Jak blokować podejrzane połączenia sieciowe z poziomu CMD

¿Jak zablokować podejrzane połączenia sieciowe z CMD? Gdy komputer zaczyna działać wolniej lub zauważysz nietypową aktywność sieciową, otwarcie wiersza poleceń i użycie poleceń to często najszybszy sposób na odzyskanie kontroli. Wystarczy kilka poleceń, aby… wykrywaj i blokuj podejrzane połączeniaPrzeprowadź audyt otwartych portów i zwiększ bezpieczeństwo bez instalowania dodatkowych programów.

W tym artykule znajdziesz kompletny, praktyczny przewodnik oparty na natywnych narzędziach (CMD, PowerShell oraz narzędziach takich jak netstat i netsh). Zobaczysz, jak identyfikować dziwne sesjeJakie wskaźniki monitorować, jak blokować określone sieci Wi-Fi i jak tworzyć reguły w Zaporze systemu Windows, a nawet w FortiGate — wszystko to wyjaśniono w jasny i prosty sposób.

Netstat: czym jest, do czego służy i dlaczego pozostaje kluczowy

Nazwa netstat pochodzi od słów „sieć” i „statystyka”, a jej funkcją jest właśnie oferowanie statystyki i statusy połączeń w czasie rzeczywistym. Jest zintegrowany z systemami Windows i Linux od lat 90. XX wieku, a można go znaleźć również w innych systemach, takich jak macOS czy BeOS, choć bez interfejsu graficznego.

Uruchomienie go w konsoli pozwoli Ci zobaczyć aktywne połączenia, używane porty, adresy lokalne i zdalne oraz, ogólnie rzecz biorąc, przejrzysty przegląd tego, co dzieje się w stosie TCP/IP. natychmiastowe skanowanie sieci Pomaga skonfigurować, zdiagnozować i podnieść poziom bezpieczeństwa komputera lub serwera.

Monitorowanie podłączonych urządzeń, otwartych portów i konfiguracji routera jest kluczowe. Za pomocą netstat można również uzyskać tabele routingu i statystyki według protokołu które pomogą Ci, gdy coś jest nie tak: nadmierny ruch, błędy, przeciążenie lub nieautoryzowane połączenia.

Przydatna wskazówka: Przed uruchomieniem poważnej analizy za pomocą netstat zamknij wszystkie niepotrzebne aplikacje, a nawet Jeśli to możliwe, uruchom ponownieW ten sposób unikniesz szumu i zyskasz precyzję w tym, co naprawdę ważne.

Wpływ na wydajność i najlepsze praktyki użytkowania

Samo uruchomienie netstata nie uszkodzi komputera, ale nadmierne używanie go lub zbyt wiele parametrów jednocześnie może obciążać procesor i pamięć. Jeśli używasz go ciągle lub filtrujesz mnóstwo danych, obciążenie systemu wzrasta a wydajność może ucierpieć.

Aby zminimalizować jego wpływ, ogranicz go do konkretnych sytuacji i dostosuj parametry. Jeśli potrzebujesz ciągłego przepływu, rozważ bardziej szczegółowe narzędzia monitorujące. I pamiętaj: Mniej znaczy więcej gdy celem jest zbadanie konkretnego objawu.

• Ogranicz użycie do sytuacji, gdy naprawdę tego potrzebujesz zobacz aktywne połączenia lub statystyki.
• Filtruj precyzyjnie, aby wyświetlić tylko niezbędne informacje.
• Unikaj planowania wykonywania zadań w bardzo krótkich odstępach czasu, nasycić zasoby.
• Jeśli szukasz dedykowanych narzędzi, rozważ monitorowanie w czasie rzeczywistym bardziej zaawansowany.

Zalety i ograniczenia korzystania z netstat

Netstat nadal cieszy się popularnością wśród administratorów i techników, ponieważ zapewnia Natychmiastowa widoczność połączeń i porty używane przez aplikacje. W ciągu kilku sekund możesz wykryć, kto z kim rozmawia i przez które porty.

Ułatwia także monitorowanie i rozwiązywanie problemówZatory, wąskie gardła, ciągłe połączenia… wszystko to wychodzi na jaw, gdy spojrzymy na odpowiednie statusy i statystyki.

• Szybkie wykrywanie nieautoryzowanych połączeń lub możliwych włamań.
• Śledzenie sesji między klientami i serwerami w celu zlokalizowania awarii lub opóźnień.
• Ocena rendimiento zgodnie z protokołem, aby nadać priorytet usprawnieniom, które mają największy wpływ.

A czego nie robi tak dobrze? Nie dostarcza żadnych danych (nie taki jest jego cel), jego wyniki mogą być skomplikowane dla użytkowników nietechnicznych, a w bardzo duże środowiska nie do skalowania jako system specjalistyczny (np. SNMP). Co więcej, jego wykorzystanie maleje na rzecz PowerShell i nowocześniejsze narzędzia o czytelniejszych wynikach.

Jak używać netstat z poziomu CMD i odczytywać jego wyniki

Otwórz CMD jako administrator (Start, wpisz „cmd”, kliknij prawym przyciskiem myszy, Uruchom jako administrator) lub użyj terminala w systemie Windows 11. Następnie wpisz netstat i naciśnij Enter, aby uzyskać zdjęcie chwili.

Zobaczysz kolumny z protokołem (TCP/UDP), adresami lokalnymi i zdalnymi wraz z portami oraz polem statusu (LISTENING, ESTABLISHED, TIME_WAIT itd.). Jeśli zamiast nazw portów chcesz użyć liczb, uruchom netstat -rzecz dla bardziej bezpośredniego odczytu.

Okresowe aktualizacje? Możesz ustawić odświeżanie co X sekund w odstępach czasu, na przykład: netstat -n 7 Dane wyjściowe będą aktualizowane co 7 sekund, aby obserwować zmiany na żywo.

Jeśli interesują Cię tylko ustanowione połączenia, przefiltruj dane wyjściowe za pomocą findstr: netstat | findstr USTANOWIONOZmień na LISTENING, CLOSE_WAIT lub TIME_WAIT, jeśli wolisz wykrywać inne stany.

Przydatne parametry netstat do celów dochodzeniowych

Te modyfikatory pozwalają Ci zmniejszyć hałas i skup się na tym, czego szukasz:

• -a: pokazuje aktywne i nieaktywne połączenia oraz porty nasłuchujące.
• -e: statystyki pakietów interfejsu (przychodzących/wychodzących).
• -f: rozwiązuje i wyświetla zdalne nazwy FQDN (w pełni kwalifikowane nazwy domen).
• -n: wyświetla nierozwiązane numery portów i IP (szybciej).
• -o: dodaje PID procesu, który utrzymuje połączenie.
• -p X:filtruje według protokołu (TCP, UDP, tcpv6, tcpv4...).
• -q:zapytanie o połączone porty nasłuchujące i nienasłuchujące.
• -sStatystyki pogrupowane według protokołu (TCP, UDP, ICMP, IPv4/IPv6).
• -r: aktualna tabela routingu systemu.
• -t:informacje o połączeniach w stanie pobierania.
• -x:Szczegóły połączenia NetworkDirect.

Praktyczne przykłady z życia codziennego

Aby wyświetlić listę otwartych portów i połączeń wraz z ich PID, uruchom netstat -anoDzięki temu PID-owi możesz odwołać się do procesu w Menedżerze zadań lub przy użyciu narzędzi typu TCPView.

Jeśli interesują Cię tylko połączenia IPv4, filtruj według protokołu za pomocą netstat -p IP i zaoszczędzisz sobie hałasu wychodząc.

Statystyki globalne według protokołu pochodzą z netstat -sNatomiast jeśli chcesz sprawdzić aktywność interfejsów (wysyłanie/odbieranie), to zadziała netstat -np mieć dokładne liczby.

Aby zlokalizować problem z rozwiązywaniem nazw zdalnych, połącz netstat -f z filtrowaniem: na przykład, netstat -f | findstr mojadomena Zwrócone zostaną tylko te informacje, które odpowiadają podanej domenie.

Gdy Wi-Fi jest wolne i netstat jest pełen dziwnych połączeń

Klasyczny przypadek: wolne przeglądanie stron, test szybkości, który uruchamia się po pewnym czasie, ale daje normalne wyniki, a po uruchomieniu narzędzia netstat pojawiają się następujące komunikaty: dziesiątki nawiązanych połączeńCzęsto winowajcą jest przeglądarka (np. Firefox ze względu na sposób obsługi wielu gniazd) i nawet jeśli zamkniesz okna, procesy w tle mogą nadal podtrzymywać sesje.

Co robić? Po pierwsze, zidentyfikuj się z netstat -ano Zanotuj PID-y. Następnie sprawdź w Menedżerze zadań lub w Eksploratorze procesów/TCPView, które procesy za nimi stoją. Jeśli połączenie i proces wydają się podejrzane, rozważ zablokowanie adresu IP w Zaporze systemu Windows. uruchom skanowanie antywirusowe Jeśli ryzyko wydaje Ci się wysokie, odłącz tymczasowo sprzęt od sieci, aż sytuacja się wyjaśni.

Jeśli problem z dużą liczbą sesji utrzymuje się po ponownej instalacji przeglądarki, sprawdź rozszerzenia, tymczasowo wyłącz synchronizację i zobacz, czy inne aplikacje klienckie (np. urządzenie mobilne) również działają wolniej: to wskazuje na problem. problem z siecią/dostawcą usług internetowych zamiast lokalnego oprogramowania.

Pamiętaj, że netstat nie jest monitorem czasu rzeczywistego, ale możesz go symulować za pomocą netstat -n 5 odświeżać co 5 sekund. Jeśli potrzebujesz ciągłego i wygodniejszego panelu, sprawdź Widok TCP lub bardziej wyspecjalizowane alternatywy monitorowania.

Blokuj określone sieci Wi-Fi z poziomu CMD

Jeśli w pobliżu znajdują się sieci, których nie chcesz widzieć lub których nie chcesz, aby Twoje urządzenie próbowało używać, możesz filtruj je z konsoliPolecenie pozwala Ci zablokować konkretny identyfikator SSID i zarządzać nim bez dotykania panelu graficznego.

Otwórz CMD jako administrator i wykorzystuje:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Po uruchomieniu sieć zniknie z listy dostępnych sieci. Aby sprawdzić, które zablokowałeś, uruchom netsh wlan pokaż filtry uprawnienie=blokujA jeśli żałujesz, usuń to za pomocą:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blokuj podejrzane adresy IP za pomocą Zapory systemu Windows

Jeśli wykryjesz, że ten sam publiczny adres IP próbuje wykonywać podejrzane działania przeciwko Twoim usługom, szybką odpowiedzią jest: utwórz regułę blokującą Te połączenia. W konsoli graficznej dodaj regułę niestandardową, zastosuj ją do „Wszystkich programów”, protokołu „Dowolny”, określ zdalne adresy IP do zablokowania, zaznacz „Zablokuj połączenie” i zastosuj do domeny/prywatnej/publicznej.

Wolisz automatyzację? Dzięki PowerShell możesz tworzyć, modyfikować i usuwać reguły bez klikania. Na przykład, aby zablokować wychodzący ruch Telnet, a następnie ograniczyć dozwolony zdalny adres IP, możesz użyć reguł z… Nowa reguła zapory sieciowej a następnie dostosuj za pomocą Ustaw regułę NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Aby zarządzać regułami według grup lub usuwać reguły blokowania zbiorczo, należy polegać na Włącz/Wyłącz/Usuń regułę NetFirewall oraz w zapytaniach z symbolami wieloznacznymi lub filtrami według właściwości.

Najlepsze praktyki: Nie wyłączaj usługi Zapora sieciowa

Firma Microsoft odradza zatrzymywanie usługi Zapora sieciowa (MpsSvc). Może to spowodować problemy z menu Start, instalacją nowoczesnych aplikacji i inne problemy. błędy aktywacji Telefonicznie. Jeśli z zasady musisz wyłączyć profile, zrób to na poziomie konfiguracji zapory sieciowej lub GPO, ale pozostaw usługę uruchomioną.

Profile (domena/prywatny/publiczny) i domyślne akcje (zezwól/blokuj) można ustawić z poziomu wiersza poleceń lub konsoli zapory. Utrzymanie tych domyślnych ustawień zapobiega… mimowolne otwory podczas tworzenia nowych reguł.

FortiGate: Blokuj próby połączeń SSL VPN z podejrzanych publicznych adresów IP

Jeżeli używasz FortiGate i widzisz nieudane próby logowania do SSL VPN z nieznanych adresów IP, utwórz pulę adresów (na przykład czarna lista) i dodaj tam wszystkie kolidujące adresy IP.

Na konsoli wprowadź ustawienia SSL VPN za pomocą konfiguracja ustawień VPN SSL i dotyczy: ustaw adres źródłowy „blacklistipp” y ustaw opcję negacji adresu źródłowegoZ pokazywać Potwierdzasz, że zostało ono zastosowane. W ten sposób, gdy ktoś będzie korzystał z tych adresów IP, połączenie zostanie od razu odrzucone.

Aby sprawdzić ruch trafiający na ten adres IP i port, możesz użyć diagnoza pakietu sniffera dowolnego „hosta XXXX i portu 10443” 4i z pobierz monitor VPN SSL Sprawdzasz dozwolone sesje z adresów IP, które nie znajdują się na liście.

Innym sposobem jest SSL_VPN > Ogranicz dostęp > Ogranicz dostęp do określonych hostówJednak w tym przypadku odrzucenie następuje po wprowadzeniu danych logowania, a nie od razu jak za pośrednictwem konsoli.

Alternatywy dla netstat do przeglądania i analizowania ruchu

Jeśli zależy Ci na większym komforcie i szczegółach, istnieją narzędzia, które je zapewniają. grafika, zaawansowane filtry i głębokie przechwytywanie pakietów:

• Wireshark: przechwytywanie i analiza ruchu na wszystkich poziomach.
• iproute2 (Linux): narzędzia do zarządzania protokołami TCP/UDP i IPv4/IPv6.
• Drut szklanyAnaliza sieci z zarządzaniem zaporą sieciową i naciskiem na prywatność.
• Monitor czasu pracy trendów wzrostowychCiągły monitoring witryny i alerty.
• Germain UX:monitoring skoncentrowany na pionach takich jak finanse czy zdrowie.
• AteraPakiet RMM z monitoringiem i zdalnym dostępem.
• Rekin chmurowyAnalityka internetowa i udostępnianie zrzutów ekranu.
• iptraf / iftop (Linux): Ruch w czasie rzeczywistym za pośrednictwem bardzo intuicyjnego interfejsu.
• ss (Statystyki gniazd) (Linux): nowoczesna, bardziej przejrzysta alternatywa dla netstat.

Blokowanie adresów IP i jego wpływ na SEO oraz strategie łagodzenia skutków

Blokowanie agresywnych adresów IP ma sens, ale należy zachować ostrożność blokować boty wyszukiwarekPonieważ możesz utracić indeksowanie. Blokowanie krajów może również wykluczać legalnych użytkowników (lub sieci VPN) i ograniczać Twoją widoczność w niektórych regionach.

Środki uzupełniające: dodaj CAPTCHA Aby zablokować boty, zastosuj limit przepustowości zapobiegający nadużyciom i umieść sieć CDN w celu złagodzenia skutków ataków DDoS poprzez rozłożenie obciążenia na rozproszone węzły.

Jeśli Twój hosting korzysta z Apache i na serwerze masz włączoną funkcję blokowania geograficznego, możesz przekierować wizyty z określonego kraju przy użyciu pliku .htaccess z regułą przepisywania (przykład ogólny):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Aby zablokować adresy IP na hostingu (Plesk), możesz również edytować .htaccess i odrzucaj określone adresy, zawsze wykonując wcześniej kopię zapasową pliku na wypadek, gdybyś musiał cofnąć zmiany.

Szczegółowe zarządzanie zaporą systemu Windows za pomocą programu PowerShell i narzędzia Netsh

Oprócz tworzenia indywidualnych reguł, PowerShell zapewnia Ci pełną kontrolę: zdefiniuj profile domyślne, twórz/modyfikuj/usuwaj reguły, a nawet pracuj na obiektach zasad grupy usługi Active Directory przy użyciu sesji buforowanych, aby zmniejszyć obciążenie kontrolerów domeny.

Szybkie przykłady: tworzenie reguły, zmiana jej adresu zdalnego, włączanie/wyłączanie całych grup i usuń reguły blokowania za jednym zamachem. Model obiektowy umożliwia wyszukiwanie filtrów dla portów, aplikacji lub adresów i łączenie wyników za pomocą potoków.

Aby zarządzać zespołami pracującymi zdalnie, polegaj na WinRM i parametry -CimSessionDzięki temu możesz wyświetlać listy reguł, modyfikować je lub usuwać na innych komputerach, nie opuszczając konsoli.

Błędy w skryptach? Użyj -BłądDziałanie w trybie cichymKontynuuj aby pominąć komunikat „nie znaleziono reguły” podczas usuwania, -Co jeśli aby wyświetlić podgląd i -Potwierdzać Jeśli chcesz uzyskać potwierdzenie dla każdej pozycji. Z -Gadatliwy Będziesz miał więcej szczegółów na temat wykonania.

IPsec: uwierzytelnianie, szyfrowanie i izolacja oparta na zasadach

Jeśli potrzebujesz tylko uwierzytelnionego lub zaszyfrowanego ruchu, możesz połączyć Reguły zapory sieciowej i protokołu IPsecUtwórz reguły trybu transportu, zdefiniuj zestawy kryptograficzne i metody uwierzytelniania oraz powiąż je z odpowiednimi regułami.

Jeśli Twój partner wymaga protokołu IKEv2, możesz to określić w regule IPsec z uwierzytelnianiem za pomocą certyfikatu urządzenia. To również jest możliwe. kopiuj zasady z jednego GPO do drugiego i powiązanych z nimi zestawów w celu przyspieszenia wdrożeń.

Aby odizolować członków domeny, zastosuj reguły wymagające uwierzytelniania dla ruchu przychodzącego i dla ruchu wychodzącego. Możesz również wymagają przynależności do grup z łańcuchami SDDL ograniczającymi dostęp do autoryzowanych użytkowników/urządzeń.

Aplikacje niezaszyfrowane (takie jak telnet) mogą zostać zmuszone do korzystania z protokołu IPsec, jeśli utworzysz regułę zapory „zezwól, jeśli bezpieczne” i politykę IPsec, która Wymagaj uwierzytelniania i szyfrowaniaW ten sposób nic nie przemieszcza się wyraźnie.

Uwierzytelniane obejście i bezpieczeństwo punktów końcowych

Uwierzytelnione obejście pozwala na obejście reguł blokowania przez ruch od zaufanych użytkowników lub urządzeń. Przydatne dla aktualizacja i skanowanie serwerów bez otwierania portów na cały świat.

Jeśli szukasz kompleksowego zabezpieczenia obejmującego wiele aplikacji, zamiast tworzyć regułę dla każdej z nich, przenieś autoryzacja do warstwy IPsec z listami grup maszyn/użytkowników dozwolonych w konfiguracji globalnej.

Opanowanie netstatu do sprawdzania, kto się łączy, wykorzystanie netsh i PowerShella do egzekwowania reguł oraz skalowanie z IPsec lub zaporami obwodowymi, takimi jak FortiGate, daje Ci kontrolę nad siecią. Dzięki filtrom Wi-Fi opartym na CMD, dobrze zaprojektowanemu blokowaniu adresów IP, zabezpieczeniom SEO i alternatywnym narzędziom, gdy potrzebujesz bardziej dogłębnej analizy, będziesz w stanie… wykrywaj podejrzane połączenia na czas i blokować je bez zakłócania swoich operacji.