Kaip blokuoti įtartinus ryšius iš CMD

Paskutiniai pakeitimai: 19/11/2025
Autorius: Izaokas
  • Aptinka anomalią veiklą naudodamas „netstat“ ir registruoja blokus faile „pfirewall.log“.
  • Blokuokite IP adresus ir diapazonus naudodami „netsh“ / „PowerShell“ Windows ir su UFW/ip maršrutu Linux
  • Automatizuokite ir sustiprinkite IPsec saugumą, išnaudokite greičio ribojimą ir CDN.

Blokuokite įtartinus ryšius iš CMD

Pastebėjus keistus srauto šuolius, beprasmius atidarytus seansus arba prievadus, kurie klausosi ne ten, kur turėtų būti, idealiausia reaguoti negaištant laiko iš konsolės. Blokuoti įtartinus ryšius iš CMD (o terminalasJis yra greitas, lengvai audituojamas ir nepriklauso nuo grafinių sąsajų, todėl išvaduoja jus iš sunkumų tiek „Windows“, tiek „Linux“ sistemose.

Šiame vadove rasite viską, pradedant nuo naudojimo netstat kad sužinotumėte, kas sakoma jūsų įrenginyje, netgi taisykles „Windows“ užkarda su „netsh“ ir PowerShell ", kartu su alternatyvomis, tokiomis kaip UFW ir firewalld sistemoje „Linux“, blokavimu per .htaccess, atvejais, susijusiais su „FortiGate“, ir įspėjimais apie SEO ir našumas. Visi su komandos aiški geriausia automatizavimo praktika ir galimybės.

„Netstat“: kas tai yra, kam jis skirtas ir kaip juo pasinaudoti kuo geriau

Pavadinimas „netstat“ kilęs iš „Network + Statistics“, o jo paskirtis – parodyti jums neapdorotą jūsų ryšių ir prievadų būseną. Jis dešimtmečius buvo integruotas į „Windows“, „Linux“, „macOS“ ir sistemas. unixJis neturi grafinės sąsajos ir puikiai tinka greitai diagnostikai ar pagrindiniams auditams.

Be TCP/UDP (IPv4/IPv6) jungčių ir lizdų sąrašo, „netstat“ siūlo Maršruto lentelės, metrika pagal protokolą ir klaidosPrieš pradedant rimtą analizę, uždarykite nereikalingą programinę įrangą arba netgi paleiskite iš naujo ir paleiskite „netstat“ minimaliai paleisdami, taip išvengdami triukšmo išvestyje. Jei „Windows“ sistemoje pageidaujate kažko vizualaus, „TCPView“ rodo tą patį filmą su vartotojo sąsaja..

Poveikis našumui naudojant „netstat“

Pats savaime „Netstat“ nieko nesugadins, bet jos vykdymas cikle su tūkstančiu parametrų gali sunaudoti procesoriaus ir atminties išteklius, jei turite daug ryšių. Sumažinkite poveikį, naudokite jį tik tada, kai reikia, filtruokite tik pagal tai, ko jums reikia, ir venkite paleisti jį kas kelias sekundes be jokios priežasties..

  • Apriboti jo naudojimą diagnostikos ar patvirtinimo momentais.
  • Naudokite konkrečius parametrus, kad išvengtumėte didelių sąrašų prarijimo.
  • Jei jums reikia nuolatinio stebėjimo, apsvarstykite galimybę naudoti specialius tinklo įrankius.

Didelėse arba kritinėse aplinkose peržiūrėkite procedūrą su sistemų komanda. Planuojant, kaip, kada ir su kokiais filtrais vykdyti „netstat“, išvengiama išlaidų ir vėlavimų.

„Netstat“ privalumai ir trūkumai

Tarp jo stipriųjų pusių yra visų aktyvių ryšių matomumas, sesijos stebėjimas ir protokolo stebėjimas. Tai padeda aptikti įsilaužimus, kliūtis ir išspręsti incidentus..

  • Klausymosi prievadų ir procesų matomumas ir valdymas.
  • Tinklo naudojimo stebėjimas ir perkrovos aptikimas.
  • Neleistinų jungčių identifikavimas, siekiant jas laiku nutraukti.
  • Našumo problemų ir nuolatinių ryšių diagnostika.
  Kas yra Torch? Naudojimas, ypatybės, nuomonės, kainos

Neigiama pusė yra ta, kad jo išvestis yra tanki netechniniams vartotojams, ji nieko neužšifruoja ir nepakankamai gerai veikia didelėse aplinkose. Be to, šiuolaikinėse sistemose daugelis užduočių buvo perkeltos į „PowerShell“ sistemoje „Windows“.kuris yra lankstesnis ir pritaikomas scenarijams.

  • Mokymosi kreivė, jei neįvaldote tinklų.
  • Didelių tinklų mastelio stoka.
  • Ribota analizė: norint gauti išsamesnę informaciją, reikia kitų programų rinkinių (pvz., „Wireshark“).

„Netstat“ naudojimas sistemoje „Windows“: naudingi parametrai ir pavyzdžiai

Atidarykite komandų eilutę arba terminalą kaip administratorius ir paleiskite „netstat“. Pamatysite „Proto“ (TCP/UDP), vietinius/nuotolinius adresus ir būseną (KLAUSOMASI, ĮKURTA ir kt.). Norėdami matyti prievadus skaičiais, naudokite netstat -nJei norite automatinio atnaujinimo, pridėkite intervalą pabaigoje (pvz., 7 sekundes).

Pagrindiniai tolesnio tyrimo parametrai: -a (visos jungtys ir prievadai klausosi), -e (sąsajos statistika), -f (nuotolinio valdymo pulto FQDN), -n (skaitmeninis), -o (PID kiekvienam ryšiui), -p X (filtruoti pagal protokolą), -q (susieti prievadai), -r (maršruto lentelė), -s (statistika pagal protokolą), -t (išleidimas), -x (NetworkDirect)

  • netstat -ano Jame rodomi atviri prievadai, jungtys ir PID, kad būtų galima palyginti su Užduočių tvarkyklė. Idealiai tinka retų procesų medžioklei.
  • netstat -p IP IPv4 protokolo ryšių sąrašas pagal sistemos išvestį. Jei jus domina tik IPv4, filtruojate triukšmą.
  • netstat -a Jis moko visko, kas yra aktyvu ir klausosi.
  • netstat | findstr ESTABLISHED Filtruoti užmegztus ryšius (pakeiskite į LISTENING, CLOSE_WAIT arba TIME_WAIT, jei reikia). Greitas patarimas valstijoms.
  • netstat -s y netstat -e Jie renka statistiką pagal protokolą ir sąsają.
  • netstat -r rodo aktyvius maršrutus; netstat -f išspręsti FQDN (sujungti su findstr pagal domeną, kad būtų galima išskirti rezultatus).

Blokuokite įtartinus IP adresus ir ryšius iš CMD/Terminalo

Kai „netstat“ arba jūsų sistemoje aptinkate keistą IP adresą žurnalaiProtingiausia būtų užblokuoti tai užkardoje. „Windows“ sistemoje tai galite padaryti... netsh taip pat su PowerShell "; „Linux“ sistemoje su IP maršrutas, UFW arba iptables/firewalld. Jei jūsų svetainė veikia su „Apache“, galite netgi uždrausti prieigą iš savo .htaccess failo..

„Windows“: netsh („Windows“ užkarda)

Paleiskite CMD kaip administratorius ir įveskite išplėstinį kontekstą: netsh advfirewallNorėdami įjungti užkardą aktyviame profilyje: set currentprofile state on. Tai užtikrina, kad taisyklės būtų vykdomos..

  • Blokuoti gaunamą IP adresą visose programose: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
  • Blokuoti diapazoną: ... remoteip=203.0.113.0/24
  • Ištrinti taisyklę: netsh advfirewall firewall delete rule name=Bloqueo_IP
  • Atkurti numatytąsias reikšmes: netsh advfirewall reset

Jei pageidaujate grafinės konsolės: atidarykite „Windows ugniasienę su išplėstiniu saugumu“ ir sukurkite Pasirinktinė įvesties taisyklė norint užblokuoti IP adresą arba diapazoną „Apimties srityje“. Pasirinkite „Blokuoti ryšį“ ir pritaikykite domenui / privačiam / viešam.

  „Firefox 136“ pristato vertikalius skirtukus ir „Linux“ patobulinimus

„Windows“: klasikinė grafinė sąsaja, žingsnis po žingsnio (IP blokavimas)

Kitas labai patogus būdas – sukurti taisyklę iš užkardos (MMC): pasirinkite „Nauja taisyklė“ > „Pasirinktinė“, pritaikykite „Visoms programoms“, protokolą pasirinkite „Bet kuri“ ir „Apimtis“ skiltyje pridėkite blokuojamą IP adresą arba diapazoną. Pasirinkite „Blokuoti ryšį“, pritaikykite jį visiems trims profiliams ir pavadinkite jį.

Linux: Blokuoti su „juodosios skylės“ keliu

Jei norite atmesti srautą iš IP adreso ar diapazono maršruto lygmeniu, galite sukurti juodus maršrutus. Tai greita ir efektyvu, idealiai tinka prieš triukšmingas atakas.

  • Konkretus IP adresas: ip route add blackhole 24.92.120.34/32
  • Diapazonas /24: ip route add blackhole 22.118.20.0/24
  • Žr. lentelę: ip route
  • Pašalinti: ip route del blackhole 22.118.20.0/24

Senesnėse sistemose matysite route add -host 24.92.120.34 rejectTačiau šiandien tai įprasta naudoti IP maršrutas. Abu požiūriai rodo tą patį dalyką: juodąją skylę..

Blokuoti iš .htaccess (Apache talpinimas)

Jei jus vargina prieiga prie interneto (šlamšto komentarai, bandymai prisijungti prie grupės), galite ją užblokuoti naudodami IP adresą savo talpinimo serveryje („Plesk“ / „Apache“). Redaguokite httpdocs .htaccess failą po kopijos sukūrimo.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

Jei kilmės šalių yra kelios, pridėkite daugiau „Deny“ eilučių. Prieš atlikdami bet kokius pakeitimus, visada padarykite .htaccess failo kopiją; tai apsaugos jus nuo nemalonių staigmenų..

Geografinis blokavimas ir SEO

Naudodami „GeoIP“ modulius, galite peradresuoti pagal šalį iš .htaccess failo, pavyzdžiui, į klaidos puslapį, jei šalies kodas sutampa. Naudokite jį tik tuo atveju, jei serveris palaiko geoblokavimą ir žinote, kad tai veikia SEO ir naudotojus VPT.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Venkite blokuoti paieškos sistemų robotus, kitaip sugadinsite indeksavimą. Tvarkyti „Googlebot“ / „Bingbot“ išimtis ir peržiūrėti „Search Console“.

Tiesioginio blokavimo alternatyvos

Prieš griebdamiesi griovimo, apsvarstykite išmaniąją trintį: CAPTCHA, greičio ribojimas ir CDN kurie sugeria šuolius ir filtruoja DDoS atakas. Šios priemonės yra mažiau įkyrios ir labiau pritaikomos..

Taisyklių automatizavimas naudojant „PowerShell“ („Windows“) ir IPsec

„PowerShell“ leidžia tiksliai kurti, keisti, eksportuoti į GPO ir tikrinti užkardos taisykles. O jei jums reikia paketinio lygio tinklo saugumo, pridėkite IPsec..

  Kas yra vienkartinis prisijungimas (SSO) ir prisijungimas per socialinius tinklus: išsamus vadovas

Sukurkite siunčiamų pranešimų blokavimo taisyklę pagal programą ir prievadą GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

Norėdami sumažinti valdiklių apkrovą, kaupkite GPO sesijoje talpykloje, pritaikykite pakeitimus ir išsaugokite: Atviras tinklo GPO, Nauja „NetFirewallRule“ – „GPOSession“, Įrašyti „NetGPO“. Vengiate nebūtinų kelionių į Vašingtoną.

Esamų taisyklių keitimas yra toks pat paprastas, kaip ir jų konsultavimas su Get-NetFirewallRule ir su juo susijusius filtrus (prievadus, adresus) ir grandinę su Set-NetFirewallRule. Taip pat galite įjungti ją grupėje naudodami „Enable-NetFirewallRule -DisplayGroup“..

Kontroliuojamam valymui: Remove-NetFirewallRule -Action Block arba pirmiausia patikrinkite, išsaugokite kintamajame ir ištrinkite patvirtindami. -ErrorAction TyliaiTęsti Venkite triukšmo, jei kažko nebėra.

Nuotolinis valdymas: naudojimas -CimSession konsultuotis su kitomis komandomis arba keisti jų taisykles (New-CimSession ir veiksmas). „WinRM“ yra įjungta pagal numatytuosius nustatymus..

IPsec: sukurkite perdavimo taisykles, apibrėžkite kriptografinius pasiūlymus, naudokite IKEv2, jei to reikalauja jūsų partneris, ir pritaikykite domeno izoliaciją (Kerberos). Užkardoje galite reikalauti „leisti, jei saugu“ ir sukurti atsarginę kopiją su IPsec autentifikavimo ir šifravimo taisyklėmis..

Norėdami segmentuoti prieigą pagal grupes, sukurkite SDDL eilutes su vartotojo / įrangos SID ir nurodykite jas taisyklėje. Tokiu būdu prieigą turi tik teisėtas pogrupis, o srautas yra užšifruotas..

Žurnalai, ką blokuoja užkarda ir prievadų testavimas

Patartina įjungti prarastų paketų registravimą skiltyje „Windows ugniasienė su išplėstiniu saugumu“ > „Ugniasienės ypatybės“ > „Prisijungti“ > „Registruoti prarastus paketus: Taip“. Numatytasis žurnalo failas yra %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Ten pamatysite, kas, kada ir kodėl užblokuota. Naudinga koreguojant taisykles arba aptinkant klaidingus teigiamus rezultatus.

Norėdami patikrinti atvirus prievadus savo viešajame IP adrese iš išorės, „YouGetSignal“ pateikia greitą verdiktą (prievadų persiuntimo testeris). Įveskite prievadą ir po kelių sekundžių sužinosite, ar jis reaguoja.

Jei įtariate, kad užkarda blokuoja programėlę, eikite į „Leisti programėlę arba funkciją per „Windows Defender“ užkardą“ ir pakoreguokite kiekvieno tinklo (privataus / viešojo) nustatymus. Tinkamai tvarkykite savo baltąjį sąrašą ir išvengsite kvailų blokavimų..