Como bloquear conexões de rede suspeitas pelo CMD

¿Como bloquear conexões de rede suspeitas pelo CMD? Quando um computador começa a ficar lento ou você observa atividades incomuns na rede, abrir o prompt de comando e usar comandos costuma ser a maneira mais rápida de retomar o controle. Com apenas alguns comandos, você pode detectar e bloquear conexões suspeitasAudite as portas abertas e reforce sua segurança sem instalar nada extra.

Neste artigo, você encontrará um guia completo e prático baseado em ferramentas nativas (CMD, PowerShell e utilitários como netstat e netsh). Você verá como identificar sessões estranhasQuais métricas monitorar, como bloquear redes Wi-Fi específicas e como criar regras no Firewall do Windows ou até mesmo em um FortiGate, tudo explicado em linguagem clara e direta.

Netstat: o que é, para que serve e por que continua sendo fundamental.

O nome netstat vem de “network” (rede) e “statistics” (estatísticas), e sua função é justamente oferecer estatísticas e status de conexão Em tempo real. Está integrado ao Windows e ao Linux desde a década de 90, e também pode ser encontrado em outros sistemas como macOS ou BeOS, embora sem interface gráfica.

Executar o comando no console permitirá que você veja as conexões ativas, as portas em uso, os endereços locais e remotos e, em geral, uma visão geral clara do que está acontecendo em sua pilha TCP/IP. Isso lhe dará uma visão completa do que está acontecendo em sua pilha TCP/IP. varredura de rede imediata Ele ajuda você a configurar, diagnosticar e aumentar o nível de segurança do seu computador ou servidor.

Monitorar quais dispositivos estão conectados, quais portas estão abertas e como seu roteador está configurado é vital. Com o netstat, você também obtém tabelas de roteamento e estatísticas por protocolo que te orientam quando algo não parece certo: tráfego excessivo, erros, congestionamento ou conexões não autorizadas.

Dica útil: Antes de executar uma análise séria com o netstat, feche todos os aplicativos que você não precisa e até mesmo... Reinicie, se possível.Dessa forma, você evitará ruídos e obterá precisão no que realmente importa.

Impacto no desempenho e melhores práticas de uso

Executar o netstat em si não danificará seu PC, mas usá-lo excessivamente ou com muitos parâmetros simultaneamente pode consumir CPU e memória. Se você o executar continuamente ou filtrar uma grande quantidade de dados, a carga do sistema aumenta e o desempenho pode ser prejudicado.

Para minimizar o impacto, limite o uso a situações específicas e ajuste os parâmetros com precisão. Se precisar de um fluxo contínuo, avalie ferramentas de monitoramento mais específicas. E lembre-se: Menos é mais quando o objetivo é investigar um sintoma específico.

• Limite o uso aos momentos em que você realmente precisar. ver conexões ativas ou estatísticas.
• Filtre com precisão para exibir apenas as informações necessárias.
• Evite agendar execuções em intervalos muito curtos que saturar recursos.
• Considere serviços públicos dedicados se você estiver procurando por monitoramento em tempo real mais avançada.

Vantagens e limitações do uso do netstat

O Netstat continua popular entre administradores e técnicos porque fornece Visibilidade imediata das conexões e as portas em uso pelos aplicativos. Em segundos, você pode detectar quem está se comunicando com quem e por meio de quais portas.

Também facilita a monitoramento e solução de problemasCongestionamento, gargalos, conexões persistentes... tudo isso fica evidente quando se analisam os status e as estatísticas relevantes.

• Detecção rápida de conexões não autorizadas ou possíveis intrusões.
• Acompanhamento de sessão entre clientes e servidores para localizar falhas ou latências.
• Avaliação de rendimento por protocolo, priorizar melhorias onde elas tenham o maior impacto.

E o que ele não faz tão bem? Não fornece dados (esse não é o seu propósito), sua saída pode ser complexa para usuários não técnicos e, em ambientes muito grandes não estão em escala como um sistema especializado (SNMP, por exemplo). Além disso, seu uso tem diminuído em favor de PowerShell e utilitários mais modernos com resultados mais claros.

Como usar o netstat no CMD e ler seus resultados.

Abra o CMD como administrador (Iniciar, digite “cmd”, clique com o botão direito do mouse e selecione Executar como administrador) ou use o Terminal no Windows 11. Em seguida, digite netstat e pressione Enter para obter a foto do momento.

Você verá colunas com o protocolo (TCP/UDP), endereços locais e remotos com suas respectivas portas e um campo de status (LISTENING, ESTABLISHED, TIME_WAIT, etc.). Se preferir números em vez de nomes de portas, execute o comando. netstat -n Para uma leitura mais direta.

Atualizações periódicas? Você pode configurar para atualizar a cada X segundos em um determinado intervalo: por exemplo, netstat -n 7 A saída será atualizada a cada 7 segundos para observar as mudanças em tempo real.

Se você estiver interessado apenas em conexões estabelecidas, filtre a saída com findstr: netstat | findstr ESTABELECIDOAltere para LISTENING, CLOSE_WAIT ou TIME_WAIT se preferir detectar outros estados.

Parâmetros úteis do netstat para investigação

Esses modificadores permitem que você reduzir o ruído e concentre-se naquilo que procura:

• -a: Mostra as conexões ativas e inativas, bem como as portas de escuta.
• -eEstatísticas de pacotes da interface (entrada/saída).
• -f: resolve e exibe FQDNs remotos (nomes de domínio totalmente qualificados).
• -nExibe números de porta e IP não resolvidos (mais rapidamente).
• -oAdicione o PID do processo que mantém a conexão.
• -p X: filtra por protocolo (TCP, UDP, tcpv6, tcpv4...).
• -q: consultar portas vinculadas que estejam em modo de escuta e portas que não estejam em modo de escuta.
• -sEstatísticas agrupadas por protocolo (TCP, UDP, ICMP, IPv4/IPv6).
• -r: tabela de roteamento atual do sistema.
• -tInformações sobre conexões em estado de download.
• -xDetalhes da conexão NetworkDirect.

Exemplos práticos para o dia a dia

Para listar as portas abertas e as conexões com seus respectivos PIDs, execute o seguinte comando: netstat -anoCom esse PID, você pode fazer uma referência cruzada do processo no Gerenciador de Tarefas ou com ferramentas como o TCPView.

Se você estiver interessado apenas em conexões IPv4, filtre por protocolo com netstat -p IP e você economizará ruído na saída.

As estatísticas globais por protocolo provêm de netstat -sPor outro lado, se você quiser acompanhar a atividade das interfaces (enviadas/recebidas), funcionará. netstat -e Para obter números precisos.

Para rastrear um problema com a resolução de nomes remotos, combine netstat -f com filtragem: por exemplo, netstat -f | findstr meu domínio Retornará apenas o que corresponder a esse domínio.

Quando o Wi-Fi está lento e o netstat está cheio de conexões estranhas.

Um caso clássico: navegação lenta, um teste de velocidade que demora a iniciar, mas apresenta valores normais, e ao executar o comando netstat, aparece a seguinte mensagem: dezenas de conexões ESTABELECIDASMuitas vezes, o culpado é o navegador (o Firefox, por exemplo, devido à sua forma de lidar com vários sockets), e mesmo que você feche as janelas, os processos em segundo plano podem continuar a manter as sessões.

O que fazer? Primeiro, identifique-se com netstat -ano Anote os PIDs. Em seguida, verifique no Gerenciador de Tarefas ou com o Process Explorer/TCPView quais processos estão sendo executados. Se a conexão e o processo parecerem suspeitos, considere bloquear o endereço IP no Firewall do Windows. Execute uma verificação antivírus. E, se o risco lhe parecer elevado, desconecte temporariamente o equipamento da rede até que a situação se esclareça.

Se o problema de sobrecarga de sessões persistir após reinstalar o navegador, verifique as extensões, desative temporariamente a sincronização e veja se outros clientes (como seu dispositivo móvel) também estão lentos: isso indica a origem do problema. problema de rede/provedor de internet em vez de software local.

Lembre-se que o netstat não é um monitor em tempo real, mas você pode simular um com netstat -n 5 para atualizar a cada 5 segundos. Se você precisa de um painel contínuo e mais conveniente, dê uma olhada em TCPView ou alternativas de monitoramento mais específicas.

Bloquear redes Wi-Fi específicas a partir do CMD

Se houver redes próximas que você não queira ver ou que seu dispositivo tente usar, você pode filtrá-los do consoleO comando permite que você bloquear um SSID específico e gerenciá-lo sem tocar no painel gráfico.

Abra o CMD como administrador e utilizações:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Após a execução, essa rede desaparecerá da lista de redes disponíveis. Para verificar o que você bloqueou, execute o seguinte comando: netsh wlan mostrar filtros permissão=bloquearE se você se arrepender, apague com:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Bloqueie endereços IP suspeitos com o Firewall do Windows.

Se você detectar que o mesmo endereço IP público está tentando realizar ações suspeitas contra seus serviços, a resposta rápida é criar uma regra que bloqueie Essas conexões. No console gráfico, adicione uma regra personalizada, aplique-a a "Todos os programas", protocolo "Qualquer", especifique os IPs remotos a serem bloqueados, marque "Bloquear a conexão" e aplique a domínio/privado/público.

Você prefere automação? Com ​​o PowerShell, você pode criar, modificar ou excluir regras sem clicar. Por exemplo, para bloquear o tráfego Telnet de saída e restringir o endereço IP remoto permitido, você pode usar regras com Nova regra NetFirewall e então ajuste com Set-NetFirewallRule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Para gerenciar regras por grupos ou excluir regras de bloqueio em massa, utilize Ativar/Desativar/Remover regra do NetFirewall e em consultas com curingas ou filtros por propriedades.

Boas práticas: Não desative o serviço de Firewall.

A Microsoft recomenda não interromper o serviço de Firewall (MpsSvc). Fazer isso pode causar problemas no menu Iniciar, dificuldades na instalação de aplicativos modernos ou outros problemas. erros de ativação Por telefone. Se, por questões de política, você precisar desativar perfis, faça isso no nível da configuração do firewall ou da GPO, mas mantenha o serviço em execução.

Os perfis (domínio/privado/público) e as ações padrão (permitir/bloquear) podem ser definidos na linha de comando ou no console do firewall. Manter esses padrões bem definidos evita problemas. buracos involuntários ao criar novas regras.

FortiGate: Bloquear tentativas de VPN SSL de IPs públicos suspeitos

Se você usa o FortiGate e observa tentativas de login malsucedidas em sua VPN SSL a partir de IPs desconhecidos, crie um pool de endereços (por exemplo, blacklistipp) e adicione todos os IPs conflitantes lá.

No console, insira as configurações de VPN SSL com configurar VPN SSL e aplica-se: definir endereço de origem “blacklistipp” y definir source-address-negate habilitado. com um mostrar Você confirma que a configuração foi aplicada. Dessa forma, quando alguém acessar a rede a partir desses IPs, a conexão será rejeitada desde o início.

Para verificar o tráfego que chega a esse IP e porta, você pode usar diagnosticar pacote sniffer qualquer “host XXXX e porta 10443” 4, e com obter monitor de VPN SSL Você verifica se há sessões permitidas de IPs que não estão incluídos na lista.

Outra maneira é VPN SSL > Restringir acesso > Limitar o acesso a hosts específicosNo entanto, nesse caso, a rejeição ocorre após a inserção das credenciais, e não imediatamente como acontece pelo console.

Alternativas ao netstat para visualizar e analisar o tráfego.

Se você busca mais conforto ou detalhes, existem ferramentas que oferecem isso. Gráficos, filtros avançados e captura profunda. de pacotes:

• WiresharkCaptura e análise de tráfego em todos os níveis.
• iproute2 (Linux): utilitários para gerenciar TCP/UDP e IPv4/IPv6.
• GlassWireAnálise de redes com gerenciamento de firewall e foco em privacidade.
• Monitor de tempo de atividade de tendências de altaMonitoramento contínuo do local e alertas.
• Germain UXMonitoramento focado em setores verticais como finanças ou saúde.
• AteraSuíte RMM com monitoramento e acesso remoto.
• Tubarão das NuvensAnálise da web e compartilhamento de capturas de tela.
• iptraf / iftop (Linux): Tráfego em tempo real através de uma interface muito intuitiva.
• ss (Estatísticas de Sockets) (Linux): uma alternativa moderna e mais clara ao netstat.

Bloqueio de IP e seu efeito no SEO, além de estratégias de mitigação.

Bloquear IPs agressivos faz sentido, mas tenha cuidado com bloquear bots de mecanismos de buscaPorque você pode perder a indexação. O bloqueio por país também pode excluir usuários legítimos (ou VPNs) e reduzir sua visibilidade em determinadas regiões.

Medidas complementares: adicionar CAPTCHA Para impedir bots, aplique limitação de taxa para evitar abusos e implemente uma CDN para mitigar ataques DDoS, distribuindo a carga entre nós distribuídos.

Se sua hospedagem usa Apache e você tem o bloqueio geográfico ativado no servidor, você pode redirecionar visitas de um país específico usando .htaccess com uma regra de reescrita (exemplo genérico):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Para bloquear IPs na hospedagem (Plesk), você também pode editar .htaccess e negar endereços específicos, sempre com um backup prévio do arquivo caso seja necessário reverter as alterações.

Gerencie o Firewall do Windows em detalhes usando o PowerShell e o netsh.

Além de criar regras individuais, o PowerShell oferece controle total: definir perfis padrãoCriar, modificar e excluir regras, e até mesmo trabalhar com GPOs do Active Directory usando sessões em cache para reduzir a carga nos controladores de domínio.

Exemplos rápidos: criar uma regra, alterar seu endereço remoto, ativar/desativar grupos inteiros e remover regras de bloqueio de uma só vez. O modelo orientado a objetos permite consultar filtros para portas, aplicativos ou endereços e encadear resultados com pipelines.

Para gerenciar equipes remotas, conte com WinRM e os parâmetros -Sessão CimIsso permite listar regras, modificar ou excluir entradas em outras máquinas sem sair do console.

Erros nos scripts? Use -ErrorAction SilenciosamenteContinuar Para suprimir a mensagem “regra não encontrada” ao excluir, -E se para pré-visualizar e -Confirme Se você deseja confirmação para cada item. Com -Detalhado Você receberá mais detalhes sobre a execução.

IPsec: Autenticação, criptografia e isolamento baseado em políticas

Quando você precisa que apenas tráfego autenticado ou criptografado passe, você combina Regras de firewall e IPsecCrie regras para o modo de transporte, defina conjuntos criptográficos e métodos de autenticação e associe-os às regras apropriadas.

Se o seu parceiro exigir IKEv2, você pode especificá-lo na regra IPsec com autenticação por certificado de dispositivo. Isso também é possível. regras de cópia de um GPO para outro e seus conjuntos associados para acelerar as implantações.

Para isolar membros do domínio, aplique regras que exijam autenticação para o tráfego de entrada e também para o tráfego de saída. Você também pode exigem a participação em grupos Com cadeias SDDL, restringindo o acesso a usuários/dispositivos autorizados.

Aplicações não criptografadas (como o telnet) podem ser forçadas a usar IPsec se você criar uma regra de firewall "permitir se seguro" e uma política IPsec que Exigir autenticação e criptografiaDessa forma, nada viaja com clareza.

Bypass autenticado e segurança de endpoint

O bypass autenticado permite que o tráfego de usuários ou dispositivos confiáveis ​​ignore as regras de bloqueio. Útil para atualizar e verificar servidores Sem abrir os portos para o mundo inteiro.

Se você busca segurança de ponta a ponta em vários aplicativos, em vez de criar uma regra para cada um, mova a autorização para a camada IPsec com listas de grupos de máquinas/usuários permitidos na configuração global.

Dominar o netstat para ver quem se conecta, usar o netsh e o PowerShell para aplicar regras e escalar com firewalls IPsec ou de perímetro como o FortiGate lhe dá o controle da sua rede. Com filtros Wi-Fi baseados em linha de comando, bloqueio de IP bem projetado, precauções de SEO e ferramentas alternativas para análises mais aprofundadas, você poderá: detectar conexões suspeitas a tempo e bloqueá-los sem interromper suas operações.