Cara memblokir koneksi mencurigakan dari CMD

Pembaharuan Terakhir: 19/11/2025
penulis: Isaac
  • Mendeteksi aktivitas anomali dengan netstat dan mencatat blok di pfirewall.log
  • Blokir IP dan rentang dengan netsh/PowerShell di Windows dan dengan rute UFW/ip di Linux
  • Otomatiskan dan tingkatkan keamanan IPsec Anda, dan manfaatkan pembatasan kecepatan dan CDN.

Blokir koneksi mencurigakan dari CMD

Saat Anda menyadari adanya lonjakan lalu lintas yang aneh, sesi terbuka yang tidak ada gunanya, atau port yang mendengarkan di tempat yang tidak seharusnya, hal ideal yang harus dilakukan adalah bereaksi tanpa membuang waktu dari konsol. Blokir koneksi mencurigakan dari CMD (o terminalCepat, dapat diaudit, dan tidak bergantung pada antarmuka grafis, sehingga Anda tidak perlu repot di Windows maupun Linux.

Dalam panduan ini Anda akan menemukan segalanya mulai dari penggunaan netstat untuk mengetahui apa yang dikatakan di mesin Anda, bahkan aturannya Firewall Windows dengan netsh dan PowerShell, bersama dengan alternatif seperti UFW dan firewalld di Linux, pemblokiran melalui .htaccess, kasus yang melibatkan FortiGate, dan peringatan tentang SEO dan kinerja. Semua dengan perintah praktik terbaik dan opsi yang jelas untuk otomatisasi.

Netstat: apa itu, apa fungsinya, dan bagaimana cara memaksimalkannya

Nama netstat berasal dari Network + Statistics dan tujuannya adalah untuk menunjukkan kepada Anda, dalam bentuk mentah, status koneksi dan port Anda. Telah diintegrasikan ke dalam Windows, Linux, macOS dan sistem lainnya selama beberapa dekade. UnixTidak memiliki antarmuka grafis dan sempurna untuk diagnostik cepat atau audit dasar.

Selain mencantumkan koneksi dan soket TCP/UDP (IPv4/IPv6), netstat menawarkan tabel routing, metrik per protokol, dan kesalahanSebelum melakukan analisis serius, tutup perangkat lunak yang tidak diperlukan atau bahkan mulai ulang dan jalankan netstat dengan jumlah yang berjalan minimum, sehingga terhindar dari gangguan pada keluaran. Jika Anda lebih suka sesuatu yang visual di Windows, TCPView menampilkan film yang sama dengan antarmuka pengguna..

Dampak pada kinerja saat menggunakan netstat

Netstat sendiri tidak akan merusak apa pun, tetapi menjalankannya secara berulang dengan seribu parameter dapat menghabiskan CPU dan memori jika Anda memiliki banyak koneksi. Minimalkan dampaknya, gunakan hanya bila diperlukan, saring hanya apa yang Anda butuhkan, dan hindari meluncurkannya setiap beberapa detik tanpa alasan..

  • Batasi penggunaannya pada momen diagnostik atau verifikasi.
  • Gunakan parameter tertentu untuk menghindari menelan daftar yang panjang.
  • Jika Anda memerlukan pemantauan berkelanjutan, pertimbangkan untuk menggunakan alat jaringan khusus.

Dalam lingkungan yang besar atau kritis, tinjau prosedur dengan tim sistem. Merencanakan bagaimana, kapan, dan dengan filter apa untuk menjalankan netstat menghindari biaya dan penundaan.

Keuntungan dan kerugian netstat

Di antara kekuatannya adalah visibilitas semua koneksi aktif, pelacakan sesi, dan pemantauan protokol. Membantu mendeteksi intrusi, kemacetan, dan menyelesaikan insiden..

  • Visibilitas dan kontrol port dan proses pendengaran.
  • Pemantauan penggunaan jaringan dan deteksi kemacetan.
  • Mengidentifikasi koneksi yang tidak sah untuk memutusnya tepat waktu.
  • Mendiagnosis masalah kinerja dan koneksi yang persisten.
  Apa itu obor? Kegunaan, Fitur, Pendapat, Harga

Di sisi negatifnya, outputnya padat bagi pengguna non-teknis, tidak mengenkripsi apa pun, dan tidak memadai di lingkungan yang besar. Selain itu, dalam sistem modern banyak tugas telah dipindahkan ke PowerShell di Windowsyang lebih fleksibel dan dapat dituliskan skenarionya.

  • Kurva pembelajaran jika Anda tidak menguasai jaringan.
  • Kurangnya skalabilitas untuk jaringan besar.
  • Analisis terbatas: untuk kedalaman nyata Anda memerlukan perangkat lunak lain (misalnya, Wireshark).

Menggunakan netstat di Windows: parameter dan contoh yang berguna

Buka Command Prompt atau Terminal sebagai administrator dan jalankan netstat. Anda akan melihat Proto (TCP/UDP), alamat lokal/jarak jauh, dan status (MENDENGARKAN, DIBUAT, dll.). Untuk melihat port dalam angka, gunakan netstat -nJika Anda ingin penyegaran otomatis, tambahkan interval di akhir (misalnya, 7 detik).

Parameter utama untuk investigasi lebih lanjut: -a (semua koneksi dan port mendengarkan), -e (statistik antarmuka), -f (FQDN jarak jauh), -n (numerik), -o (PID per koneksi), -p X (filter berdasarkan protokol), -q (port terhubung), -r (tabel perutean), -s (statistik berdasarkan protokol), -t (memulangkan), -x (Jaringan Langsung)

  • netstat -ano Ini menunjukkan port terbuka, koneksi, dan PID untuk referensi silang dengan Manajer Tugas. Ideal untuk berburu proses langka.
  • netstat -p IP Daftar koneksi protokol IPv4 menurut keluaran sistem. Jika Anda hanya tertarik pada IPv4, Anda menyaring kebisingan.
  • netstat -a Mengajarkan segala sesuatu yang aktif dan mendengarkan.
  • netstat | findstr ESTABLISHED Filter koneksi yang dibuat (ubah ke LISTENING, CLOSE_WAIT atau TIME_WAIT sesuai kebutuhan). Pencarian cepat untuk status.
  • netstat -s y netstat -e Mereka menyusun statistik berdasarkan protokol dan antarmuka.
  • netstat -r menampilkan rute aktif; netstat -f selesaikan FQDN (gabungkan dengan findstr berdasarkan domain untuk mengisolasi hasil).

Blokir IP dan koneksi yang mencurigakan dari CMD/Terminal

Ketika Anda mendeteksi alamat IP aneh di netstat atau di logHal yang bijaksana untuk dilakukan adalah memblokirnya di firewall. Di Windows, Anda dapat melakukannya dengan... netsh dan juga dengan PowerShell; di Linux, dengan rute ip, UFW atau iptables/firewalld. Jika situs web Anda berjalan di Apache, Anda bahkan dapat menolak akses dari file .htaccess Anda..

Windows: netsh (Windows Firewall)

Jalankan CMD sebagai administrator dan masuk ke konteks lanjutan: netsh advfirewallUntuk mengaktifkan firewall di profil aktif: set currentprofile state on. Ini memastikan bahwa aturan ditegakkan..

  • Blokir alamat IP masuk di semua program: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
  • Blokir rentang: ... remoteip=203.0.113.0/24
  • Hapus aturan: netsh advfirewall firewall delete rule name=Bloqueo_IP
  • Pulihkan nilai default: netsh advfirewall reset

Jika Anda lebih suka konsol grafis: buka "Windows Firewall dengan Keamanan Lanjutan" dan buat Aturan entri khusus untuk memblokir IP atau rentang dalam "Cakupan". Pilih “Blokir koneksi” dan terapkan ke Domain/Pribadi/Publik.

  Firefox 136 memperkenalkan tab vertikal dan penyempurnaan pada Linux

Windows: GUI Klasik langkah demi langkah (blok IP)

Cara lain yang sangat mudah adalah membuat aturan dari Firewall (MMC): pilih "Aturan baru" > "Kustom", terapkan ke "Semua program", protokol "Apa saja", dan di "Cakupan" tambahkan IP atau rentang yang akan diblokir. Pilih “Blokir koneksi”, terapkan ke ketiga profil dan beri nama.

Linux: Blok dengan jalur "lubang hitam"

Jika Anda ingin membuang lalu lintas dari IP atau rentang pada tingkat perutean, Anda dapat membuat rute hitam. Cepat dan efektif, ideal untuk melawan serangan berisik.

  • Alamat IP spesifik: ip route add blackhole 24.92.120.34/32
  • Rentang /24: ip route add blackhole 22.118.20.0/24
  • Lihat tabel: ip route
  • Menghapus: ip route del blackhole 22.118.20.0/24

Pada sistem lama Anda akan melihat route add -host 24.92.120.34 rejectNamun saat ini sudah umum digunakan rute ip. Kedua pendekatan tersebut mengarah pada hal yang sama: lubang hitam.

Blokir dari .htaccess (hosting Apache)

Jika yang mengganggu Anda adalah akses web (komentar spam, upaya masuk ke panel), Anda dapat memblokirnya berdasarkan IP di hosting Anda (Plesk/Apache). Edit file httpdocs .htaccess setelah membuat salinan.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

Untuk beberapa asal, tambahkan lebih banyak baris Tolak. Selalu buat salinan file .htaccess Anda sebelum membuat perubahan apa pun; itu akan menyelamatkan Anda dari kejutan yang tidak menyenangkan..

Pemblokiran geografis dan SEO

Dengan modul GeoIP Anda dapat mengalihkan berdasarkan negara dari .htaccess, misalnya ke halaman kesalahan jika kode negara cocok. Gunakan hanya jika server mendukung pemblokiran geografis dan mengetahui bahwa itu memengaruhi SEO dan pengguna dengan VPN.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Hindari memblokir bot mesin pencari atau Anda akan merusak pengindeksan. Menangani pengecualian untuk Googlebot/Bingbot dan meninjau Search Console.

Alternatif untuk pemblokiran langsung

Sebelum melakukan pembongkaran, pertimbangkan gesekan cerdas: CAPTCHA, pembatasan kecepatan, dan CDN yang menyerap lonjakan dan menyaring DDoS. Tindakan ini tidak terlalu mengganggu dan lebih dapat ditingkatkan skalanya..

Mengotomatiskan aturan dengan PowerShell (Windows) dan IPsec

PowerShell memungkinkan Anda membuat, mengubah, mengekspor ke GPO, dan mengaudit aturan firewall dengan tepat. Dan jika Anda membutuhkan keamanan jaringan tingkat paket, tambahkan IPsec..

  Apa itu Single Sign-On (SSO) dan Social Login: panduan lengkap

Buat aturan pemblokiran keluar berdasarkan aplikasi dan port di GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

Untuk mengurangi beban pada pengontrol, simpan GPO dalam sesi, terapkan perubahan, dan simpan: Open-NetGPO, Aturan NetFirewall Baru -GPOSession, Simpan-NetGPO. Anda menghindari perjalanan yang tidak perlu ke DC.

Mengubah aturan yang ada semudah berkonsultasi dengan mereka Get-NetFirewallRule dan filter terkaitnya (port, alamat) dan rantai dengan Set-NetFirewallRule. Anda juga dapat mengaktifkannya per grup dengan Enable-NetFirewallRule -DisplayGroup.

Untuk pembersihan yang terkendali: Remove-NetFirewallRule -Action Block atau periksa terlebih dahulu, simpan dalam variabel dan hapus dengan konfirmasi. -ErrorAction Diam-diamLanjutkan Hindari kebisingan jika sesuatu tidak ada lagi.

Manajemen jarak jauh: gunakan -Sesi Cim untuk berkonsultasi atau mengubah aturan pada tim lain (New-CimSession dan bertindak). WinRM diaktifkan secara default..

IPsec: buat aturan transportasi, tentukan proposal kriptografi, gunakan IKEv2 jika mitra Anda memerlukannya, dan terapkan isolasi domain (Kerberos). Anda dapat meminta "izinkan jika aman" di firewall dan mencadangkannya dengan aturan autentikasi dan enkripsi IPsec..

Untuk mengelompokkan akses, buat string SDDL dengan SID pengguna/peralatan dan rujuk dalam aturan. Dengan cara ini, hanya sebagian kecil yang sah yang memiliki akses dan lalu lintasnya dienkripsi..

Log, apa yang diblokir firewall, dan pengujian port

Sebaiknya aktifkan pencatatan paket yang terjatuh di "Windows Firewall dengan Keamanan Lanjutan" > Properti Firewall > Log On > "Catat paket yang terjatuh: Ya". Berkas log default adalah %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Di sana Anda akan melihat apa, kapan, dan mengapa itu diblokir. Berguna untuk menyesuaikan aturan atau mendeteksi positif palsu.

Untuk memeriksa port terbuka pada IP publik Anda dari luar, YouGetSignal memberi Anda keputusan cepat (Penguji Penerusan Port). Masukkan port dan dalam hitungan detik Anda akan tahu apakah itu merespons.

Jika Anda mencurigai firewall memblokir aplikasi, buka "Izinkan aplikasi atau fitur melalui Windows Defender Firewall" dan sesuaikan pengaturan untuk setiap jaringan (Pribadi/Publik). Kelola daftar putih Anda dengan benar dan Anda akan terhindar dari pemblokiran konyol..