Cum să blochezi conexiunile de rețea suspecte din CMD

¿Cum blochez conexiunile de rețea suspecte din CMD? Când un computer începe să funcționeze lent sau observați o activitate neobișnuită în rețea, deschiderea liniei de comandă și utilizarea comenzilor este adesea cea mai rapidă modalitate de a recâștiga controlul. Cu doar câteva comenzi, puteți detectarea și blocarea conexiunilor suspecteAuditează porturile deschise și consolidează-ți securitatea fără a instala nimic suplimentar.

În acest articol veți găsi un ghid complet și practic, bazat pe instrumente native (CMD, PowerShell și utilitare precum netstat și netsh). Veți vedea cum identificați sesiunile ciudateCe indicatori să monitorizezi, cum să blochezi anumite rețele Wi-Fi și cum să creezi reguli în Paravanul de protecție Windows sau chiar într-un FortiGate, toate explicate într-un limbaj clar și direct.

Netstat: ce este, la ce servește și de ce rămâne esențial

Numele netstat provine din „rețea” și „statistici”, iar funcția sa este tocmai de a oferi statistici și stări ale conexiunilor în timp real. A fost integrat în Windows și Linux încă din anii 90 și îl puteți găsi și în alte sisteme precum macOS sau BeOS, deși fără o interfață grafică.

Rularea sa în consolă vă va permite să vedeți conexiunile active, porturile utilizate, adresele locale și la distanță și, în general, o imagine de ansamblu clară asupra a ceea ce se întâmplă în stiva TCP/IP. Având acest lucru scanare imediată a rețelei Te ajută să configurezi, să diagnostichezi și să ridici nivelul de securitate al computerului sau serverului tău.

Monitorizarea dispozitivelor care se conectează, a porturilor deschise și a modului în care este configurat routerul este vitală. Cu netstat, obțineți și tabele de rutare și statistici după protocol care te ghidează atunci când ceva nu se leagă: trafic excesiv, erori, congestie sau conexiuni neautorizate.

Sfat util: Înainte de a rula o analiză serioasă cu netstat, închideți toate aplicațiile de care nu aveți nevoie și chiar Reporniți dacă este posibilÎn acest fel, vei evita zgomotul și vei câștiga precizie în ceea ce contează cu adevărat.

Impactul asupra performanței și cele mai bune practici de utilizare

Rularea netstat în sine nu va strica PC-ul, dar utilizarea excesivă sau cu prea mulți parametri simultan poate consuma CPU și memorie. Dacă îl rulați continuu sau filtrați o mare de date, sarcina sistemului crește iar performanța ar putea avea de suferit.

Pentru a minimiza impactul său, limitați-l la situații specifice și ajustați fin parametrii. Dacă aveți nevoie de un flux continuu, evaluați instrumente de monitorizare mai specifice. Și nu uitați: Mai puțin înseamnă mai mult când obiectivul este investigarea unui simptom specific.

• Limitează utilizarea la momentele în care ai nevoie cu adevărat de ea vizualizați conexiunile active sau statistici.
• Filtrați cu precizie pentru a afișa doar informațiile necesare.
• Evitați programarea execuțiilor la intervale foarte scurte care resurse saturate.
• Luați în considerare utilități dedicate dacă sunteți în căutarea monitorizare în timp real mai avansată.

Avantajele și limitele utilizării netstat

Netstat rămâne popular printre administratori și tehnicieni deoarece oferă Vizibilitate imediată a conexiunilor și porturile utilizate de aplicații. În câteva secunde puteți detecta cine vorbește cu cine și prin ce porturi.

De asemenea, facilitează monitorizare și depanareCongestie, blocaje, conexiuni persistente… toate ies la iveală atunci când te uiți la stările și statisticile relevante.

• detecție rapidă a conexiunilor neautorizate sau a posibilelor intruziuni.
• Urmărirea sesiunii între clienți și servere pentru a localiza erori sau latențe.
• Evaluarea performanței prin protocol pentru a prioritiza îmbunătățirile acolo unde acestea au cel mai mare impact.

Și ce nu face atât de bine? Nu oferă date (nu acesta este scopul său), rezultatele sale pot fi complexe pentru utilizatorii non-tehnici și, în medii foarte mari, nescalabile ca sistem specializat (SNMP, de exemplu). În plus, utilizarea sa a scăzut în favoarea PowerShell și utilități mai moderne, cu rezultate mai clare.

Cum se folosește netstat din CMD și se citesc rezultatele acestuia

Deschideți CMD ca administrator (Start, tastați „cmd”, faceți clic dreapta, Executare ca administrator) sau utilizați Terminalul în Windows 11. Apoi tastați netstat și apăsați Enter pentru a obține fotografia momentului.

Veți vedea coloane cu protocolul (TCP/UDP), adrese locale și la distanță cu porturile aferente și un câmp de stare (LISTENING, ESTABLISHED, TIME_WAIT etc.). Dacă doriți numere în loc de nume de porturi, executați netstat -n pentru o lectură mai directă.

Actualizări periodice? Îi poți seta să se actualizeze la fiecare X secunde la un interval: de exemplu, netstat -n 7 Va actualiza ieșirea la fiecare 7 secunde pentru a observa modificările în timp real.

Dacă sunteți interesat doar de conexiunile stabilite, filtrați rezultatul cu findstr: netstat | findstr ÎNFIINȚATSchimbați la LISTENING, CLOSE_WAIT sau TIME_WAIT dacă preferați să detectați alte stări.

Parametri netstat utili pentru investigație

Acești modificatori vă permit reduce zgomotul și concentrează-te pe ceea ce cauți:

• -a: afișează conexiunile active și inactive și porturile de ascultare.
• -e: statistici ale pachetelor de interfață (intrare/ieșire).
• -f: rezolvă și afișează FQDN-uri (nume de domeniu complet calificate) la distanță.
• -n: afișează porturile și numerele IP nerezolvate (mai rapid).
• -o: adaugă PID-ul procesului care menține conexiunea.
• -p Xfiltrează după protocol (TCP, UDP, tcpv6, tcpv4...).
• -q: porturi de ascultare și neascultare legate la interogare.
• -sStatistici grupate după protocol (TCP, UDP, ICMP, IPv4/IPv6).
• -r: tabela de rutare curentă a sistemului.
• -t: informații despre conexiunile în stare de descărcare.
• -xDetalii conexiune NetworkDirect.

Exemple practice pentru viața de zi cu zi

Pentru a lista porturile deschise și conexiunile cu PID-ul lor, executați netstat -anoCu acel PID puteți face referire încrucișată a procesului în Managerul de activități sau cu instrumente precum TCPView.

Dacă sunteți interesat doar de conexiunile IPv4, filtrați după protocol cu netstat -p IP și vei economisi zgomot la ieșire.

Statisticile globale pe protocol provin de la netstat -sÎntrucât, dacă doriți activitatea interfețelor (trimise/primite), aceasta va funcționa netstat -e să aibă cifre precise.

Pentru a identifica o problemă cu rezoluția de nume la distanță, combinați netstat -f cu filtrare: de exemplu, netstat -f | findstr domeniulmeu Va returna doar ceea ce se potrivește cu domeniul respectiv.

Când Wi-Fi-ul este lent și netstat este plin de conexiuni ciudate

Un caz clasic: navigare lentă, un test de viteză care durează ceva timp până pornește, dar oferă cifre normale, iar la rularea netstat, apar următoarele: zeci de conexiuni STABILITEAdesea, vinovatul este browserul (Firefox, de exemplu, datorită modului său de a gestiona mai multe socket-uri) și chiar dacă închideți ferestrele, procesele din fundal pot continua să mențină sesiunile.

Ce să faci? Mai întâi, identifică-te cu netstat -ano Notați PID-urile. Apoi verificați în Task Manager sau cu Process Explorer/TCPView ce procese se află în spatele acestora. Dacă conexiunea și procesul par suspecte, luați în considerare blocarea adresei IP din Paravanul de protecție Windows. rulează o scanare antivirus Și, dacă riscul vi se pare ridicat, deconectați temporar echipamentul de la rețea până când acesta devine clar.

Dacă avalanșa de sesiuni persistă după reinstalarea browserului, verificați extensiile, dezactivați temporar sincronizarea și vedeți dacă și alți clienți (cum ar fi dispozitivul mobil) sunt lenți: acest lucru indică problema. problemă de rețea/ISP mai degrabă decât software local.

Rețineți că netstat nu este un monitor în timp real, dar puteți simula unul cu netstat -n 5 să se actualizeze la fiecare 5 secunde. Dacă aveți nevoie de un panou continuu și mai convenabil, consultați TCPView sau alternative de monitorizare mai dedicate.

Blocați anumite rețele Wi-Fi din CMD

Dacă există rețele în apropiere pe care nu doriți să le vedeți sau pe care nu doriți ca dispozitivul dvs. să încerce să le utilizeze, puteți filtrați-le din consolăComanda vă permite blochează un anumit SSID și gestionați-l fără a atinge panoul grafic.

Deschide CMD ca administrator și utilizează:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

După rulare, rețeaua respectivă va dispărea din lista de rețele disponibile. Pentru a verifica ce ați blocat, lansați netsh wlan arata filtre permisiunea=blocareaȘi dacă regreți, șterge-l cu:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Blocați adresele IP suspecte cu Paravanul de protecție Windows

Dacă detectați că aceeași adresă IP publică încearcă acțiuni suspecte împotriva serviciilor dvs., răspunsul rapid este creați o regulă care blochează Acele conexiuni. În consola grafică, adăugați o regulă personalizată, aplicați-o la „Tuturor programelor”, protocolul „Oricare”, specificați IP-urile la distanță de blocat, bifați „Blocați conexiunea” și aplicați-o la domeniu/privat/public.

Preferi automatizarea? Cu PowerShell, poți crea, modifica sau șterge reguli fără a face clic. De exemplu, pentru a bloca traficul Telnet de ieșire și apoi a restricționa adresa IP la distanță permisă, poți utiliza reguli cu New-NetFirewallRule și apoi ajustați cu Set-NetFirewall Rule.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Pentru a gestiona regulile pe grupuri sau a șterge regulile de blocare în bloc, bazați-vă pe Activare/Dezactivare/Eliminare regulă NetFirewall și în interogări cu wildcard-uri sau filtre după proprietăți.

Cele mai bune practici: Nu dezactivați serviciul Firewall

Microsoft recomandă evitarea opririi serviciului Firewall (MpsSvc). Această acțiune poate cauza probleme în meniul Start, probleme la instalarea aplicațiilor moderne sau alte probleme. erori de activare Prin telefon. Dacă, conform politicii, trebuie să dezactivați profilurile, faceți acest lucru la nivelul de configurare firewall sau GPO, dar lăsați serviciul să ruleze.

Profilurile (domeniu/privat/public) și acțiunile implicite (permitere/blocare) pot fi setate din linia de comandă sau din consola firewall. Menținerea acestor valori implicite bine definite previne găuri involuntare atunci când se creează noi reguli.

FortiGate: Blocați încercările VPN SSL de la IP-uri publice suspecte

Dacă utilizați FortiGate și observați încercări eșuate de conectare la VPN-ul SSL de la adrese IP necunoscute, creați un pool de adrese (de exemplu, blacklistipp) și adăugați acolo toate IP-urile conflictuale.

În consolă, introduceți setările SSL VPN cu configurare setare SSL VPN și aplică: setează adresa sursă „blacklistipp” y setează activarea negării adresei sursă. Con un show Confirmați că a fost aplicată. În acest fel, când cineva vine de la acele IP-uri, conexiunea va fi respinsă de la început.

Pentru a verifica traficul care ajunge la adresa IP și portul respectiv, puteți utiliza diagnosticarea pachetului sniffer orice „gazdă XXXX și port 10443” 4, y con obțineți un monitor VPN SSL Verificați sesiunile permise de la IP-uri care nu sunt incluse în listă.

O altă modalitate este SSL_VPN > Restricționare acces > Limitare acces la anumite gazdeTotuși, în acest caz, respingerea are loc după introducerea acreditărilor, nu imediat ca prin consolă.

Alternative la netstat pentru vizualizarea și analiza traficului

Dacă sunteți în căutarea unui confort sporit sau a unor detalii deosebite, există instrumente care vi le oferă. grafică, filtre avansate și captură profundă de pachete:

• Wiresharkcaptarea și analiza traficului la toate nivelurile.
• iproute2 (Linux): utilitare pentru gestionarea TCP/UDP și IPv4/IPv6.
• Sârmă de sticlăAnaliza rețelei cu gestionarea firewall-ului și accent pe confidențialitate.
• Monitor de funcționare UptrendsMonitorizare continuă a amplasamentului și alerte.
• Germain UX: monitorizare axată pe verticale precum finanțe sau sănătate.
• AteraSuită RMM cu monitorizare și acces de la distanță.
• Rechinul norilorAnaliză web și partajare de capturi de ecran.
• iptraf / iftop (Linux): Trafic în timp real prin intermediul unei interfețe foarte intuitive.
• ss (Statistici Socket) (Linux): o alternativă modernă și mai clară la netstat.

Blocarea IP-urilor și efectul acesteia asupra SEO, plus strategii de atenuare

Blocarea IP-urilor agresive are sens, dar fiți atenți cu blochează roboții motoarelor de căutarePentru că ai putea pierde indexarea. Blocarea țării poate, de asemenea, exclude utilizatori legitimi (sau VPN-uri) și îți poate reduce vizibilitatea în anumite regiuni.

Măsuri complementare: adăugați CAPTCHAs Pentru a opri roboții, aplicați o limitare a ratei pentru a preveni abuzul și plasați o CDN pentru a atenua atacurile DDoS prin distribuirea încărcării între nodurile distribuite.

Dacă găzduirea dvs. folosește Apache și aveți activată geoblocarea pe server, puteți redirecționează vizitele dintr-o anumită țară folosind .htaccess cu o regulă de rescriere (exemplu generic):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Pentru a bloca IP-urile pe găzduire (Plesk), puteți edita și .htaccess și să refuzați adrese specifice, întotdeauna cu o copie de rezervă prealabilă a fișierului în cazul în care trebuie să anulați modificările.

Gestionați în profunzime Paravanul de protecție Windows folosind PowerShell și netsh

Dincolo de crearea unor reguli individuale, PowerShell vă oferă control complet: definiți profilurile implicite, creați/modificați/ștergeți reguli și chiar lucrați cu obiecte GPO Active Directory cu sesiuni memorate în cache pentru a reduce încărcarea controlerelor de domeniu.

Exemple rapide: crearea unei reguli, modificarea adresei sale la distanță, activarea/dezactivarea unor grupuri întregi și eliminați regulile de blocare dintr-o singură mișcare. Modelul orientat pe obiecte permite interogarea filtrelor pentru porturi, aplicații sau adrese și înlănțuirea rezultatelor cu conducte.

Pentru a gestiona echipe la distanță, bazați-vă pe WinRM și parametrii -CimSessionAcest lucru vă permite să listați reguli, să modificați sau să ștergeți intrări pe alte mașini fără a părăsi consola.

Erori în scripturi? Folosește -ErrorAction SilentlyContinue pentru a suprima „regulă negăsită” la ștergere, -Și dacă pentru a previzualiza și -A confirma Dacă doriți confirmare pentru fiecare element. Cu - Verbos Veți avea mai multe detalii despre execuție.

IPsec: Autentificare, criptare și izolare bazată pe politici

Când aveți nevoie doar de trafic autentificat sau criptat pentru a trece, combinați Reguli de firewall și IPsecCreați reguli pentru modul de transport, definiți seturi criptografice și metode de autentificare și asociați-le cu regulile corespunzătoare.

Dacă partenerul dumneavoastră necesită IKEv2, îl puteți specifica în regula IPsec cu autentificare prin certificatul dispozitivului. Acest lucru este, de asemenea, posibil. reguli de copiere de la un GPO la altul și seturile asociate acestora pentru a accelera implementările.

Pentru a izola membrii domeniului, aplicați reguli care necesită autentificare pentru traficul de intrare și o necesită pentru traficul de ieșire. De asemenea, puteți necesită apartenența la grupuri cu lanțuri SDDL, restricționând accesul utilizatorilor/dispozitivelor autorizate.

Aplicațiile necriptate (cum ar fi telnet) pot fi forțate să utilizeze IPsec dacă creați o regulă de firewall „permite dacă este securizat” și o politică IPsec care Necesită autentificare și criptareÎn felul acesta, nimic nu circulă clar.

Ocolire autentificată și securitate endpoint

Ocolirea autentificată permite traficului de la utilizatori sau dispozitive de încredere să ignore regulile de blocare. Utilă pentru servere de actualizare și scanare fără a deschide porturi către întreaga lume.

Dacă doriți securitate completă pentru mai multe aplicații, în loc să creați o regulă pentru fiecare dintre ele, mutați autorizare către nivelul IPsec cu liste de grupuri de mașini/utilizatori permise în configurația globală.

Stăpânirea netstat pentru a vedea cine se conectează, utilizarea netsh și PowerShell pentru a impune reguli și scalarea cu IPsec sau firewall-uri perimetrale precum FortiGate vă oferă control asupra rețelei dvs. Cu filtre Wi-Fi bazate pe CMD, blocare IP bine concepută, precauții SEO și instrumente alternative atunci când aveți nevoie de analize mai aprofundate, veți putea... detectarea conexiunilor suspecte la timp și blocați-le fără a vă perturba operațiunile.