Jak blokovat podezřelá připojení z CMD

Poslední aktualizace: 19/11/2025
Autor: Isaac
  • Detekuje anomální aktivitu pomocí netstatu a zaznamenává bloky v pfirewall.log
  • Blokujte IP adresy a rozsahy pomocí netsh/PowerShellu Windows a s trasou UFW/ip v Linux
  • Automatizujte a posílte zabezpečení IPsec a využijte omezení rychlosti a CDN.

Blokování podezřelých připojení z CMD

Když si všimnete podivných nárůstů provozu, nesmyslných otevřených relací nebo portů naslouchajících tam, kde by neměly, ideální je reagovat, aniž byste ztráceli čas z konzole. Blokovat podezřelá připojení od CMD (o terminálJe rychlý, auditovatelný a nezávisí na grafickém rozhraní, takže vás dostane z problémů jak ve Windows, tak v Linuxu.

V této příručce najdete vše od použití netstat zjistit, co se říká na vašem počítači, dokonce i pravidla Brána firewall systému Windows s funkcí netsh a PowerShell, spolu s alternativami jako UFW a firewalld v Linuxu, blokováním přes .htaccess, případy týkajícími se FortiGate a varováním o SEO a výkonu. Vše s příkazy jasné, osvědčené postupy a možnosti automatizace.

Netstat: co to je, k čemu to je a jak z toho vytěžit maximum

Název netstat pochází z názvu Network + Statistics (Síť + Statistika) a jeho účelem je zobrazit vám v surové podobě stav vašich připojení a portů. Je integrován do systémů Windows, Linux, macOS a dalších po celá desetiletí. UnixNemá grafické rozhraní a je ideální pro rychlou diagnostiku nebo základní audity.

Kromě výpisu připojení a soketů TCP/UDP (IPv4/IPv6) nabízí netstat také směrovací tabulky, metriky podle protokolu a chybyPřed seriózní analýzou ukončete nepotřebný software nebo jej restartujte a spusťte netstat s minimálním počtem spuštěných programů, abyste se vyhnuli šumu ve výstupu. Pokud dáváte přednost něčemu vizuálnímu ve Windows, TCPView zobrazuje stejný film s uživatelským rozhraním..

Dopad na výkon při použití netstatu

Netstat sám o sobě nic nezlomí, ale jeho spuštění ve smyčce s tisíci parametry může spotřebovat CPU a paměť, pokud máte mnoho připojení. Minimalizujte dopad, používejte jej pouze v nezbytných případech, filtrujte pouze to, co potřebujete, a vyhněte se jeho spouštění každých pár sekund bezdůvodně..

  • Omezte jeho použití na diagnostické nebo ověřovací momenty.
  • Používejte specifické parametry, abyste se vyhnuli polykání obrovských seznamů.
  • Pokud potřebujete nepřetržitý monitoring, zvažte použití specializovaných síťových nástrojů.

Ve velkých nebo kritických prostředích si projděte postup se systémovým týmem. Plánování, jak, kdy a s jakými filtry spustit nástroj netstat, zabraňuje nákladům a zpožděním..

Výhody a nevýhody netstatu

Mezi jeho silné stránky patří viditelnost všech aktivních připojení, sledování relací a monitorování protokolů. Pomáhá odhalovat narušení, úzká hrdla a řešit incidenty..

  • Viditelnost a kontrola naslouchajících portů a procesů.
  • Monitorování využití sítě a detekce přetížení.
  • Identifikace neoprávněných připojení pro jejich včasné přerušení.
  • Diagnostika problémů s výkonem a přetrvávajících připojení.
  Jak detekovat a odstranit podezřelé soubory nebo malware v C:\Windows

Nevýhodou je, že jeho výstup je pro netechnické uživatele hustý, nic nešifruje a v rozsáhlých prostředích zaostává. Navíc v moderních systémech bylo mnoho úloh ve Windows přesunuto do PowerShellu.který je flexibilnější a skriptovatelnější.

  • Křivka učení, pokud nezvládnete sítě.
  • Nedostatečná škálovatelnost pro obrovské sítě.
  • Omezená analýza: pro skutečnou hloubku potřebujete jiné sady (např. Wireshark).

Použití netstatu ve Windows: užitečné parametry a příklady

Otevřete příkazový řádek nebo terminál jako správce a spusťte netstat. Uvidíte protokol Proto (TCP/UDP), lokální/vzdálené adresy a stav (NASLOUCHÁNÍ, ZŘÍZENO atd.). Pro zobrazení portů v číslech použijte příkaz netstat -n.Pokud chcete automatické obnovení, přidejte na konec interval (například 7 sekund).

Klíčové parametry pro další zkoumání: -a (všechna připojení a porty naslouchají), -e (statistiky rozhraní), -f (FQDN vzdáleného serveru), -n (číselné), -o (PID na připojení), -p X (filtrovat podle protokolu), -q (propojené porty), -r (směrovací tabulka), -s (statistiky podle protokolu), -t (splnit), -x (NetworkDirect)

  • netstat -ano Zobrazuje otevřené porty, připojení a PID pro porovnání s... Správce úloh. Ideální pro lov vzácných procesů.
  • netstat -p IP Seznam připojení protokolu IPv4 podle systémového výstupu. Pokud vás zajímá pouze IPv4, filtrujete šum.
  • netstat -a Učí vše, co je aktivní a naslouchá.
  • netstat | findstr ESTABLISHED Filtrujte navázaná spojení (podle potřeby změňte na LISTENING, CLOSE_WAIT nebo TIME_WAIT). Rychlý grep pro státy.
  • netstat -s y netstat -e Sestavují statistiky podle protokolu a rozhraní.
  • netstat -r zobrazuje aktivní trasy; netstat -f vyřešit FQDN (zkombinovat ho s findstr podle domény pro izolaci výsledků).

Blokovat podezřelé IP adresy a připojení z CMD/Terminálu

Když v službě netstat nebo ve svém protokolyRozumné je to zablokovat ve firewallu. Ve Windows to můžete udělat pomocí... netsh a také s PowerShell; na Linuxu s ip cesta, UFW nebo iptables/firewalld. Pokud váš web běží na Apache, můžete přístup odepřít i ze souboru .htaccess..

Windows: netsh (brána firewall systému Windows)

Spusťte CMD jako správce a zadejte rozšířený kontext: netsh advfirewallPovolení brány firewall v aktivním profilu: set currentprofile state on. Tím je zajištěno, že pravidla jsou vymáhána..

  • Blokovat příchozí IP adresu ve všech programech: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
  • Blokovat rozsah: ... remoteip=203.0.113.0/24
  • Smazat pravidlo: netsh advfirewall firewall delete rule name=Bloqueo_IP
  • Obnovit výchozí hodnoty: netsh advfirewall reset

Pokud dáváte přednost grafické konzoli: otevřete „Firewall systému Windows s pokročilým zabezpečením“ a vytvořte Vlastní pravidlo pro zadávání zablokovat IP adresu nebo rozsah v „Rozsahu“. Vyberte „Blokovat připojení“ a použijte pro Doménu/Soukromou/Veřejnou.

  Historie prvního počítačového viru a původ antivirového softwaru

Windows: Klasické grafické rozhraní krok za krokem (blokování IP adresy)

Dalším velmi pohodlným způsobem je vytvořit pravidlo z firewallu (MMC): vyberte „Nové pravidlo“ > „Vlastní“, použijte pro „Všechny programy“, protokol „Libovolný“ a v části „Rozsah“ přidejte IP adresu nebo rozsah, který chcete blokovat. Vyberte možnost „Blokovat připojení“, použijte ji na všechny tři profily a pojmenujte ji..

Linux: Blok s cestou „blackhole“

Pokud chcete na úrovni směrování zahodit provoz z IP adresy nebo rozsahu, můžete vytvořit černé trasy. Je rychlý a efektivní, ideální proti hlučným útokům.

  • Konkrétní IP adresa: ip route add blackhole 24.92.120.34/32
  • Rozsah /24: ip route add blackhole 22.118.20.0/24
  • Viz tabulka: ip route
  • Odstranit: ip route del blackhole 22.118.20.0/24

Ve starších systémech uvidíte route add -host 24.92.120.34 rejectAle dnes je běžné používat ip cesta. Oba přístupy ukazují na totéž: černou díru.

Blok z .htaccess (hosting Apache)

Pokud vám vadí přístup na web (spamové komentáře, pokusy o přístup do panelu), můžete si ho zablokovat pomocí IP adresy na vašem hostingu (Plesk/Apache). Po vytvoření kopie upravte soubor httpdocs .htaccess.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

Pro více zdrojů přidejte další řádky Deny. Před provedením jakýchkoli změn si vždy vytvořte kopii souboru .htaccess, ušetříte si tak nepříjemná překvapení..

Geoblokování a SEO

S moduly GeoIP můžete přesměrovávat z .htaccess podle země, například na chybovou stránku, pokud se shoduje kód země. Používejte jej pouze v případě, že server podporuje geoblokování a s vědomím, že to ovlivňuje SEO a uživatele s... VPN.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Vyhněte se blokování botů vyhledávačů, jinak zničíte indexování. Zpracování výjimek pro Googlebot/Bingbot a kontrola Search Console.

Alternativy k přímému blokování

Než se uchýlíte k demolici, zvažte inteligentní tření: CAPTCHA, omezení rychlosti a CDN které absorbují špičky a filtrují DDoS. Tato opatření jsou méně rušivá a škálovatelnější..

Automatizace pravidel pomocí PowerShellu (Windows) a IPsec

PowerShell umožňuje přesně vytvářet, měnit, exportovat do GPO a auditovat pravidla firewallu. A pokud potřebujete zabezpečení sítě na úrovni paketů, přidejte IPsec..

  Konektivita a digitální rovnost pro rovné příležitosti

Vytvořte pravidlo blokování odchozích zpráv podle aplikace a portu v objektu GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

Chcete-li snížit zátěž řadičů, uložte objekt GPO do mezipaměti relace, použijte změny a uložte je: Open-NetGPO, Nové pravidlo NetFirewallRule - GPOSession, Uložit – NetGPO. Vyhnete se zbytečným cestám do Washingtonu D.C..

Úprava stávajících pravidel je stejně snadná jako jejich konzultace s Get-NetFirewallRule a s ním spojené filtry (porty, adresy) a řetězec s Set-NetFirewallRule. Můžete to také povolit pro jednotlivé skupiny pomocí Enable-NetFirewallRule -DisplayGroup..

Pro kontrolované čištění: Remove-NetFirewallRule -Action Block nebo nejprve zkontrolovat, uložit do proměnné a smazat s potvrzením. -ErrorAction TišePokračovat Vyhněte se hluku, pokud něco již neexistuje.

Vzdálená správa: použití -CimSession konzultovat nebo měnit pravidla jiných týmů (New-CimSession a jednat). WinRM je ve výchozím nastavení povolen..

IPsec: vytváření transportních pravidel, definování kryptografických návrhů, použití IKEv2, pokud to váš protějšek vyžaduje, a použití izolace domény (Kerberos). V firewallu můžete vyžadovat „povolit, pokud je bezpečné“ a zálohovat jej pravidly ověřování a šifrování IPsec..

Chcete-li segmentovat přístup podle skupin, sestavte řetězce SDDL s identifikátory SID uživatelů/zařízení a odkazujte na ně v pravidle. Tímto způsobem má přístup pouze legitimní podmnožina a provoz je šifrovaný..

Protokoly, co firewall blokuje a testování portů

Doporučuje se povolit protokolování zahozených paketů v části „Brána firewall systému Windows s pokročilým zabezpečením“ > Vlastnosti brány firewall > Přihlásit se > „Zaznamenávat zahozené pakety: Ano“. Výchozí soubor protokolu je %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Tam uvidíte, co, kdy a proč je to blokováno. Užitečné pro úpravu pravidel nebo detekci falešně pozitivních výsledků.

Pro kontrolu otevřených portů na vaší veřejné IP adrese zvenčí vám YouGetSignal poskytne rychlý verdikt (Port Forwarding Tester). Zadejte port a během několika sekund budete vědět, jestli reaguje.

Pokud máte podezření, že firewall blokuje aplikaci, přejděte do části „Povolit aplikaci nebo funkci prostřednictvím firewallu programu Windows Defender“ a upravte nastavení pro každou síť (soukromá/veřejná). Správně spravujte svůj seznam povolených adres a vyhnete se hloupým blokům..