CMD: Блокира подозрителни мрежови връзки с команди

  • Netstat и други мрежови програми ви позволяват да идентифицирате отворени портове и подозрителни връзки, свързани с конкретни процеси.
  • Microsoft Defender и неговата мрежова защита блокират домейни, IP адреси и C2 сървъри на системно ниво с режими на одит и блокиране.
  • Защитните стени в Windows, Linux, хостинг и устройства като FortiGate позволяват блокиране на злонамерени IP адреси и портове, използвайки правила и черни списъци.
  • Редовният преглед на лог файловете и мрежовите събития е ключов за коригиране на правилата, откриване на фалшиви положителни резултати и засилване на сигурността.
Daniel Terrasa

15 Minutos

Мрежова сигурност с CMD команди и защитна стена

Контролирането на това, което влиза и излиза от компютъра ни през мрежата, стана... толкова важно, колкото и наличието на добър антивирусПростото свързване и стискане на палци не е достатъчно: в днешно време ботове, порт скенери и автоматизирани атаки опитват късмета си на всеки IP адрес, който намерят. Познаването на CMD, защитната стена и други мрежови инструменти ви позволява да... Блокирайте подозрителни връзки, преди да се превърнат в проблем.

В следващите редове ще видите как да използвате команди като netstat, netsh, защитната стена на Windows и други филтриращи системи За да идентифицирате подозрителни връзки, да блокирате злонамерени IP адреси, да защитите портовете си и като цяло да подсилите мрежовата си сигурност на Windows, Linux и дори мрежови устройства като защитна стена на FortiGate. Нека ви кажа, че не става въпрос за „черна магия“: с няколко добре разбрани команди можете да имате ниво на контрол, което много потребители дори не могат да си представят.

Netstat и компания: бърз преглед на вашите връзки

Отправната точка за блокиране на подозрителни връзки е знанието кой е свързан с какво във вашия екипТук се намесва netstat, ветеранска помощна програма, която съществува от 90-те години в Unix, Windows, Linux, macOS и дори по-рядко срещани системи и която продължава да бъде... една от най-полезните команди за одит на мрежата.

Името на инструмента казва всичко: Мрежа + СтатистикаNetstat показва таблици за TCP и UDP връзки, портове за слушане, статистика за трафика, грешки и дори Таблица за маршрутизиране основно. Благодарение на това можете да видите дали има отворени портове, които не сте очаквали, или активни сесии с отдалечени IP адреси, които не изглеждат правилно.

Преди да го използвате сериозно, е добра идея Затворете всички приложения, които можете. и дори рестартирайте компютъра и отворете само най-важното, и проверете Колко устройства има във вашата мрежа?По този начин, това, което netstat ви показва, ще бъде по-чисто, без шум от фонови програми, които не са от значение за вас в този момент, и ще бъде по-лесно да се улови... странни връзки.

Въпреки че netstat няма графичен интерфейс, в Windows можете да използвате помощни програми като TCPView o GlassWireкоито по същество показват същата информация по по-лесен за потребителя начин. В Linux инструменти като iftop, iptraf или ss Те също така предоставят много ясна представа за трафика в реално време и в много случаи са по-лесни за употреба от начинаещи.

Имайте предвид, че ако прекалите с netstat с много параметри и го стартирате постоянно, това може консумират ресурси и натоварват машинатаОсобено ако има хиляди връзки. Не че е „опасно“, но няма смисъл да го изпълнявате на всеки две секунди на производствен сървър, ако не е необходимо.

Мрежови команди за преглед на подозрителни връзки

Предимства и ограничения на netstat за откриване на подозрителни връзки

Използван разумно, netstat дава мощна видимост върху случващото се във вашата мрежаМожете да изброите всички активни връзки, да видите кои портове са отворени и какви процеси стоят зад тях. Това помага за:

  • Откриване на неоторизирани връзки или процеси, които се свързват с необичайни IP адреси.
  • Откриване на пречки или претоварване чрез наблюдение на обема на сесиите и статистиката за грешките.
  • Следа постоянни сесии които остават отворени и могат да причинят проблеми с производителността.
  • Анализирайте поведението на вашия сървър и решете кои портове наистина трябва да имате открити.

Командата предоставя много подробен изход, с броячи на изпратени и получени пакети, грешки по протокол (TCP, UDP, ICMP, IPv4, IPv6…) и дори маршрути от таблицата за маршрутизиране с netstat -rВсичко това е чисто злато, когато става въпрос за диагностициране на проблеми с връзката или проверка дали дадена конфигурация е приложена правилно.

Обратната страна е, че netstat има няколко значителни недостатъци в съвременната средаКато начало, резултатът може да бъде доста загадъчен за всеки, който не е запознат с мрежовите концепции: портове, TCP състояния, протоколи и т.н. Освен това, по-новите Windows системи подтикват администраторите към PowerShell и други по-напреднали инструментиСледователно, изучаването на netstat наизуст може да не е най-добрата дългосрочна инвестиция.

Трябва също да се спомене, че Не криптира нищо и не предлага задълбочен анализ.Показва ви данни, но ако искате да ги съпоставите с модели на атаки, откриване на прониквания или сериозен криминалистичен анализ, ще трябва да разчитате на други решения като IDS/IPS, SIEM или снифери на пакети като Wireshark.

В големи мрежи, с хиляди разпределени устройства и услуги, netstat става неуправляем. Не е мащабируемо И не е предназначен да наблюдава цяла корпоративна среда; ето къде се намесват SNMP решения, инструменти за наблюдаемост, централизирано наблюдение или продукти като Microsoft Defender за крайни точки.

Практични netstat команди за търсене на необичаен трафик

В Windows, за да започнете, просто отворете прозорец на CMD или Terminal като администратор и напиши:

  • NETSTAT: показва основните активни връзки.
  • netstat -n: показва IP адресите и портовете в числов формат, без да преобразува DNS имена.
  • netstat -sСтатистика по протокол (TCP, UDP, IPv4, IPv6…).
  • netstat -eобща статистика на интерфейса (изпратени/получени байтове, грешки…).
  • netstat -a: включва слушащи портове и установени връзки.
  • netstat -o: добавя ID на процеса (PID), свързан с всяка връзка.
  • netstat -p TCP: филтри по протокол (TCP, UDP, TCPv6, UDPv6...).

Ако искате информацията да се актуализира автоматично на редовни интервали, можете да комбинирате параметри с интервал: например, netstat -n 7 Освежава се на всеки 7 секунди, което е полезно за виждане Връзки, които се появяват и изчезват много бързо когато се установи подозрителна сесия.

За да намерите само установени връзки, можете да използвате класическия комбиниран списък с findstr:

  • netstat | findstr УСТАНОВЕНА

Промяна на УСТАНОВЕНО на СЛУШАНЕ, ЗАТВОРЕНО_ИЗЧАКВАНЕ или ВРЕМЕ_ИЗЧАКВАНЕ Можете да се съсредоточите върху състоянието на TCP, което ви интересува, в зависимост от проблема, който анализирате. Това, в комбинация с PID и пълното име на домейн, ще ви помогне... netstat -fТова ви дава много ясна представа кой процес се свързва с кой отдалечен сървър.

Типичен пример за сигурност е стартирането netstat -година и преглед:

  • отдалечени IP адреси, които не разпознавате.
  • Локалните високи портове слушат без видима причина.
  • Процеси с много неуспешни опити за свързване.

Ако видите подозрителен IP адрес, можете да отидете на Управление на задачитеПотърсете PID и вижте кое е приложението. Оттам решавате дали да го деинсталирате, да стартирате антивирусно сканиране или Прекъснете връзката със защитната стена.

cmd команди

Алтернативи за мрежов мониторинг и анализ

Въпреки че netstat е добра отправна точка за преглед на връзките, когато искате да се задълбочите в мрежовата сигурност, други инструменти влизат в действие. специализирани инструментиНякои много често срещани са:

  • Wireshark: улавя и анализира пакети на ниско ниво, идеално за вижте точно какви данни се изпращат, откривайки опити за експлоатация или некриптиран трафик там, където не би трябвало.
  • GlassWireТой съчетава наблюдение на трафика с Визуална защитна стена и предупреждения, много полезно на ниво напреднал потребител или малък офис.
  • Клаудшарк: уеб решение за качване на заснети пакети, анализа им и споделянето им като екип.
  • сс, iptraf, iftop В Linux: те показват сокети, трафик и връзки в реално време по по-модерен и ясен начин от netstat.
  • ipRoute2: набор от помощни програми за обработка на маршрути, тунели и разширени мрежови политики в Linux (до голяма степен замества по-стари инструменти).

Платформи като тази са често срещани и в професионална среда. Възходящи тенденции, Germain UX, Atera и подобни, предназначени за следете наличността, производителността и потребителското изживяване на уебсайтове и услуги, с предупреждения, когато нещо се повреди или започне да се влошава.

Microsoft Defender, мрежова защита и блокиране на C2

В Windows 10, Windows 11, macOS и Linux, ключов компонент за блокиране на подозрителни мрежови връзки е Мрежова защита на Microsoft DefenderТази функция разширява своите функции Умен екран В Microsoft Edge той следи останалата част от системата: не само следи браузъра, но и... други браузъри и процеси, като например PowerShell или настолни приложения.

Идеята е проста: когато програма се опитва да се свърже с URL или IP адрес с лоша репутация (фишинг, злонамерен софтуер, система за управление и контрол и др.), Defender сравнява заявката със своите списъци (и вашия). потребителски индикатории решава дали да го разреши, да го одитира или да го блокира напълно. Този контрол работи както за HTTP, така и за HTTPS трафик и не е ограничен до портове 80 или 443. проверете всички изходящи връзки към всеки порт.

В контекста на сигурността, една от най-важните функции е способността му да откриване и прекъсване на комуникациите със сървъри за командване и контрол (C2)Това са каналите, които много семейства злонамерен софтуер и рансъмуер използват за получаване на команди и извличане на данни. Разбиването на този комуникационен канал обикновено означава спиране на развитието на атаката.

На практика мрежовата защита разчита на няколко източника: репутацията на SmartScreen, вътрешните IoC на Microsoft, вашите собствени персонализирани списъци за блокиране и категории за уеб филтриране (съдържание за възрастни, хазарт и др.). Въз основа на това, което открие, класифицира събитието в категории като фишинг, злонамерено съдържание, C2, персонализирани политики и др., които след това можете да видите в отчетите, в разширеното търсене или в Microsoft Defender за крайни точки.

защитник

Режими на работа: одит или блокиране

Defender ви позволява да активирате мрежовата защита по два начина: режим на одит (одит) y блоков режимТова е много полезно за избягване на проблеми в производствена среда:

  • En режим на одитСистемата записва всички достъпи, които би блокирала, но Това не прекъсва връзкатаМожете да прегледате тези лог файлове в конзолата (като заявите DeviceEvents с ActionType като ExploitGuardNetworkProtectionAudited) и да видите потенциалното въздействие.
  • En заключен режимЗащитникът предприема действия: блокира трафика към маркирани домейни и IP адреси чрез SmartScreen, чрез вашите персонализирани индикатори или чрез правила за филтриране на съдържание.

От гледна точка на потребителя, когато попадне на „съмнителен“ сайт, могат да се случат три неща:

  • Ако репутацията е добра, той не вижда нищо странноНавигацията продължава нормално.
  • Ако репутацията е несигурна, екран за предупреждение с възможност за пропускането му (отблокирането му) за няколко часа.
  • Ако репутацията е очевидно злонамерена или изрично сте я блокирали, блок без опция за заобикаляне (освен ако администраторът не промени политиката).

Цялото това поведение може да бъде фино настроено с политики: например, има опция за конвертира всички предупреждения в твърди блоковетака че потребителят да не може да ги заобиколи. Това може да се конфигурира чрез инструменти на CSP, GPO или MDM, в зависимост от това как управлявате вашия парк от устройства.

За да завършат пиесата, администраторите могат да създадат индикатори за разрешения (allow), когато открият фалшиви положителни резултати или е необходимо да се активира определена услуга. Тези allow оператори имат приоритет пред повечето блокове, което ви дава възможност да коригирате настройките, без да се налага да деактивирате цялата мрежова защита.

Блокиране на връзки чрез защитна стена и правила в Windows

Освен Defender, друг фронт за блокиране на подозрителни мрежови връзки е самата мрежа. Windows защитна стенаТази защитна стена е интегрирана, актуализира се със системата и ви позволява да контролирате както кои програми могат да имат достъп до интернет, така и кои портове се приемат отвън.

От графичния интерфейс можете да създавате правила за вход и изход, но ако искате да ги прецизирате или автоматизирате, е полезно да знаете и командите за... netsh advfirewall, Например:

  • netsh advfirewall задайте текущото състояние на профила: активира защитната стена в текущия профил.
  • netsh advfirewall защитна стена добави правило name="Блокиране на IP X" dir=in action=block remoteip=xxxx: блокира входящия трафик от определен IP адрес.
  • netsh advfirewall защитна стена добави правило name="Отвори порт 80" dir=in action=allow protocol=TCP localport=80: Отваря порт 80 за входящи връзки.
  • правило за изтриване на защитната стена netsh advfirewall name="Open Port 80": премахва предишното правило.
  • Netsh нулиране advfirewall: възстановява настройките по подразбиране на защитната стена.

Ако искате да блокирате IP адрес, защото ви затрупва с опити за достъп (например, атака с груба сила или тежък скенер), от графичната конзола на Защитна стена на Windows с разширена защита можете да създадете такъв правило за персонализирано въвеждане че:

  • Отнася се за „Всички програми“.
  • Използвайте протокола „Всеки“.
  • В „Отдалечени адреси“ посочете IP адреса или диапазона, който да се блокира.
  • Изберете опцията „Блокиране на връзка“.
  • Това се отнася за домейни, частни и публични мрежи.

Това ще спре този IP адрес да ви притеснява на системно ниво. Само внимавайте да не включите... твърде голям диапазон и в крайна сметка блокират IP адресите на търсачките или легитимните потребители.

За да разберете кои портове всъщност блокира вашата защитна стена, можете да активирате регистрирането на изгубени пакети в свойствата на профила и след това да прегледате файла. pfirewall.log който се съхранява в %systemroot%\system32\LogFiles\Firewall. Там ще видите подробности за използваните портове и адреси.

Блокиране на IP адреси и портове от хостинг, .htaccess и други слоеве

Когато проблемът с подозрителните връзки е фокусиран върху вашия уебсайт (опити за влизане, спам, автоматизирани ботове, малки DDoS атаки и др.), простото предприемане на действия на компютъра не винаги е достатъчно. Често е препоръчително да... блокиране на IP адреси директно на хостинга или чрез уеб сървъра.

В панели като Plesk можете да добавяте IP адреси към списъци за блокиране, така че те дори не могат да заредят сайта виДруг класически вариант е да възпроизведете файла . Htaccess Ако използвате Apache, като добавите правила като:

Поръчка Разрешаване, Забраняване Забраняване от 192.168.xx.x Разрешаване от всички

Или няколко реда за отказ за различни адреси. От този момент нататък всяка заявка от тези IP адреси ще доведе до грешка, без да се зарежда съдържанието ви или да се изразходват ресурси на приложението. Това е просто, но ефективно решение за Спрете ботовете, които непрекъснато атакуват вашата CMS система или скриптове, които формират спам.

Ако изпитвате атаки от много специфични държави и вашият сървър го позволява, можете дори да го направите геоблокиране Това се прави чрез правила, които проверяват кода на държавата (например CN за Китай) и пренасочват към страница за грешка. Имайте предвид обаче, че ще блокирате достъпа и на легитимни потребители, а понякога и на ботове на търсачки, ако не се управляват правилно.

Друга, по-малко агресивна алтернатива на твърдия IP блок е комбинирането ограничаване на скоросттаCAPTCHA и използването на CDN мрежи със смекчаване на DDoS атаките. По този начин, вместо ръчно затваряне на IP адреси, намалявате въздействието на злоупотребата, без да нарушавате толкова много легитимен трафик.

Пренасочване на портове, рискове и как да го контролираме

Много приложения (онлайн игри, домашни сървъри, P2P програми, NAS устройства и др.) изискват да отваряте или пренасочвате портове, за да функционират правилно. Проблемът е, че Всеки отворен порт е потенциален шлюз ако основната услуга има пропуски в сигурността или не е правилно конфигурирана.

Пренасочването на портове включва уведомяване на рутера, че всяка връзка, пристигаща от интернет към вашия публичен IP адрес, преминава през определен порт, пренасочете го към вътрешна машина и специфични портове във вашата локална мрежа. За да работи това, обикновено трябва да имате NAT активирани и знаете добре какви услуги ще предлагате.

Има няколко основни вида пренасочване:

  • местенИзползва се за достъп до вътрешни услуги от вашия компютър, но през тунел (например SSH).
  • отдалечен: позволява услуга на вашата машина да бъде достъпна от друго отдалечено място.
  • динамичен: превръща вашия клиент в един вид SOCKS прокси, позволявайки на други приложения да използват тунела, за да достигнат до различни дестинации.

Преди да отворите каквото и да е навън, препоръчително е да:

  • Проверете дали Услугата е актуална и правилно конфигурирана..
  • Ограничаване на достъпа чрез IP, VPN или силно удостоверяване когато е възможно.
  • Избягвайте ненужно отваряне на типични портове (ПРСР, малки и средни предприятия и др.).

Не забравяйте, че много съвременни заплахи (модификация на DNS, атаки от типа „човек по средата“, DoS ботнети, създаване на фалшиви Wi-Fi мрежи) възползвайте се неконтролирани открити портове в домашни или бизнес рутери. Следователно, идеалният вариант е да се изложи абсолютният минимум и да се наблюдава отблизо.

Дневници, одит и откриване на подозрителна активност

Сляпото блокиране на връзки може да бъде опасно; имате нужда от основа за вземане на решения. Ето къде... системни, защитни стени и регистрационни файлове на приложениятаВ Linux, например, голяма част от тези записи се намират в / Var / дневник, а управлението му се дефинира с rsyslog и съответните конфигурационни файлове.

В Windows, освен дневника на защитната стена, можете да проверите и Зрител на събитиятафилтриране по събития, свързани със защитата на мрежата и защитната стена (идентификатори като 5007, 1125, 1126 и др.). Разполагате и с Разширено търсене в Microsoft Defender, където заявявате таблици като DeviceEvents и DeviceNetworkEvents, за да видите какво е било одитирано или блокирано от мрежовата защита.

Например за списък със събития Когато мрежовата защита е проверила или блокирала нещо в браузъри, различни от Edge, можете да изпълните заявки като:

DeviceEvents | където ActionType е в ("ExploitGuardNetworkProtectionAudited", "ExploitGuardNetworkProtectionBlocked")

Или филтрирайте конкретно по SmartScreenUrlWarning, ако искате да се фокусирате върху предупрежденията на SmartScreen в Edge. Тази информация ви помага да идентифицирайте модели: домейни, които много потребители посещават и са блокирани, IP адреси, които трябва да бъдат добавени към глобален списък за блокиране и др.

В по-големи среди е обичайно тези лог файлове да се централизират в SIEM или в инструменти като Power BI да генерирате персонализирани отчети, табла за сигурност и автоматични известия, когато се появи определена категория отговор (зловреден, фишинг, персонализиран списък с блокирани файлове и др.).

Овладяването на команди като netstat, netsh, UFW или firewall-cmd, използването на мрежовата защита на Microsoft Defender, знанието как да се блокират IP адреси в защитната стена на Windows, на вашия хостинг или на FortiGate, както и редовният преглед на мрежовите регистрационни файлове ви дава... много мощен набор от инструменти за спиране на подозрителни мрежови връзки Преди да се уплашите сериозно, не е нужно да сте телекомуникационен инженер, за да започнете: с няколко добре заучени команди и малко здрав разум можете да защитите оборудването, сървърите и уебсайтовете си много по-добре от средното ниво.

Най-добрите CMD трикове за използване в Windows
Свързана статия:
Пълно ръководство за CMD команди за мрежи: netsh, ipconfig, ping, tracert и други