Како блокирати сумњиве мрежне везе из CMD-а

¿Како блокирати сумњиве мрежне везе из CMD-а? Када рачунар почне да ради споро или приметите неуобичајену мрежну активност, отварање командне линије и коришћење команди је често најбржи начин да повратите контролу. Са само неколико команди, можете откривање и блокирање сумњивих везаПроверите отворене портове и ојачајте безбедност без инсталирања додатних решења.

У овом чланку ћете пронаћи комплетан, практичан водич заснован на изворним алатима (CMD, PowerShell и услужним програмима попут netstat и netsh). Видећете како идентификујте чудне сесијеКоје метрике пратити, како блокирати одређене Wi-Fi мреже и како креирати правила у Windows заштитном зиду или чак FortiGate-у, све је објашњено јасним и једноставним језиком.

Нетстат: шта је то, чему служи и зашто је и даље кључан

Назив netstat потиче од речи „network“ и „statistics“, а његова функција је управо да понуди статистика и статуси везе у реалном времену. Интегрисан је у Windows и Linux од 90-их, а можете га пронаћи и у другим системима попут macOS-а или BeOS-а, иако без графичког интерфејса.

Покретање у конзоли ће вам омогућити да видите активне везе, портове који су у употреби, локалне и удаљене адресе и, генерално, јасан преглед онога што се дешава у вашем TCP/IP стеку. Имајући ово тренутно скенирање мреже Помаже вам да конфигуришете, дијагностикујете и подигнете ниво безбедности вашег рачунара или сервера.

Праћење који се уређаји повезују, који су портови отворени и како је ваш рутер конфигурисан је од виталног значаја. Помоћу netstat-а такође добијате табеле рутирања и статистика по протоколу који вас воде када нешто не иде како треба: прекомерни саобраћај, грешке, загушења или неовлашћене везе.

Користан савет: Пре него што покренете озбиљну анализу помоћу netstat-а, затворите све апликације које вам нису потребне, па чак и Поново покрените ако је могућеНа овај начин ћете избећи буку и постићи прецизност у ономе што је заиста важно.

Утицај на перформансе и најбоље праксе за коришћење

Само покретање netstat-а неће покварити ваш рачунар, али његово прекомерно коришћење или коришћење са превише параметара одједном може потрошити процесор и меморију. Ако га покрећете континуирано или филтрирате море података, оптерећење система се повећава и перформансе могу да пате.

Да бисте смањили његов утицај, ограничите га на одређене ситуације и фино подесите параметре. Ако вам је потребан континуирани проток, процените специфичније алате за праћење. И запамтите: мање је више када је циљ испитивање одређеног симптома.

• Ограничите употребу на време када вам је заиста потребна погледајте активне везе или статистику.
• Прецизно филтрирајте да бисте приказали само неопходне информације.
• Избегавајте заказивање извршења у веома кратким интервалима који засићене ресурсе.
• Размислите о наменским комуналним услугама ако тражите праћење у реалном времену Напреднији.

Предности и ограничења коришћења нетстата

Нетстат остаје популаран међу администраторима и техничарима јер пружа Тренутна видљивост веза и портове које користе апликације. За неколико секунди можете открити ко кому говори и преко којих портова.

Такође олакшава праћење и решавање проблемаЗагушења, уска грла, сталне везе… све то долази до изражаја када погледате релевантне статусе и статистику.

• Брзо откривање неовлашћених веза или могућих упада.
• Праћење сесије између клијената и сервера како би се лоцирали падови или кашњења.
• Евалуацион де рендимиенто протоколом како би се дао приоритет побољшањима тамо где имају највећи утицај.

А шта не ради тако добро? Не пружа никакве податке (то му није намена), његов резултат може бити сложен за кориснике који нису технички упућени, а у веома велика окружења која се не могу скалирати као специјализовани систем (SNMP, на пример). Штавише, његова употреба је опала у корист ПоверСхелл и модерније комуналне услуге са јаснијим излазима.

Како користити нетстат из ЦМД-а и читати његове резултате

Отворите CMD као администратор (Старт, откуцајте „cmd“, кликните десним тастером миша, Покрени као администратор) или користите Терминал у оперативном систему Windows 11. Затим откуцајте нетстат и притисните Ентер да бисте добили фотографију тренутка.

Видећете колоне са протоколом (TCP/UDP), локалне и удаљене адресе са њиховим портовима и поље статуса (LISTENING, ESTABLISHED, TIME_WAIT, итд.). Ако желите бројеве уместо имена портова, покрените нетстат -н за директније читање.

Периодична ажурирања? Можете му рећи да се освежава сваких X секунди у одређеном интервалу: на пример нетстат -н 7 Ажурираће излаз сваких 7 секунди како би пратио промене уживо.

Ако вас занимају само успостављене везе, филтрирајте излаз помоћу findstr: netstat | findstr УСПОСТАВЉЕНОПромените на LISTENING, CLOSE_WAIT или TIME_WAIT ако желите да детектујете друга стања.

Корисни параметри netstat-а за истрагу

Ови модификатори вам омогућавају смањење буке и фокусирајте се на оно што тражите:

• -a: приказује активне и неактивне везе и портове за слушање.
• -eстатистика пакета интерфејса (долазних/одлазних).
• -f: разрешава и приказује удаљене FQDN-ове (потпуно квалификована имена домена).
• -n: приказује нерешене бројеве портова и ИП адреса (брже).
• -o: додаје PID процеса који одржава везу.
• -п X: филтери по протоколу (TCP, UDP, tcpv6, tcpv4...).
• -q: портови за слушање и портови који не слушају повезани са упитима.
• -sСтатистика груписана по протоколу (TCP, UDP, ICMP, IPv4/IPv6).
• -r: тренутна табела рутирања система.
• -t: информације о везама у стању преузимања.
• -xДетаљи о NetworkDirect вези.

Практични примери за свакодневни живот

Да бисте навели отворене портове и везе са њиховим PID-ом, покрените нетстат -аноСа тим ПИД-ом можете унакрсно референцирати процес у Менаџеру задатака или помоћу алата као што је TCPView.

Ако вас занимају само IPv4 везе, филтрирајте по протоколу са netstat -p IP и уштедећете буку на излазу.

Глобална статистика по протоколу долази из нетстат -сДок ако желите активност интерфејса (послато/примљено), то ће функционисати нетстат -е да имају прецизне бројке.

Да бисте пронашли проблем са удаљеним разрешавањем имена, комбинујте netstat -f са филтрирањем: на пример, netstat -f | findstr мојдомен Вратиће само оно што се подудара са тим доменом.

Када је Wi-Fi спор, а netstat пун чудних веза

Класичан случај: споро прегледање, тест брзине који се покреће повремено, али даје нормалне бројке, а када се покрене netstat, појављује се следеће: десетине веза УСПОСТАВЉЕНОЧесто је кривац прегледач (на пример, Фајерфокс због начина на који обрађује вишеструке сокете), и чак и ако затворите прозоре, позадински процеси могу наставити да одржавају сесије.

Шта да радите? Прво, поистоветите се са нетстат -ано Забележите PID-ове. Затим проверите у Task Manager-у или помоћу Process Explorer-а/TCPView-а који процеси стоје иза тога. Ако веза и процес делују сумњиво, размислите о блокирању IP адресе из Windows заштитног зида. покрените антивирусно скенирање И, ако вам се ризик чини високим, привремено искључите опрему из мреже док се то не разјасни.

Ако се поплава сесија настави након поновне инсталације прегледача, проверите екстензије, привремено онемогућите синхронизацију и видите да ли су и други клијенти (као што је ваш мобилни уређај) спори: то указује на проблем. проблем са мрежом/интернет провајдером а не локални софтвер.

Имајте на уму да netstat није монитор у реалном времену, али можете га симулирати помоћу нетстат -н 5 да се освежава сваких 5 секунди. Ако вам је потребан континуирани и практичнији панел, погледајте ТЦПВиев или више наменских алтернатива за праћење.

Блокирајте одређене Wi-Fi мреже из CMD-а

Ако постоје мреже у близини које не желите да видите или да ваш уређај покуша да их користи, можете филтрирајте их из конзолеКоманда вам омогућава блокирати одређени SSID и управљајте њиме без додиривања графичког панела.

Отворите CMD као администратор и користи:

netsh wlan add filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Након покретања, та мрежа ће нестати са листе доступних мрежа. Да бисте проверили шта сте блокирали, покрените нетсх влан схов филтерс пермиссион=блоцкА ако се покајете, обришите га помоћу:

netsh wlan delete filter permission=block ssid="Nombre real de la red" networktype=infrastructure

Блокирајте сумњиве ИП адресе помоћу Windows заштитног зида

Ако откријете да иста јавна ИП адреса покушава сумњиве радње против ваших услуга, брз одговор је креирајте правило које блокира Те везе. У графичкој конзоли додајте прилагођено правило, примените га на „Све програме“, протокол „Било који“, наведите удаљене ИП адресе које желите да блокирате, означите „Блокирај везу“ и примените на домен/приватно/јавно.

Да ли више волите аутоматизацију? Помоћу PowerShell-а можете да креирате, мењате или бришете правила без кликања. На пример, да бисте блокирали одлазни Telnet саобраћај, а затим ограничили дозвољену удаљену IP адресу, можете користити правила са Нев-НетФиреваллРуле а затим подесите са Сет-НетФиреваллРуле.

# Bloquear tráfico saliente de Telnet (ejemplo)
New-NetFirewallRule -DisplayName "Block Outbound Telnet" -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block

# Cambiar una regla existente para fijar IP remota
Get-NetFirewallPortFilter | ?{ $_.LocalPort -eq 80 } | Get-NetFirewallRule | ?{ $_.Direction -eq "Inbound" -and $_.Action -eq "Allow" } | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Да бисте управљали правилима по групама или брисали правила блокирања одједном, ослоните се на Омогући/Онемогући/Уклони правило NetFirewall-а и у упитима са џокер знаковима или филтерима по својствима.

Најбоље праксе: Не онемогућавајте услугу заштитног зида

Мајкрософт саветује да се не зауставља сервис заштитног зида (MpsSvc). То може изазвати проблеме са менијем „Старт“, проблеме са инсталирањем модерних апликација или друге проблеме. грешке при активацији Телефоном. Ако, због политике, треба да онемогућите профиле, учините то на нивоу конфигурације заштитног зида или групне позиције (GPO), али оставите услугу покренуту.

Профили (домен/приватни/јавни) и подразумеване радње (дозволи/блокирај) могу се подесити из командне линије или конзоле заштитног зида. Добро дефинисане подразумеване вредности спречавају нехотичне рупе приликом креирања нових правила.

FortiGate: Блокирајте SSL VPN покушаје са сумњивих јавних IP адреса

Ако користите FortiGate и видите неуспешне покушаје пријављивања на ваш SSL VPN са непознатих IP адреса, креирајте пул адреса (на пример, црна листа) и додајте све конфликтне ИП адресе тамо.

У конзоли унесите подешавања SSL VPN-а помоћу конфигурација VPN SSL подешавања и примењује се: поставите изворну адресу „blacklistipp“ y омогући негирање изворне адресе. Са а шоу Потврђујете да је примењено. На овај начин, када неко дође са тих ИП адреса, веза ће бити одбијена од самог почетка.

Да бисте проверили саобраћај који стиже до те ИП адресе и порта, можете користити дијагностикујте снифер пакет било који „хост XXXX и порт 10443“ 4, и са преузмите ВПН ССЛ монитор Проверавате дозвољене сесије са ИП адреса које нису укључене у листу.

Други начин је SSL_VPN > Ограничи приступ > Ограничи приступ одређеним хостовимаМеђутим, у том случају одбијање се дешава након уноса акредитива, а не одмах као преко конзоле.

Алтернативе за netstat за преглед и анализу саобраћаја

Ако тражите више удобности или детаља, постоје алати који то пружају. графика, напредни филтери и дубинско снимање пакета:

• Виресхарк: снимање и анализа саобраћаја на свим нивоима.
• ипроуте2 (Линукс): услужни програми за управљање TCP/UDP и IPv4/IPv6 протоколима.
• ГлассВиреАнализа мреже са управљањем заштитним зидом (фајерволом) и фокусом на приватност.
• Праћење времена употребе узлазних трендоваКонтинуирано праћење локације и упозорења.
• Germain UXпраћење усмерено на вертикале као што су финансије или здравство.
• АтераRMM пакет са праћењем и даљинским приступом.
• КлаудшаркВеб аналитика и дељење снимака екрана.
• иптраф / ифтоп (Линукс): Саобраћај у реалном времену преко веома интуитивног интерфејса.
• ss (Статистика сокета) (Линукс): модерна, јаснија алтернатива за нетстат.

Блокирање ИП адреса и његов утицај на SEO, плус стратегије за ублажавање

Блокирање агресивних ИП адреса има смисла, али будите опрезни са блокирајте ботове претраживачаЈер бисте могли да изгубите индексирање. Блокирање земаља такође може искључити легитимне кориснике (или ВПН-ове) и смањити вашу видљивост у одређеним регионима.

Допунске мере: додајте ЦАПТЦХА Да бисте зауставили ботове, примените ограничавање брзине како бисте спречили злоупотребу и поставите CDN како бисте ублажили DDoS расподелом оптерећења на дистрибуиране чворове.

Ако ваш хостинг користи Apache и имате омогућено геоблокирање на серверу, можете преусмеравање посета из одређене земље користећи .htaccess са правилом преписивања (генерички пример):

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Да бисте блокирали ИП адресе на хостингу (Plesk), можете и да измените .хтаццесс и одбијте одређене адресе, увек уз претходну резервну копију датотеке у случају да је потребно да вратите измене.

Детаљно управљајте Windows заштитним зидом помоћу PowerShell-а и netsh-а

Поред креирања појединачних правила, PowerShell вам даје потпуну контролу: дефинишите подразумеване профиле, креирати/мењати/брисати правила, па чак и радити против Active Directory GPO-ова са кешираним сесијама како би се смањило оптерећење контролера домена.

Брзи примери: креирање правила, промена његове удаљене адресе, омогућавање/онемогућавање целих група и уклоните правила блокирања једним потезом. Објектно оријентисани модел омогућава упите филтера за портове, апликације или адресе и уланчавање резултата помоћу цевовода.

Да бисте управљали удаљеним тимовима, ослоните се на ВинРМ и параметри -CimSessionОво вам омогућава да наведете правила, измените или обришете уносе на другим машинама без напуштања конзоле.

Грешке у скриптама? Користите -ЕррорАцтион СилентлиЦонтинуе да се потисне „правило није пронађено“ приликом брисања, -Шта ако за преглед и -Потврди Ако желите потврду за сваку ставку. Са -Вербосе Имаћете више детаља о извршењу.

IPsec: Аутентификација, шифровање и изолација заснована на политикама

Када вам је потребан само аутентификовани или шифровани саобраћај, комбинујете Правила заштитног зида и IPsec-аКреирајте правила транспортног режима, дефинишите криптографске скупове и методе аутентификације и повежите их са одговарајућим правилима.

Ако ваш партнер захтева IKEv2, можете га навести у IPsec правилу са аутентификацијом помоћу сертификата уређаја. И ово је могуће. правила копирања са једног GPO-а на други и њихове повезане скупове ради убрзавања имплементације.

Да бисте изоловали чланове домена, примените правила која захтевају аутентификацију за долазни саобраћај и захтевају је за одлазни саобраћај. Такође можете захтевају чланство у групама са SDDL ланцима, ограничавајући приступ овлашћеним корисницима/уређајима.

Нешифроване апликације (као што је telnet) могу бити приморане да користе IPsec ако креирате правило заштитног зида „дозволи ако је безбедно“ и IPsec политику која Захтевајте аутентификацију и шифровањеНа тај начин ништа не путује јасно.

Аутентификовано заобилажење и безбедност крајњих тачака

Аутентификациони заобилазак омогућава саобраћају од поузданих корисника или уређаја да заобиђе правила блокирања. Корисно за сервери за ажурирање и скенирање без отварања лука целом свету.

Ако тражите свеобухватну безбедност за више апликација, уместо да креирате правило за сваку од њих, преместите ауторизација за IPsec слој са листама група машина/корисника дозвољених у глобалној конфигурацији.

Савладавање netstat-а да бисте видели ко се повезује, коришћење netsh-а и PowerShell-а за спровођење правила и скалирање помоћу IPsec-а или периметралних заштитних зидова попут FortiGate-а даје вам контролу над вашом мрежом. Са Wi-Fi филтерима заснованим на CMD-у, добро дизајнираним блокирањем IP адреса, SEO мерама предострожности и алтернативним алатима када вам је потребна детаљнија анализа, моћи ћете да... благовремено откривање сумњивих веза и блокирајте их без ометања вашег пословања.