Kako blokirati sumljive povezave iz CMD

Zadnja posodobitev: 19/11/2025
Avtor: Isaac
  • Zazna nenavadno aktivnost z netstatom in beleži blokade v pfirewall.log
  • Blokirajte IP-je in obsege z netsh/PowerShell v Windows in z UFW/ip potjo v Linux
  • Avtomatizirajte in okrepite varnost IPsec ter izkoristite omejevanje hitrosti in CDN-je.

Blokirajte sumljive povezave iz CMD

Ko opazite nenavadne poraste prometa, nesmiselne odprte seje ali poslušanje vrat tam, kjer ne bi smela biti, je idealno, da se odzovete, ne da bi izgubljali čas v konzoli. Blokirajte sumljive povezave iz CMD (o terminalJe hiter, pregledljiv in ni odvisen od grafičnih vmesnikov, zato vas reši iz zagat tako v sistemu Windows kot Linux.

V tem priročniku boste našli vse od uporabe NetStat da odkrijete, kaj se govori na vašem računalniku, celo pravila Požarni zid Windows z netsh in PowerShell, skupaj z alternativami, kot sta UFW in požarni zid v Linuxu, blokiranje prek .htaccess, primeri, ki vključujejo FortiGate, in opozorili o SEO in uspešnosti Vse z ukazi jasne, najboljše prakse in možnosti za avtomatizacijo.

Netstat: kaj je to, čemu služi in kako ga kar najbolje izkoristiti

Ime netstat izhaja iz besede Network + Statistics (Omrežje + Statistika) in njegov namen je, da vam v surovi obliki prikaže stanje vaših povezav in vrat. Že desetletja je integriran v sisteme Windows, Linux, macOS in druge. UnixNima grafičnega vmesnika in je idealen za hitro diagnostiko ali osnovne preglede.

Poleg seznama povezav in vtičnic TCP/UDP (IPv4/IPv6) netstat ponuja tudi usmerjevalne tabele, metrike na protokol in napakePred resno analizo zaprite nepotrebno programsko opremo ali jo celo znova zaženite in zaženite netstat z minimalnim zagonom, s čimer se izognete šumu v izhodu. Če imate v sistemu Windows raje nekaj vizualnega, TCPView prikaže isti film z uporabniškim vmesnikom..

Vpliv na delovanje pri uporabi netstata

Netstat sam po sebi ne bo ničesar pokvaril, vendar lahko njegovo izvajanje v zanki s tisoč parametri porabi procesor in pomnilnik, če imate veliko povezav. Zmanjšajte vpliv, uporabljajte ga le, kadar je to potrebno, filtrirajte le tisto, kar potrebujete, in se izogibajte zagonu vsakih nekaj sekund brez razloga..

  • Omejite njegovo uporabo na diagnostične ali verifikacijske trenutke.
  • Uporabite posebne parametre, da se izognete požiranju ogromnih seznamov.
  • Če potrebujete stalno spremljanje, razmislite o uporabi namenskih omrežnih orodij.

V velikih ali kritičnih okoljih postopek pregledajte s sistemsko ekipo. Načrtovanje, kako, kdaj in s katerimi filtri zagnati netstat, preprečuje stroške in zamude.

Prednosti in slabosti netstata

Med njegovimi prednostmi so vidnost vseh aktivnih povezav, sledenje sejam in spremljanje protokolov. Pomaga pri odkrivanju vdorov, ozkih grl in reševanju incidentov..

  • Vidljivost in nadzor nad poslušalskimi vrati in procesi.
  • Spremljanje uporabe omrežja in zaznavanje preobremenjenosti.
  • Prepoznavanje nepooblaščenih povezav za njihovo pravočasno prekinitev.
  • Diagnosticiranje težav z zmogljivostjo in trajnih povezav.
  Kaj je Torch? Uporaba, lastnosti, mnenja, cene

Slaba stran je, da je njegov izhod gost za netehnične uporabnike, da ničesar ne šifrira in da v ogromnih okoljih ni dovolj učinkovit. Poleg tega je bilo v sodobnih sistemih veliko nalog v sistemu Windows premaknjenih v PowerShell.ki je bolj prilagodljiv in omogoča skriptiranje.

  • Krivulja učenja, če ne obvladate omrežij.
  • Pomanjkanje skalabilnosti za ogromna omrežja.
  • Omejena analiza: za resnično globino potrebujete druge pakete (npr. Wireshark).

Uporaba netstata v sistemu Windows: uporabni parametri in primeri

Odprite ukazni poziv ali terminal kot skrbnik in zaženite netstat. Videli boste Proto (TCP/UDP), lokalne/oddaljene naslove in stanje (POSLUŠANJE, VZPOSTAVLJENO itd.). Za ogled številk portov uporabite ukaz netstat -nČe želite samodejno osvežitev, na konec dodajte interval (na primer 7 sekund).

Ključni parametri za nadaljnjo preiskavo: -a (vse povezave in vrata poslušajo), -e (statistika vmesnika), -f (FQDN oddaljenega računalnika), -n (numerično), -o (PID na povezavo), -p X (filtriraj po protokolu), -q (povezana vrata), -r (usmerjevalna tabela), -s (statistika po protokolu), -t (izpust), -x (NetworkDirect)

  • netstat -ano Prikazuje odprta vrata, povezave in PID-e za navzkrižno primerjavo z Upravitelj opravil. Idealno za lov na redke procese.
  • netstat -p IP Seznam povezav protokola IPv4 glede na sistemski izhod. Če vas zanima samo IPv4, filtrirate šum.
  • netstat -a Uči vse, kar je aktivno in posluša.
  • netstat | findstr ESTABLISHED Filtriraj vzpostavljene povezave (po potrebi spremeni v POSLUŠANJE, ČAKANJE_ZAPRTO ali ČAKANJE_ČAKANJE). Hiter pregled držav.
  • netstat -s y netstat -e Statistiko zbirajo po protokolu in vmesniku.
  • netstat -r prikazuje aktivne poti; netstat -f razreši FQDN (združi ga z findstr po domeni za izolacijo rezultatov).

Blokirajte sumljive IP-je in povezave iz CMD/Terminala

Ko v netstatu ali v svojem dnevnikiPametno je, da ga blokirate v požarnem zidu. V sistemu Windows lahko to storite z ... netsh in tudi s PowerShell; v Linuxu, z ip pot, UFW ali iptables/požarni zid. Če vaše spletno mesto deluje na Apacheju, lahko dostop zavrnete celo iz datoteke .htaccess..

Windows: netsh (požarni zid sistema Windows)

Zaženite CMD kot skrbnik in vnesite napredni kontekst: netsh advfirewallČe želite omogočiti požarni zid v aktivnem profilu: set currentprofile state on. To zagotavlja, da se pravila izvršujejo..

  • Blokiraj dohodni IP-naslov v vseh programih: netsh advfirewall firewall add rule name=Bloqueo_IP dir=in action=block remoteip=203.0.113.5
  • Blokiraj obseg: ... remoteip=203.0.113.0/24
  • Izbriši pravilo: netsh advfirewall firewall delete rule name=Bloqueo_IP
  • Obnovi privzete vrednosti: netsh advfirewall reset

Če imate raje grafično konzolo: odprite »Požarni zid sistema Windows z napredno varnostjo« in ustvarite Pravilo vnosa po meri za blokiranje IP-naslova ali obsega v »Obseg«. Izberite »Blokiraj povezavo« in uporabite za Domena/Zasebno/Javno.

  Firefox 136 uvaja navpične zavihke in izboljšave v sistemu Linux

Windows: Klasični grafični uporabniški vmesnik korak za korakom (blokiranje IP-ja)

Drug zelo priročen način je ustvarjanje pravila iz požarnega zidu (MMC): izberite »Novo pravilo« > »Po meri«, uporabite za »Vse programe«, protokol »Poljuben« in v »Obseg« dodajte IP ali obseg, ki ga želite blokirati. Izberite »Blokiraj povezavo«, uporabite to na vseh treh profilih in jo poimenujte..

Linux: Blok s potjo »črne luknje«

Če želite na ravni usmerjanja zavreči promet z IP-naslova ali območja, lahko ustvarite črne poti. Je hiter in učinkovit, idealen proti hrupnim napadom.

  • Specifičen IP-naslov: ip route add blackhole 24.92.120.34/32
  • Območje /24: ip route add blackhole 22.118.20.0/24
  • Glej tabelo: ip route
  • Odstrani: ip route del blackhole 22.118.20.0/24

V starejših sistemih boste videli route add -host 24.92.120.34 rejectToda danes je običajna uporaba ip pot. Oba pristopa kažeta na isto stvar: črno luknjo.

Blokiraj iz .htaccess (gostovanje Apache)

Če vas moti dostop do spleta (neželeni komentarji, poskusi dostopa do panela), ga lahko blokirate glede na IP naslov vašega gostovanja (Plesk/Apache). Po kopiranju uredite datoteko httpdocs .htaccess.

Order Allow,Deny
Deny from 192.168.10.10
Allow from all

Za več izvorov dodajte več vrstic Zavrni. Pred kakršnimi koli spremembami vedno naredite kopijo datoteke .htaccess; tako se boste izognili neprijetnim presenečenjem..

Geoblokiranje in SEO

Z moduli GeoIP lahko preusmerite po državah iz datoteke .htaccess, na primer na stran z napako, če se koda države ujema. Uporabite ga le, če strežnik podpira geoblokiranje in veste, da to vpliva na SEO in uporabnike z VPN.

RewriteEngine on
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^CN$
RewriteRule ^(.*)$ http://tu-dominio.com/pagina-de-error.html [R=301,L]

Izogibajte se blokiranju iskalnih robotov, sicer boste uničili indeksiranje. Obravnava izjem za Googlebot/Bingbot in pregled Search Console.

Alternative neposrednemu blokiranju

Preden se zatečete k rušenju, razmislite o inteligentnem trenju: CAPTCHA, omejevanje hitrosti in CDN-ji ki absorbirajo konice in filtrirajo DDoS. Ti ukrepi so manj vsiljivi in ​​bolj prilagodljivi..

Avtomatizacija pravil s PowerShellom (Windows) in IPsec

PowerShell vam omogoča natančno ustvarjanje, spreminjanje, izvoz v GPO in nadzor pravil požarnega zidu. In če potrebujete omrežno varnost na ravni paketov, dodajte IPsec..

  Kaj je enotna prijava (SSO) in prijava prek družbenih omrežij: popoln vodnik

Ustvarite pravilo blokiranja odhodnih sporočil po aplikaciji in vratih v GPO: New-NetFirewallRule -DisplayName Block_Out_Telnet -Direction Outbound -Program %SystemRoot%\System32\telnet.exe -Protocol TCP -LocalPort 23 -Action Block -PolicyStore domain.contoso.com\gpo_name

Če želite zmanjšati obremenitev krmilnikov, predpomnite GPO v seji, uporabite spremembe in shranite: Open-NetGPO, Novo pravilo NetFirewallRule -GPOSession, Shrani-NetGPO. Izognete se nepotrebnim potovanjem v Washington.

Spreminjanje obstoječih pravil je tako enostavno kot posvetovanje z njimi Get-NetFirewallRule in z njimi povezani filtri (vrata, naslovi) ter veriga z Set-NetFirewallRule. Omogočite ga lahko tudi za posamezne skupine z Enable-NetFirewallRule -DisplayGroup.

Za nadzorovano čiščenje: Remove-NetFirewallRule -Action Block ali pa najprej preveri, shrani v spremenljivko in izbriši s potrditvijo. -NapakaDejanjeTihoNadaljuj Izogibajte se hrupu, če nečesa ni več.

Oddaljeno upravljanje: uporaba -CimSession posvetovati se ali spremeniti pravila drugih ekip (New-CimSession in dejanje). WinRM je privzeto omogočen..

IPsec: ustvarite pravila za prenos, definirajte kriptografske predloge, uporabite IKEv2, če ga zahteva vaša nasprotna stranka, in uporabite izolacijo domene (Kerberos). V požarnem zidu lahko zahtevate »dovoli, če je varno« in ga varnostno kopirate s pravili za preverjanje pristnosti in šifriranje IPsec..

Za segmentacijo dostopa po skupinah zgradite nize SDDL z SID-ji uporabnikov/opreme in se nanje sklicujte v pravilu. Na ta način ima dostop le legitimna podmnožica in promet je šifriran..

Dnevniki, kaj požarni zid blokira in testiranje vrat

Priporočljivo je, da omogočite beleženje izgubljenih paketov v »Požarni zid sistema Windows z napredno varnostjo« > Lastnosti požarnega zidu > Prijava > »Beležitev izgubljenih paketov: Da«. Privzeta datoteka dnevnika je %systemroot%\system32\LogFiles\Firewall\pfirewall.log.

Tam boste videli, kaj, kdaj in zakaj je blokirano. Uporabno za prilagajanje pravil ali odkrivanje lažno pozitivnih rezultatov.

Za preverjanje odprtih vrat na vašem javnem IP-naslovu od zunaj vam YouGetSignal ponudi hitro oceno (Port Forwarding Tester). Vnesite vrata in v nekaj sekundah boste vedeli, ali se odzivajo..

Če sumite, da požarni zid blokira aplikacijo, pojdite na »Dovoli aplikacijo ali funkcijo prek požarnega zidu programa Windows Defender« in prilagodite nastavitve za vsako omrežje (zasebno/javno). Pravilno upravljajte svoj seznam dovoljenih vsebin in se boste izognili neumnim blokadam..