CMD: Blokira sumnjive mrežne veze pomoću naredbi

  • Netstat i drugi mrežni uslužni programi vam omogućavaju da identifikujete otvorene portove i sumnjive veze povezane sa određenim procesima.
  • Microsoft Defender i njegova mrežna zaštita blokiraju domene, IP adrese i C2 servere na nivou sistema pomoću načina revizije i blokiranja.
  • Zaštitni zidovi u Windowsu, Linuxu, hostingu i uređajima poput FortiGate-a omogućavaju blokiranje zlonamjernih IP adresa i portova pomoću pravila i crnih lista.
  • Redovno pregledavanje logova i mrežnih događaja ključno je za prilagođavanje pravila, otkrivanje lažno pozitivnih rezultata i jačanje sigurnosti.
Daniel Terrasa

15 minuta

Mrežna sigurnost pomoću CMD naredbi i zaštitnog zida (firewall-a)

Kontrola onoga što ulazi i izlazi iz našeg računara putem mreže postala je jednako važno kao i imati dobar antivirusSamo povezivanje i ukrštanje prstiju nije dovoljno: danas botovi, skeneri portova i automatizovani napadi okušavaju sreću na bilo kojoj IP adresi koju pronađu. Poznavanje korištenja CMD-a, zaštitnog zida i drugih mrežnih alata omogućava vam da... Blokirajte sumnjive veze prije nego što postanu problem.

U sljedećim redovima vidjet ćete kako koristiti naredbe poput netstat, netsh, Windows zaštitni zid i drugi sistemi za filtriranje Da biste identificirali sumnjive veze, blokirali zlonamjerne IP adrese, zaštitili svoje portove i općenito ojačali sigurnost mreže na Windowsu, Linuxu, pa čak i mrežnim uređajima poput FortiGate zaštitnog zida. Moram vam reći, nije riječ o "crnoj magiji": s nekoliko dobro razumljivih naredbi možete imati nivo kontrole koji mnogi korisnici ne mogu ni zamisliti.

Netstat i kompanija: kratak pregled vaših veza

Početna tačka za blokiranje sumnjivih veza je poznavanje Ko je s čime u vašem timu povezanTu nastupa netstat, veteran uslužni program koji postoji od 90-ih na Unixu, Windowsu, Linuxu, macOS-u, pa čak i manje uobičajenim sistemima, i koji i dalje postoji. jedna od najkorisnijih komandi za reviziju mreže.

Naziv alata sve govori: Mreža + StatistikaNetstat prikazuje tabele TCP i UDP konekcija, portove za slušanje, statistiku saobraćaja, greške, pa čak i Tabela rutiranja osnovno. Zahvaljujući tome, možete vidjeti da li postoje otvoreni portovi koje niste očekivali ili aktivne sesije sa udaljenim IP adresama koje ne izgledaju ispravno.

Prije nego što ga ozbiljno koristite, dobra je ideja Zatvorite sve aplikacije koje možete. pa čak i ponovo pokrenuti računar i otvoriti samo osnovne stvari i provjeriti Koliko uređaja je na vašoj mreži?Na taj način, ono što vam netstat prikazuje bit će čišće, bez buke od pozadinskih programa koji vam u tom trenutku nisu relevantni, a bit će ih i lakše uhvatiti... čudne veze.

Iako netstat nema grafički interfejs, u Windowsu možete koristiti uslužne programe poput tcpview o GlassWirekoji u suštini prikazuju iste informacije na način koji je prilagođeniji korisniku. Na Linuxu, alati poput iftop, iptraf ili ss Također pružaju vrlo jasan pregled prometa u stvarnom vremenu i, u mnogim slučajevima, prilagođeniji su početnicima.

Imajte na umu da ako previše koristite netstat s mnogo parametara i stalno ga pokrećete, može... troše resurse i malo opterećuju mašinuPogotovo ako postoje hiljade konekcija. Nije da je "opasno", ali nema smisla pokretati ga svake dvije sekunde na produkcijskom serveru ako nije potrebno.

Mrežne naredbe za pregled sumnjivih veza

Prednosti i ograničenja netstata za otkrivanje sumnjivih veza

Mudro korišten, netstat daje snažan uvid u ono što se dešava u vašoj mrežiMožete prikazati sve aktivne veze, vidjeti koji su portovi otvoreni i koji procesi stoje iza njih. Ovo pomaže u:

  • Pronađite neovlaštene veze ili procese koji se povezuju s neobičnim IP adresama.
  • Otkrivanje uskih grla ili zagušenja posmatranjem obima sesija i statistike grešaka.
  • Trag trajne sesije koji ostaju otvoreni i mogu uzrokovati probleme s performansama.
  • Analizirajte ponašanje vašeg servera i odlučite koje portove zaista trebate imati otvorene.

Komanda pruža vrlo detaljan izlaz, sa brojačima poslanih i primljenih paketa, greškama po protokolu (TCP, UDP, ICMP, IPv4, IPv6…), pa čak i rutama iz tabele usmjeravanja sa netstat -rSve to je čisto zlato kada je u pitanju dijagnosticiranje problema s povezivanjem ili provjera da li je konfiguracija ispravno primijenjena.

Druga strana je da netstat ima nekoliko značajni nedostaci u modernom okruženjuZa početak, izlaz može biti prilično zagonetan za svakoga ko nije upoznat s konceptima umrežavanja: portovi, TCP stanja, protokoli itd. Nadalje, noviji Windows sistemi tjeraju administratore da... PowerShell i drugi napredniji alatiStoga, učenje Netstata napamet možda nije najbolja dugoročna investicija.

Treba spomenuti i to Ne šifrira ništa niti nudi detaljnu analizu.Prikazuje vam podatke, ali ako ih želite povezati s obrascima napada, detekcijom upada ili ozbiljnom forenzičkom analizom, morat ćete se osloniti na druga rješenja poput IDS/IPS-a, SIEM-a ili sniffera paketa poput Wiresharka.

U velikim mrežama, sa hiljadama distribuiranih uređaja i servisa, netstat postaje neupravljiv. Nije skalabilno I nije dizajniran za praćenje cijelog korporativnog okruženja; tu dolaze do izražaja SNMP rješenja, alati za praćenje, centralizirano praćenje ili proizvodi poput Microsoft Defendera za krajnje tačke.

Praktične netstat komande za traženje neobičnog prometa

U Windowsu, za početak, jednostavno otvorite prozor CMD ili Terminal kao administrator i piše:

  • netstat: prikazuje osnovne aktivne veze.
  • netstat -n: prikazuje IP adrese i portove u numeričkom formatu, bez razrješenja DNS imena.
  • netstat -sStatistika po protokolu (TCP, UDP, IPv4, IPv6…).
  • netstat -eopšta statistika interfejsa (poslani/primljeni bajtovi, greške…).
  • netstat -a: uključuje portove za slušanje i uspostavljene veze.
  • netstat -o: dodaje ID procesa (PID) povezan sa svakom vezom.
  • netstat -p TCP: filteri po protokolu (TCP, UDP, TCPv6, UDPv6...).

Ako želite da se informacije automatski ažuriraju u redovnim intervalima, možete kombinovati parametre sa intervalom: na primjer, netstat -n 7 Osvježava se svakih 7 sekundi, što je korisno za pregled Veze koje se pojavljuju i nestaju vrlo brzo kada se uspostavi sumnjiva sesija.

Da biste pronašli samo uspostavljene veze, možete koristiti klasični kombinirani okvir s findstr-om:

  • netstat | findstr USPONJENO

Promjena ESTABLISHED u SLUŠAM, ČEKAM_ZATVORENO ili ČEKAM_DO Možete se fokusirati na TCP stanje koje vas zanima ovisno o problemu koji analizirate. Ovo, u kombinaciji s PID-om i potpuno kvalificiranim nazivom domene, pomoći će vam... netstat -fTo vam daje vrlo jasnu predstavu o tome koji se proces povezuje na koji udaljeni server.

Tipičan primjer za sigurnost je pokretanje netstat-godina i recenzija:

  • udaljene IP adrese koje ne prepoznajete.
  • Lokalni visoki portovi osluškuju bez ikakvog vidljivog razloga.
  • Procesi s mnogo neuspjelih pokušaja povezivanja.

Ako vidite sumnjivu IP adresu, možete otići na Task ManagerPotražite PID i vidite o kojoj se aplikaciji radi. Odatle odlučujete hoćete li je deinstalirati, pokrenuti antivirusno skeniranje ili Prekinite vezu sa zaštitnim zidom (firewall-om).

cmd naredbe

Alternative za praćenje i analizu mreže

Iako je netstat dobra početna tačka za pregled konekcija, kada želite dublje istražiti sigurnost mreže, na scenu dolaze i drugi alati. specijalizovani alatiNeki vrlo uobičajeni su:

  • Wireshark: hvata i analizira pakete na niskom nivou, idealno za vidjeti tačno koji se podaci šalju, otkrivajući pokušaje iskorištavanja ili nešifrirani promet tamo gdje ne bi trebao biti.
  • GlassWireKombinuje praćenje saobraćaja sa Vizualni zaštitni zid i upozorenja, veoma korisno na naprednom nivou korisnika ili u maloj kancelariji.
  • Cloudshark: web rješenje za otpremanje snimljenih paketa, njihovu analizu i dijeljenje kao tima.
  • ss, iptraf, iftop Na Linuxu: prikazuju sockete, protok prometa i veze u stvarnom vremenu na moderniji i jasniji način od netstata.
  • ipRoute2: skup uslužnih programa za rukovanje rutama, tunelima i naprednim mrežnim pravilima u Linuxu (uglavnom zamjenjuje starije alate).

Platforme poput ove su također uobičajene u profesionalnim okruženjima. Uzlazni trendovi, Germain UX, Atera i slično, dizajnirano za pratiti dostupnost, performanse i korisničko iskustvo na web stranicama i uslugama, s upozorenjima kada nešto ne radi ispravno ili počne da se degradira.

Microsoft Defender, zaštita mreže i blokiranje C2

U Windowsu 10, Windowsu 11, macOS-u i Linuxu, ključna komponenta za blokiranje sumnjivih mrežnih veza je Zaštita mreže Microsoft DefenderaOva funkcija proširuje ono što radi SmartScreen U Microsoft Edgeu, prati ostatak sistema: ne prati samo preglednik, već i... drugi preglednici i procesi kao što su PowerShell ili desktop aplikacije.

Ideja je jednostavna: kada program pokuša da se poveže sa URL-om ili IP adresom sa lošom reputacijom (phishing, zlonamjerni softver, komande i kontrola itd.), Defender upoređuje zahtjev sa svojim listama (i vašim). prilagođeni indikatorii odlučuje hoće li ga dozvoliti, provjeriti ili ga u potpunosti blokirati. Ova kontrola funkcionira i za HTTP i za HTTPS promet i nije ograničena na portove 80 ili 443. pregledajte sve odlazne veze prema bilo kojem portu.

U kontekstu sigurnosti, jedna od najvažnijih funkcija je njena sposobnost da otkrivanje i prekid komunikacije sa serverima komandovanja i kontrole (C2)Ovo su kanali koje mnoge porodice zlonamjernog softvera i ransomwarea koriste za primanje naredbi i krađu podataka. Probijanje ovog komunikacijskog kanala obično znači zaustavljanje napredovanja napada.

U praksi, zaštita mreže oslanja se na nekoliko izvora: reputaciju SmartScreen-a, interne Microsoftove IoC-ove, vaše vlastite... prilagođene liste blokiranih i kategorije web filtriranja (sadržaj za odrasle, kockanje itd.). Na osnovu onoga što otkrije, klasificira događaj u kategorije kao što su phishing, zlonamjerni sadržaj, C2, prilagođene politike itd., koje zatim možete vidjeti u izvještajima, u naprednoj pretrazi ili unutar Microsoft Defender za krajnje tačke.

branitelj

Načini rada: revizija ili blokiranje

Defender vam omogućava da aktivirate mrežnu zaštitu na dva načina: način revizije (revizija) y blokovski način radaOvo je veoma korisno za izbjegavanje problema u produkcijskom okruženju:

  • En način revizijeSistem bilježi sve pristupe koje bi blokirao, ali Ne prekida vezuOve zapisnike možete pregledati u konzoli (upitima za DeviceEvents sa ActionType kao ExploitGuardNetworkProtectionAudited) i vidjeti potencijalni utjecaj.
  • En zaključavanjeBranilac preduzima akciju: blokira promet prema označenim domenama i IP adresama putem SmartScreen-a, vaših prilagođenih indikatora ili politika filtriranja sadržaja.

Sa stanovišta korisnika, kada naiđe na "sumnjivu" stranicu, mogu se dogoditi tri stvari:

  • Ako je reputacija dobra, ne vidi ništa čudnoNavigacija se nastavlja normalno.
  • Ako je reputacija nesigurna, a ekran upozorenja s mogućnošću preskakanja (deblokiranja) na nekoliko sati.
  • Ako je reputacija očigledno zlonamjerna ili ste je eksplicitno blokirali, blok bez mogućnosti zaobilaženja (osim ako administrator ne promijeni politiku).

Sve ovo ponašanje može se fino podesiti pravilima: na primjer, postoji opcija za pretvoriti sva upozorenja u čvrste blokovetako da ih korisnik ne može zaobići. Ovo se može konfigurirati putem CSP-a, GPO-a ili MDM alata, ovisno o tome kako upravljate svojom flotom uređaja.

Da bi dovršili predstavu, administratori mogu kreirati indikatori dozvola (dozvoli) kada otkriju lažno pozitivne rezultate ili trebaju omogućiti određenu uslugu. Ove dozvoljive naredbe imaju prioritet nad većinom blokova, dajući vam prostor za podešavanje postavki bez potrebe za onemogućavanjem sve mrežne zaštite.

Blokiranje veza putem zaštitnog zida i pravila u Windowsu

Pored Defendera, još jedan front za blokiranje sumnjivih mrežnih veza je sama mreža. Windows zaštitni zidOvaj zaštitni zid je integriran, ažurira se sa sistemom i omogućava vam kontrolu i nad programima koji mogu pristupiti internetu i nad portovima koji su prihvaćeni izvana.

Iz grafičkog interfejsa možete kreirati pravila za unos i izlaz, ali ako želite precizno podešavanje ili automatizaciju, korisno je znati i naredbe za netsh advfirewall. Na primjer:

  • netsh advfirewall je uključio trenutno stanje profila: aktivira zaštitni zid (firewall) u trenutnom profilu.
  • netsh advfirewall firewall pravilo za dodavanje name="Blokiraj IP X" dir=in action=block remoteip=xxxx: blokira dolazni promet s određene IP adrese.
  • netsh advfirewall firewall pravilo za dodavanje name="Otvori port 80" dir=in action=allow protocol=TCP localport=80: Otvara port 80 za dolazne veze.
  • Pravilo brisanja zaštitnog zida netsh advfirewall name="Otvoreni port 80": uklanja prethodno pravilo.
  • netsh advfirewall resetiranje: vraća zadane postavke zaštitnog zida.

Ako želite blokirati IP adresu jer vas preopterećuje pokušajima pristupa (na primjer, napadom grubom silom ili teškim skeniranjem), iz grafičke konzole Windows zaštitni zid s naprednom sigurnošću možete kreirati a pravilo prilagođenog unosa da:

  • Odnosi se na "Sve programe".
  • Koristite protokol "Svako".
  • U odjeljku "Udaljene adrese" navedite IP adresu ili raspon koji želite blokirati.
  • Odaberite opciju "Blokiraj vezu".
  • Odnosi se na domene, privatne i javne mreže.

To će spriječiti da vas ta IP adresa uznemirava na nivou sistema. Samo pazite da ne uključite... prevelik raspon i na kraju blokiraju IP adrese pretraživača ili legitimnih korisnika.

Da biste saznali koje portove vaš zaštitni zid zapravo blokira, možete omogućiti zapisivanje izgubljenih paketa u svojstvima profila, a zatim pregledati datoteku. pfirewall.log koji se nalazi u direktorijumu %systemroot%\system32\LogFiles\Firewall. Tamo ćete vidjeti detalje o portovima i adresama koje se koriste.

Blokirajte IP adrese i portove sa hostinga, .htaccess-a i drugih slojeva

Kada je problem sumnjivih veza usmjeren na vašu web stranicu (pokušaji prijave, neželjena pošta, automatizirani botovi, manji DDoS napadi itd.), samo poduzimanje radnji na računaru nije uvijek dovoljno. Često je preporučljivo... blokiranje IP adresa direktno na hostingu ili korištenjem web servera.

U panelima poput Pleska možete dodati IP adrese na liste blokiranih tako da Ne mogu čak ni učitati vašu stranicuDruga klasična opcija je reprodukcija datoteke .htaccess Ako koristite Apache, dodavanjem pravila kao što su:

Naruči Dozvoli, Zabrani Zabrani od 192.168.xx.x Dozvoli od svih

Ili više linija za odbijanje za različite adrese. Od tada će svaki zahtjev sa tih IP adresa vidjeti grešku, bez učitavanja vašeg sadržaja ili trošenja resursa aplikacije. To je jednostavno, ali efikasno rješenje za Zaustavite botove koji stalno napadaju vaš CMS ili skripte koje formiraju neželjenu poštu.

Ako doživljavate napade iz vrlo specifičnih zemalja i vaš server to dozvoljava, možete čak i geoblokiranje To se postiže putem pravila koja provjeravaju kod zemlje (na primjer, CN za Kinu) i preusmjeravaju na stranicu s greškom. Međutim, imajte na umu da ćete također blokirati pristup legitimnim korisnicima, a ponekad i botovima pretraživača ako se njima ne upravlja pravilno.

Druga manje agresivna alternativa tvrdom blokiranju IP adresa je kombinovanje ograničavanje brzineCAPTCHA i korištenje CDN-ova sa ublažavanjem DDoS napada. Na ovaj način, umjesto ručnog zatvaranja IP adresa, smanjujete utjecaj zloupotrebe bez ometanja toliko legitimnog prometa.

Prosljeđivanje portova, rizici i kako ih kontrolirati

Mnoge aplikacije (online igre, kućni serveri, P2P programi, NAS uređaji itd.) zahtijevaju otvaranje ili prosljeđivanje portova da bi ispravno funkcionirale. Problem je u tome što Svaki otvoreni port je potencijalni prolaz ako osnovna usluga ima sigurnosne nedostatke ili nije pravilno konfigurirana.

Prosljeđivanje portova podrazumijeva obavještavanje rutera da svaka veza koja dolazi s interneta na vašu javnu IP adresu dolazi putem određenog porta, preusmjerite ga na internu mašinu i određene portove unutar vaše lokalne mreže. Da bi ovo funkcioniralo, obično vam je potrebno NAT aktivirani i dobro znate koje usluge ćete ponuditi.

Postoji nekoliko osnovnih vrsta preusmjeravanja:

  • lokalneKoristi se za pristup internim servisima sa vašeg računara, ali putem tunela (na primjer, SSH).
  • Daljinski: omogućava pristup usluzi na vašem računaru s druge udaljene lokacije.
  • Dinamičan: pretvara vašeg klijenta u neku vrstu SOCKS proxyja, omogućavajući drugim aplikacijama da koriste tunel za dosezanje različitih odredišta.

Prije otvaranja bilo čega prema van, preporučljivo je:

  • Proverite da li je Usluga je ažurirana i ispravno konfigurirana..
  • Ograniči pristup prema IP, VPN ili jaka autentifikacija Kad god je moguće.
  • Izbjegavajte nepotrebno otvaranje tipičnih portova (RDP, mala i srednja preduzeća, itd.).

Imajte na umu da mnoge moderne prijetnje (modifikacija DNS-a, napadi tipa "čovjek u sredini", DoS botneti, kreiranje lažne Wi-Fi mrežeiskoristiti nekontrolisani izloženi portovi u kućnim ili poslovnim ruterima. Stoga je idealno izložiti apsolutni minimum i pažljivo ga pratiti.

Zapisnici, revizija i otkrivanje sumnjivih aktivnosti

Slijepo blokiranje veza može biti opasno; potrebna vam je osnova za donošenje odluka. Tu se sistemski, zaštitni zid i aplikacijski zapisniciU Linuxu, na primjer, veliki dio ovih zapisa se nalazi u / var / log, a njegovo upravljanje je definirano pomoću rsyslog-a i odgovarajućih konfiguracijskih datoteka.

U Windowsu, pored zapisnika zaštitnog zida, možete provjeriti i Prikazivač događajafiltriranje po događajima vezanim za zaštitu mreže i firewalla (ID-ovi kao što su 5007, 1125, 1126, itd.). Također imate Napredna pretraga Microsoft Defendera, gdje se vrše upiti u tabele kao što su DeviceEvents i DeviceNetworkEvents da biste vidjeli šta je revidirala ili blokirala mrežna zaštita.

Na primjer, za popis događaja Tamo gdje je mrežna zaštita revidirala ili blokirala nešto u preglednicima koji nisu Edge, mogli biste pokrenuti upite poput:

DeviceEvents | gdje je ActionType u ("ExploitGuardNetworkProtectionAudited", "ExploitGuardNetworkProtectionBlocked")

Ili filtrirajte posebno po SmartScreenUrlWarning ako se želite fokusirati na SmartScreen upozorenja u Edgeu. Ove informacije vam pomažu da identifikuju obrasce: domene koje mnogi korisnici posjećuju i blokirani su, IP adrese koje treba dodati na globalnu listu blokiranih, itd.

U većim okruženjima, uobičajeno je centralizirati ove zapise u SIEM ili u alatima poput Power BI-a za generiranje prilagođenih izvještaja, sigurnosnih kontrolnih ploča i automatskih upozorenja kada se pojavi određena kategorija odgovora (zlonamjerni, phishing, CustomBlockList itd.).

Savladavanje naredbi poput netstat, netsh, UFW ili firewall-cmd, korištenje mrežne zaštite Microsoft Defendera, poznavanje blokiranja IP adresa u Windows zaštitnom zidu, na vašem hostingu ili na FortiGateu i redovno pregledavanje mrežnih zapisnika daje vam... vrlo moćan alat za zaustavljanje sumnjivih mrežnih veza Prije nego što se ozbiljno uplašite, ne morate biti telekomunikacijski inženjer da biste započeli: uz nekoliko dobro naučenih komandi i malo zdravog razuma, možete zaštititi svoju opremu, servere i web stranice mnogo bolje od prosjeka.

Najbolji CMD trikovi za korištenje u Windowsu
Vezani članak:
Kompletan vodič za CMD naredbe za mreže: netsh, ipconfig, ping, tracert i još mnogo toga