Slik blokkerer du mistenkelige tilkoblinger fra CMD

Når du legger merke til merkelige trafikktopper, meningsløse åpne økter eller porter som lytter der de ikke skal være, er det ideelle å reagere uten å kaste bort tid fra konsollen. Blokker mistenkelige tilkoblinger fra CMD (o terminalDen er rask, kontrollerbar og ikke avhengig av grafiske grensesnitt, så den hjelper deg ut av vanskeligheter på både Windows og Linux.

I denne guiden finner du alt fra bruk av netstat å oppdage hva som blir sagt på maskinen din, til og med regler for Windows-brannmur med netsh og PowerShell, sammen med alternativer som UFW og firewalld på Linux, blokkering via .htaccess, saker som involverer FortiGate og advarsler om SEO og ytelse Alt sammen med kommandoer tydelige, beste praksiser og alternativer for automatisering.

Netstat: hva det er, hva det er til for og hvordan du får mest mulig ut av det

Navnet netstat kommer fra Network + Statistics, og formålet er å vise deg, i rå form, statusen til tilkoblingene og portene dine. Den har vært integrert i Windows, Linux, macOS og andre systemer i flere tiår. UnixDen har ikke noe grafisk grensesnitt og er perfekt for rask diagnostikk eller grunnleggende revisjoner.

I tillegg til å liste opp TCP/UDP (IPv4/IPv6)-tilkoblinger og -sockets, tilbyr netstat rutingstabeller, målinger per protokoll og feilFør en seriøs analyse, lukk unødvendig programvare eller start netstat på nytt og kjør den med minimal kjøring, og unngå dermed støy i utdataene. Hvis du foretrekker noe visuelt på Windows, viser TCPView den samme filmen med et brukergrensesnitt..

Påvirkning på ytelsen ved bruk av netstat

Netstat i seg selv vil ikke ødelegge noe, men å kjøre det i en løkke med tusen parametere kan forbruke CPU og minne hvis du har mange tilkoblinger. Minimer påvirkningen, bruk den bare når det er nødvendig, filtrer bare etter det du trenger, og unngå å starte den med noen få sekunders mellomrom uten grunn..

• Begrens bruken til diagnostiske eller verifikasjonsøyeblikk.
• Bruk spesifikke parametere for å unngå å svelge enorme lister.
• Hvis du trenger kontinuerlig overvåking, bør du vurdere å bruke dedikerte nettverksverktøy.

I store eller kritiske miljøer, gjennomgå prosedyren med systemteamet. Planlegging av hvordan, når og med hvilke filtre netstat skal kjøres unngår kostnader og forsinkelser.

Fordeler og ulemper med netstat

Blant styrkene er synligheten av alle aktive tilkoblinger, øktsporing og protokollovervåking. Det hjelper med å oppdage inntrenginger, flaskehalser og løse hendelser..

• Synlighet og kontroll over lytteporter og -prosesser.
• Overvåking av nettverksbruk og deteksjon av overbelastning.
• Identifisere uautoriserte forbindelser for å kutte dem av i tide.
• Diagnostisering av ytelsesproblemer og vedvarende tilkoblinger.

På ulempen er produksjonen tett for ikke-tekniske brukere, den krypterer ingenting, og den kommer til kort i store miljøer. Videre har mange oppgaver blitt flyttet til PowerShell i Windows i moderne systemersom er mer fleksibel og skriptbar.

• Læringskurve hvis du ikke mestrer nettverk.
• Mangel på skalerbarhet for store nettverk.
• Begrenset analyse: for ekte dybde trenger du andre pakker (f.eks. Wireshark).

Bruk av netstat i Windows: nyttige parametere og eksempler

Åpne ledeteksten eller terminalen som administrator og kjør netstat. Du vil se Proto (TCP/UDP), lokale/eksterne adresser og status (LYTTER, ETABLERT osv.). For å se porter i tall, bruk netstat -nHvis du vil ha automatisk oppdatering, legg til et intervall på slutten (for eksempel 7 sekunder).

Viktige parametere for videre undersøkelse: -a (alle tilkoblinger og porter lytter), -e (grensesnittstatistikk), -f (FQDN for fjernkontroll), -n (numerisk), -o (PID per tilkobling), -p X (filtrer etter protokoll), -q (tilknyttede porter), -r (rutingstabell), -s (statistikk etter protokoll), -t (utskrivning), -x (NetworkDirect)

• netstat -ano Den viser åpne porter, tilkoblinger og PID-er for kryssreferanse med Oppgavebehandling. Ideell for jakt på sjeldne prosesser.
• netstat -p IP Liste over IPv4-protokolltilkoblinger i henhold til systemutdata. Hvis du bare er interessert i IPv4, filtrerer du ut støy.
• netstat -a Den lærer alt som er aktivt og lyttende.
• netstat | findstr ESTABLISHED Filtrer etablerte forbindelser (endre til LISTENING, CLOSE_WAIT eller TIME_WAIT etter behov). En rask grep for stater.
• netstat -s y netstat -e De samler statistikk etter protokoll og grensesnitt.
• netstat -r viser aktive ruter; netstat -f løse FQDN (kombiner det med findstr etter domene for å isolere resultater).

Blokker mistenkelige IP-adresser og tilkoblinger fra CMD/Terminal

Når du oppdager en merkelig IP-adresse i netstat eller i din loggerDet fornuftige å gjøre er å blokkere den i brannmuren. På Windows kan du gjøre dette med... netsh og også med PowerShell; på Linux, med IP-rute, UFW eller iptables/firewalld. Hvis nettstedet ditt kjører på Apache, kan du til og med nekte tilgang fra .htaccess-filen din..

Windows: netsh (Windows-brannmur)

Kjør CMD som administrator og skriv inn den avanserte konteksten: netsh advfirewallSlik aktiverer du brannmuren i den aktive profilen: set currentprofile state on. Dette sikrer at reglene håndheves..

• Blokker en innkommende IP-adresse i alle programmer: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
• Blokker et område: ... remoteip=203.0.113.0/24
• Slett en regel: netsh advfirewall firewall delete rule name=Bloqueo_IP
• Gjenopprett standardverdier: netsh advfirewall reset

Hvis du foretrekker den grafiske konsollen: åpne «Windows-brannmur med avansert sikkerhet» og opprett en Regel for tilpasset oppføring for å blokkere en IP-adresse eller et område i «Omfang». Velg «Blokker tilkobling» og bruk på Domene/Privat/Offentlig.

Windows: Klassisk GUI trinn for trinn (blokk IP)

En annen veldig praktisk måte er å opprette en regel fra brannmuren (MMC): velg "Ny regel" > "Tilpasset", bruk på "Alle programmer", protokollen "Hvilken som helst", og i "Omfang" legg til IP-adressen eller området som skal blokkeres. Velg «Blokker tilkoblingen», bruk den på alle tre profilene og gi den et navn.

Linux: Blokk med «svart hull»-sti

Hvis du vil forkaste trafikk fra en IP-adresse eller et område på rutingsnivå, kan du opprette svarte ruter. Den er rask og effektiv, ideell mot støyende angrep.

• Spesifikk IP-adresse: ip route add blackhole 24.92.120.34/32
• Rekkevidde /24: ip route add blackhole 22.118.20.0/24
• Se tabell: ip route
• Fjerne: ip route del blackhole 22.118.20.0/24

I eldre systemer vil du se route add -host 24.92.120.34 rejectMen i dag er det vanlig å bruke IP-rute. Begge tilnærmingene peker mot det samme: et svart hull.

Blokker fra .htaccess (Apache-hosting)

Hvis det som plager deg er nettilgang (spam-kommentarer, forsøk på panelet), kan du blokkere det med IP-adressen på hostingen din (Plesk/Apache). Rediger httpdocs .htaccess-filen etter at du har laget en kopi.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

For flere opprinnelser, legg til flere avslagslinjer. Lag alltid en kopi av .htaccess-filen din før du gjør endringer. Det vil spare deg for ubehagelige overraskelser..

Geoblokkering og SEO

Med GeoIP-moduler kan du omdirigere etter land fra .htaccess, for eksempel til en feilside hvis landskoden samsvarer. Bruk den bare hvis serveren støtter geoblokkering og vet at den påvirker SEO og brukere med VPN.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Unngå å blokkere søkemotorroboter, ellers ødelegger du indekseringen. Håndter unntak for Googlebot/Bingbot og gjennomgå Search Console.

Alternativer til direkte blokkering

Før du tyr til riving, bør du vurdere intelligent friksjon: CAPTCHAer, hastighetsbegrensning og CDN-er som absorberer topper og filtrerer DDoS. Disse tiltakene er mindre inngripende og mer skalerbare..

Automatisere regler med PowerShell (Windows) og IPsec

PowerShell lar deg opprette, endre, eksportere til GPO og revidere brannmurregler med presisjon. Og hvis du trenger nettverkssikkerhet på pakkenivå, legg til IPsec..

Opprett en utgående blokkeringsregel etter app og port i et GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

For å redusere belastningen på kontrollere, mellomlagre GPO-en i økten, bruke endringene og lagre: Open-Net GPO, Ny-NetFirewallRule-GPOSesjon, Lagre-NetGPO. Du unngår unødvendige turer til DC.

Å endre eksisterende regler er like enkelt som å konsultere dem med Get-NetFirewallRule og tilhørende filtre (porter, adresser) og kjede med Set-NetFirewallRule. Du kan også aktivere det per gruppe med Enable-NetFirewallRule-DisplayGroup.

For kontrollert rengjøring: Remove-NetFirewallRule -Action Block eller sjekk først, lagre i en variabel og slett med bekreftelse. -Feilhandling StilleFortsett Unngå støy hvis noe ikke lenger eksisterer.

Fjernadministrasjon: bruk -CimSession å konsultere eller endre regler på andre lag (New-CimSession og handle). WinRM er aktivert som standard..

IPsec: opprett transportregler, definer kryptografiske forslag, bruk IKEv2 hvis motparten krever det, og bruk domeneisolering (Kerberos). Du kan kreve at «tillat hvis det er trygt» i brannmuren og sikkerhetskopiere det med IPsec-autentiserings- og krypteringsregler..

For å segmentere tilgang etter grupper, bygg SDDL-strenger med bruker-/utstyrs-SID-ene og referer til dem i regelen. På denne måten har bare et legitimt delsett tilgang, og trafikken krypteres..

Logger, hva brannmuren blokkerer og porttesting

Det anbefales å aktivere logging av mistede pakker i «Windows-brannmur med avansert sikkerhet» > Brannmuregenskaper > Logg på > «Logg mistede pakker: Ja». Standard loggfilen er %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Der ser du hva, når og hvorfor det er blokkert. Nyttig for å justere regler eller oppdage falske positiver.

For å sjekke åpne porter på din offentlige IP-adresse utenfra, gir YouGetSignal deg en rask vurdering (Port Forwarding Tester). Skriv inn porten, og i løpet av sekunder vet du om den svarer.

Hvis du mistenker at brannmuren blokkerer en app, går du til «Tillat en app eller funksjon gjennom Windows Defender-brannmuren» og justerer innstillingene for hvert nettverk (Privat/Offentlig). Administrer hvitelisten din riktig, så unngår du dumme blokkeringer..