedringer der de har størst innvirkning.

Og hva gjør den ikke så bra? Den gir ingen data (det er ikke hensikten), resultatet kan være komplekst for ikke-tekniske brukere, og i veldig store miljøer som ikke skaleres som et spesialisert system (for eksempel SNMP). Videre har bruken av det gått ned til fordel for PowerShell og mer moderne verktøy med tydeligere resultater.

Slik bruker du netstat fra CMD og leser resultatene

Åpne CMD som administrator (Start, skriv «cmd», høyreklikk, Kjør som administrator) eller bruk Terminal i Windows 11. Skriv deretter inn netstat og trykk Enter for å få øyeblikkets bilde.

Du vil se kolonner med protokollen (TCP/UDP), lokale og eksterne adresser med portene deres, og et statusfelt (LYTTER, ETABLERT, VENTETID osv.). Hvis du vil ha tall i stedet for portnavn, kjør netstat -n for en mer direkte lesning.

Periodiske oppdateringer? Du kan angi at den skal oppdateres hvert X sekund med et intervall: for eksempel, nettstat -n 7 Den vil oppdatere utgangen hvert 7. sekund for å observere endringer i sanntid.

Hvis du bare er interessert i etablerte forbindelser, filtrer utdataene med findstr: netstat | findstr ETABLERTBytt til LISTENING, CLOSE_WAIT eller TIME_WAIT hvis du foretrekker å oppdage andre tilstander.

Nyttige netstat-parametere for undersøkelse

Disse modifikatorene lar deg redusere støy og fokuser på det du leter etter:

• -aviser aktive og inaktive tilkoblinger og lytteporter.
• -e: statistikk for grensesnittpakker (innkommende/utgående).
• -f: løser og viser eksterne FQDN-er (fullt kvalifiserte domenenavn).
• -n: viser uløste port- og IP-numre (raskere).
• -olegger til PID-en til prosessen som opprettholder forbindelsen.
• -p Xfiltre etter protokoll (TCP, UDP, tcpv6, tcpv4...).
• -q: spør etter koblede lyttende og ikke-lyttende porter.
• -sStatistikk gruppert etter protokoll (TCP, UDP, ICMP, IPv4/IPv6).
• -rgjeldende rutingstabell for systemet.
• -tinformasjon om tilkoblinger i nedlastingsstatus.
• -xDetaljer om NetworkDirect-tilkobling.

Praktiske eksempler for hverdagen

For å liste opp åpne porter og tilkoblinger med deres PID, kjør netstat -anoMed den PID-en kan du kryssreferere prosessen i Oppgavebehandling eller med verktøy som TCPView.

Hvis du bare er interessert i IPv4-tilkoblinger, filtrer etter protokoll med netstat -p IP og du sparer støy på vei ut.

Global statistikk etter protokoll kommer fra netstat -sMens hvis du vil ha aktiviteten til grensesnittene (sendt/mottatt), vil det fungere netstat -e å ha nøyaktige tall.

For å spore opp et problem med ekstern navneløsning, kombiner nettstat -f med filtrering: for eksempel, netstat -f | findstr mittdomene Den vil bare returnere det som samsvarer med det domenet.

Når Wi-Fi er tregt og netstat er fullt av merkelige forbindelser

Et klassisk tilfelle: treg nettlesing, en hastighetstest som tar litt tid å starte, men gir normale tall, og når du kjører netstat, vises følgende: dusinvis av forbindelser ETABLERTOfte er synderen nettleseren (for eksempel Firefox, på grunn av måten den håndterer flere sockets på), og selv om du lukker vinduer, kan bakgrunnsprosesser fortsette å vedlikeholde økter.

Hva skal man gjøre? Først, identifiser deg med netstat -ano Noter PID-ene. Sjekk deretter i Oppgavebehandling eller med Prosessutforsker/TCPView hvilke prosesser som står bak. Hvis tilkoblingen og prosessen virker mistenkelig, bør du vurdere å blokkere IP-adressen fra Windows-brannmuren. kjøre en antivirusskanning Og hvis risikoen virker høy for deg, koble utstyret midlertidig fra nettverket til det blir klart.

Hvis flommen av økter vedvarer etter at du har installert nettleseren på nytt, sjekk utvidelser, deaktiver synkronisering midlertidig og se om andre klienter (som mobilenheten din) også er trege: dette peker på problemet. nettverks-/internettleverandørproblem i stedet for lokal programvare.

Husk at netstat ikke er en sanntidsmonitor, men du kan simulere en med nettstat -n 5 for å oppdatere hvert 5. sekund. Hvis du trenger et kontinuerlig og mer praktisk panel, kan du ta en titt på TCPView eller mer dedikerte overvåkingsalternativer.

Blokker spesifikke Wi-Fi-nettverk fra CMD

Hvis det finnes nettverk i nærheten som du ikke vil se eller at enheten din skal prøve å bruke, kan du filtrer dem fra konsollenKommandoen lar deg blokkere en spesifikk SSID og administrere det uten å berøre det grafiske panelet.

Åpne CMD som administrator og bruker:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Etter at du har kjørt den, vil nettverket forsvinne fra listen over tilgjengelige nettverk. For å sjekke hva du har blokkert, start netsh wlan vis filtre permission=blockOg hvis du angrer, slett det med:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blokker mistenkelige IP-adresser med Windows-brannmuren

Hvis du oppdager at den samme offentlige IP-adressen forsøker mistenkelige handlinger mot tjenestene dine, er det raske svaret opprett en regel som blokkerer Disse tilkoblingene. I den grafiske konsollen legger du til en egendefinert regel, bruker den på «Alle programmer», protokollen «Hvilken som helst», angir de eksterne IP-adressene som skal blokkeres, merker av for «Blokker tilkoblingen» og bruker den på domene/privat/offentlig.

Foretrekker du automatisering? Med PowerShell kan du opprette, endre eller slette regler uten å klikke. Hvis du for eksempel vil blokkere utgående Telnet-trafikk og deretter begrense den tillatte eksterne IP-adressen, kan du bruke regler med Ny-NetFirewallRule og juster deretter med Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

For å administrere regler etter grupper eller slette blokkeringsregler samtidig, bruk Aktiver/deaktiver/fjern NetFirewallRule og i spørringer med jokertegn eller filtre etter egenskaper.

Beste fremgangsmåter: Ikke deaktiver brannmurtjenesten

Microsoft fraråder å stoppe brannmurtjenesten (MpsSvc). Dette kan føre til problemer med Start-menyen, problemer med å installere moderne apper eller andre problemer. aktiveringsfeil Via telefon. Hvis du av policyhensyn må deaktivere profiler, gjør du det på brannmur- eller GPO-konfigurasjonsnivå, men la tjenesten kjøre.

Profiler (domene/privat/offentlig) og standardhandlinger (tillat/blokker) kan angis fra kommandolinjen eller brannmurkonsollen. Å holde disse standardene veldefinerte forhindrer ufrivillige hull når man lager nye regler.

FortiGate: Blokker SSL VPN-forsøk fra mistenkelige offentlige IP-adresser

Hvis du bruker FortiGate og ser mislykkede påloggingsforsøk til SSL VPN-en din fra ukjente IP-adresser, opprett en adressepool (for eksempel svarteliste) og legg til alle de motstridende IP-adressene der.

På konsollen skriver du inn SSL VPN-innstillingene med konfigurasjon av vpn og ssl-innstillinger og gjelder: angi kildeadressen «blacklistipp» y aktiver negasjon av kildeadresse. Med en Vis Du bekrefter at den er aktivert. På denne måten vil tilkoblingen bli avvist fra starten av når noen kommer fra disse IP-adressene.

For å sjekke trafikk som treffer den IP-adressen og porten, kan du bruke diagnostiser snifferpakke hvilken som helst "vert XXXX og port 10443" 4, og med Skaff deg vpn ssl-monitor Du sjekker om det finnes tillatte økter fra IP-adresser som ikke er inkludert i listen.

En annen måte er SSL_VPN > Begrens tilgang > Begrens tilgang til bestemte verterI så fall skjer imidlertid avvisningen etter at du har lagt inn påloggingsinformasjonen, ikke umiddelbart som via konsollen.

Alternativer til netstat for visning og analyse av trafikk

Hvis du er ute etter mer komfort eller detaljer, finnes det verktøy som tilbyr det. grafikk, avanserte filtre og dyp opptak av pakker:

• Wiresharktrafikkregistrering og -analyse på alle nivåer.
• iproute2 (Linux): verktøy for å administrere TCP/UDP og IPv4/IPv6.
• GlassWireNettverksanalyse med brannmuradministrasjon og fokus på personvern.
• Uptrends oppetidsmonitorKontinuerlig overvåking og varsler av nettstedet.
• Germain UX: overvåking fokusert på vertikaler som finans eller helse.
• AteraRMM-suite med overvåking og fjerntilgang.
• SkyhaiNettanalyse og deling av skjermbilder.
• iptraf / iftop (Linux): Trafikk i sanntid via et svært intuitivt grensesnitt.
• ss (Socket-statistikk) (Linux): et moderne, tydeligere alternativ til netstat.

IP-blokkering og dens effekt på SEO, pluss tiltak for å redusere risikoen

Det er fornuftig å blokkere aggressive IP-adresser, men vær forsiktig. blokkere søkemotorroboterFordi du kan miste indeksering. Landsblokkering kan også ekskludere legitime brukere (eller VPN-er) og redusere synligheten din i visse regioner.

Komplementære tiltak: legg til CAPTCHA For å stoppe roboter, bruk hastighetsbegrensning for å forhindre misbruk og plasser et CDN for å redusere DDoS ved å fordele belastningen på tvers av distribuerte noder.

Hvis hosting-en din bruker Apache og du har geoblokkering aktivert på serveren, kan du omdiriger besøk fra et bestemt land ved bruk av .htaccess med en omskrivingsregel (generisk eksempel):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

For å blokkere IP-adresser på hosting (Plesk), kan du også redigere .htaccess og avvis spesifikke adresser, alltid med en forhåndssikkerhetskopi av filen i tilfelle du trenger å tilbakestille endringer.

Administrer Windows-brannmuren i dybden ved hjelp av PowerShell og netsh

Utover å opprette individuelle regler, gir PowerShell deg full kontroll: definer standardprofiler, opprette/endre/slette regler og til og med arbeide mot Active Directory GPO-er med hurtigbufrede økter for å redusere belastningen på domenekontrollere.

Hurtige eksempler: opprette en regel, endre dens eksterne adresse, aktivere/deaktivere hele grupper og fjern blokkeringsregler i ett jafs. Den objektorienterte modellen tillater spørring av filtre for porter, applikasjoner eller adresser og kjeder resultater med pipelines.

For å administrere eksterne team, stol på WinRM og parameterne -CimSessionDette lar deg liste opp regler, endre eller slette oppføringer på andre maskiner uten å forlate konsollen.

Feil i skript? Bruk -Feilhandling StilleFortsett for å undertrykke «regel ikke funnet» ved sletting, -Hva om for å forhåndsvise og -Bekrefte Hvis du ønsker bekreftelse for hvert element. Med -Ordrik Du vil få flere detaljer om utførelsen.

IPsec: Autentisering, kryptering og policybasert isolasjon

Når du bare trenger autentisert eller kryptert trafikk for å passere, kombinerer du Brannmur- og IPsec-reglerOpprett transportmodusregler, definer kryptografiske sett og autentiseringsmetoder, og knytt dem til de aktuelle reglene.

Hvis partneren din krever IKEv2, kan du spesifisere det i IPsec-regelen med autentisering via enhetssertifikat. Dette er også mulig. kopieringsregler fra ett GPO til et annet og tilhørende sett for å akselerere utrullinger.

For å isolere domenemedlemmer, bruk regler som krever autentisering for innkommende trafikk og krever det for utgående trafikk. Du kan også krever medlemskap i grupper med SDDL-kjeder, som begrenser tilgang til autoriserte brukere/enheter.

Ukrypterte applikasjoner (som telnet) kan bli tvunget til å bruke IPsec hvis du oppretter en brannmurregel av typen «tillat hvis sikker» og en IPsec-policy som Krev autentisering og krypteringPå den måten reiser ingenting tydelig.

Autentisert bypass og endepunktsikkerhet

Autentisert omgåelse lar trafikk fra klarerte brukere eller enheter overstyre blokkeringsregler. Nyttig for oppdatere og skanne servere uten å åpne havner for hele verden.

Hvis du ønsker ende-til-ende-sikkerhet på tvers av mange apper, kan du flytte autorisasjon til IPsec-laget med lister over maskin-/brukergrupper som er tillatt i den globale konfigurasjonen.

Å mestre netstat for å se hvem som kobler seg til, utnytte netsh og PowerShell for å håndheve regler, og skalere med IPsec eller perimeterbrannmurer som FortiGate gir deg kontroll over nettverket ditt. Med CMD-baserte Wi-Fi-filtre, godt designet IP-blokkering, SEO-forholdsregler og alternative verktøy når du trenger mer dyptgående analyse, vil du kunne oppdage mistenkelige forbindelser i tide og blokker dem uten å forstyrre driften din.