如何透過 CMD 阻止可疑連接

當你開始遇到奇怪的連線、你不知道來源的開放連接埠或隨機的登入失敗嘗試時，了解原因就顯得尤為重要。 阻止來自 CMD 的可疑連接以及防火牆 這不再是“專家專屬”，而是必需品。只需幾個熟練使用的命令，您就可以阻止攻擊、降低伺服器負載，並深入了解網路運作狀況。

在 Windows、Linux 甚至像 FortiGate 這樣的安全設備上，您都有原生工具可以實現這一點。 監控流量、識別惡意進程並封鎖 IP 位址、IP 位址範圍或協定訣竅在於將它們很好地結合起來：首先使用 netstat、日誌和監控進行檢測，然後如果情況失控，則透過 CMD、防火牆進行阻止或直接隔離設備來做出回應。

Netstat 和 CMD：首個用於偵測可疑連接的雷達

命令 netstat 是用於審核連接的經典工具之一。 在 Windows、Linux 和其他系統（如 macOS 或 Unix）中，雖然它從 90 年代就存在了，但對於了解電腦或伺服器上哪些設備正在連接哪些設備仍然非常有用。

它的名字來自於網路和統計，這也基本上概括了它的功能：它能給你… 網路統計資訊、路由表、開放埠和活動連接這包括傳入和傳出的連接。如果您想精確定位哪個進程正在監聽連接埠、哪個服務正在連接，或者是否存在異常高的連接量，這一點至關重要。

該工具沒有圖形介面；它透過命令列或終端機運行，因此廣泛應用於伺服器環境和其他環境。 法醫事件分析作為回報，它提供了“美觀”的實用程式中很少能找到的細節級別，並允許您檢測依賴於特定端口或與可疑遠端主機連接的惡意軟體。

在使用 netstat 得出結論之前，建議關閉不必要的程序，甚至重啟電腦，只打開絕對必要的程序，因為這樣… 減少合法連線中的噪音 （瀏覽器、聊天客戶端等）以及，如果您需要的話，查看已連接的裝置數量最後得到一張更清晰的照片，展現你真正想要調查的對象。

此外，netstat 還維護路由表和每個協定的統計信息，這有助於可視化。 錯誤、丟包和擁塞如果你想了解瓶頸或部分服務中斷的原因，它是解開謎題的重要一環。

用於查找異常連接的更多實用 netstat 選項

在 Windows 系統中，您可以透過 CMD 或現代終端機執行 netstat 命令；在 Linux 系統中，您可以透過任何控制台執行 netstat 命令。 Windows 系統上的典型語法如下圖所示： netstat命令 根據你想要看到的內容組合參數。

如果你只是寫 netstat命令 按下回車鍵將顯示活動連線的基本清單：協定（TCP/UDP）、本機位址及連接埠、遠端位址和狀態（LISTENING、ESTABLISHED、TIME_WAIT 等）。有了這些訊息，您就可以開始尋找連接到以前從未見過的陌生 IP 位址或連接埠的連接。

要在數字模式下工作（不嘗試解析 DNS 名稱），通常需要使用 網路統計-n這會顯示未經翻譯的 IP 位址和連接埠號碼。這樣，在將可疑 IP 位址與黑名單或防火牆日誌進行比較時，輸出結果會更快更清晰。

如果您希望資訊每隔 X 秒刷新一次，可以在末尾添加一個數字，例如： netstat -n 7 這樣它就能每7秒重複輸出一次。這是一種無需使用外部工具，即可透過CMD實現某種「監控」功能的簡單方法。

netstat 在尋找異常活動時特別有用的地方在於其高級參數，這些參數允許您： 按協定篩選，查看關聯的進程 ID、統計資料或路由:

netstat -a：顯示所有連線和監聽連接埠（活動和非活動）。
網路狀態-e：顯示流量統計資訊（發送/接收的位元組數、錯誤數、丟棄數）。
netstat -f解析並顯示遠端主機的 FQDN（完全限定網域名稱）。
網路統計-n以數字格式顯示 IP 位址和連接埠。
netstat -o：表示使用每個連接的進程的 PID，是與任務管理器交叉引用的關鍵。
netstat -p X：依協定（TCP、UDP、TCPv4、TCPv6…）進行篩選。
netstat -q：已連結的監聽連接埠和非監聽連接埠清單。
netstat -s按協定（TCP、UDP、ICMP、IPv4、IPv6）分組的統計資料。
網絡統計 -r：顯示目前路由表。
netstat -t：專注於下載過程中的連線。
netstat -x有關 NetworkDirect 連線的資訊。

檢查基本安全性的一個非常常見的用途是 netstat -年份這結合了其中幾個選項：您可以查看所有活動的連接，包括 IP 位址、連接埠和進程 ID。從這裡您可以… 定位罕見過程在任務管理器或使用 TCPView 等工具中查看並決定是否透過防火牆阻止它們或卸載它們。

例如，使用 findstr 函數過濾狀態也非常實用。 netstat | findstr 已建立 僅查看已建立的連接，或將 ESTABLISHED 變更為 LISTENING、CLOSE_WAIT、TIME_WAIT 等，當 你們是在調查資源外洩還是殭屍網路連線？.

netstat 的優點、限制和效能影響

Netstat之所以出色，是因為它能提供你… 可以相當直接地看到哪些連接埠和連線處於活動狀態。 對電腦管理員或分析師來說，這簡直是無價之寶。它能讓你監控流量、追蹤會話、進行效能評估，並相對快速地偵測未經授權的連線或可疑行為。

借助其統計數據，您可以檢測到 特定協定中出現異常峰值或錯誤增加這通常表示網路擁塞、連接埠掃描、暴力破解嘗試或惡意軟體配置錯誤。而且由於它是原生工具，因此在 Windows 或許多 Linux 發行版上無需安裝任何軟體。

然而，它也有其缺點。首先， 輸出結果可能相當晦澀難懂。 如果您不習慣解讀連接、狀態和端口，那麼對於非技術用戶來說，學習曲線並不平坦，他們最終可能會使用圖形介面的程式。

另一點是，netstat 本身 它不會加密任何內容，不阻止任何內容，也不進行深入分析。它只是顯示訊息。要將這些資料轉換為真正的防禦手段，還需要配合防火牆、EDR系統、IDS/IPS和其他工具使用。

它的擴展性並不好。 在擁有數千個並發連接的大型網路或環境中，它通常扮演次要角色。但在現代基礎架構中，與進階 PowerShell、SNMP、Linux 中的 ss 或更強大的圖形檢視器等解決方案相比，它往往處於次要地位。

就效能而言，該命令本身並不會「破壞」系統，但如果你運行它 持續進行，參數眾多，且設備具有數千個連接它會大量佔用 CPU 和記憶體資源。建議僅在特定情況下使用，並配合特定的篩選條件，且不要頻繁地以極短的間隔刷新。

由於其詳細資訊的詳盡程度，netstat 甚至可以幫助您：檢測惡意軟件行為類似於 rootkit，或將進程隱藏在不尋常的連接之後。

如何從偵測切換到封鎖：Windows 防火牆和 IP 阻止

一旦你使用 netstat 或日誌找到了可疑的連線或 IP 位址，下一步合乎邏輯的做法就是使用… 使用Windows防火牆阻止這些可疑的IP位址。這樣可以從源頭切斷流量，節省伺服器或電腦上的資源。

在 Windows 系統中，阻止特定 IP 位址的典型方法是建立一個 自訂傳入規則:

開啟“進階安全性 Windows 防火牆”，然後按一下“新規則”。
選擇“自訂”以便正確定義要阻止的流量。
如果希望該規則影響任何應用程序，請指定「所有程式」。
在“協定和連接埠”中，除非您想要非常特定的設置，否則請將其保留為“任意”。
在「範圍」中，新增要封鎖的來源 IP 位址或 IP 位址範圍。
選擇“阻止連線”作為預設操作。
決定它適用於哪些設定檔（網域、私人和公共，通常是全部三個）。
給它一個容易辨識的名字，例如 阻止可疑IP並保存。

這樣一來，來自該 IP 位址的任何連線嘗試都將被直接拒絕。這在攻擊者反覆嘗試訪問您的網站或試圖利用漏洞時尤其有用… 小型DDoS攻擊或測試憑證 反對行政小組。

如果您不想透過系統進行阻止，而是想直接阻止對託管在伺服器上的網站的訪問，另一種方法是使用檔案。 Plesk 等控制台中的 .htaccess 文件您可以在那裡新增規則，例如：

Order Allow,Deny Deny from 192.168.xx.x Allow from all

並重複這句話 拒絕從 對於每個額外的 IP 位址，都會進行相應的處理。這樣可以確保當使用者嘗試從這些 IP 位址存取您的網站時，只會看到錯誤訊息，而不會消耗應用程式或資料庫資源。

當伺服器允許時，您也可以透過 .htaccess 檔案進行特定國家/地區的地理封鎖，使用 RewriteCond 規則將某些流量（例如，來自您僅收到攻擊的國家/地區的流量）重新導向至錯誤頁面。 GEOIP 國家代碼.

使用 CMD 和網路工具封鎖 IP 位址和範圍

在某些環境中，尤其是在 Linux 伺服器或系統中（這些系統幾乎總是在控制台中完成工作），使用起來更直接。 從終端機發送路由或防火牆命令 切斷來自問題 IP 位址的流量。

用命令路線在類別 Unix 系統中，您可以新增路由，將流量「泛洪」到特定主機。例如：

route add -host 24.92.120.34 reject

使用此命令，任何存取該 IP 位址的嘗試都將被拒絕。如果您想查看哪些請求被封鎖或路由表的內容，可以使用下列命令。 路線-n將顯示目前有效的號碼路由。

如果您有任何需要 反轉區塊只需運行：

route del 24.92.120.34 reject

當我們談論 全系列你可以使用類似這樣的方法：

ip route add blackhole 22.118.20.0/24

這會為整個子網路建立一個「黑洞」路由，導致 發送至這些位址的資料包將在沒有收到回應的情況下被丟棄。它對於抵禦來自特定範圍的大規模攻擊或封鎖來自 IP 群組的大量垃圾郵件非常有效。

為了避免盲目行事，建議依靠… IP位址範圍計算器 要確切地知道你屏蔽了多少個子網以及屏蔽了哪些子網，尤其是在處理遮罩比 /24 更複雜的子網時。

阻止來自可疑IP位址的VPN連線和遠端訪問

SSL VPN 對攻擊者來說極具誘惑力，因為一旦他們成功入侵，就會給他們大量資訊。 幾乎可以直接存取您的內部網絡像 FortiGate 這樣的設備可以限制哪些 IP 位址可以連接到 VPN，這是一個非常有趣的額外防禦層。

典型的方法是創建一個 「黑名單」類型的地址組 （例如，在 FortiGate 上使用 blacklistipp）將嘗試過暴力破解攻擊或在 VPN 日誌中出現異常行為的公共 IP 位址新增至其中。

後來，在 防火牆控制台SSL VPN 設定調整如下：

設定 VPN SSL 設定
設定來源位址“blacklistipp”
設定來源位址否定啟用
顯示驗證所套用的配置。

啟用此設定後，來自該群組內任何 IP 位址的連線嘗試都會被拒絕。 從一開始就被拒絕甚至不需要輸入使用者名稱和密碼，這大大降低了資源消耗和攻擊面。

你也可以在…工作 圖形界面 配置「限制存取」並將其限制為特定主機，雖然在該模式下，使用者輸入憑證後連接就會被切斷，但從早期緩解的角度來看，這種方式效率較低。

若要驗證鎖是否正常運作，您可以使用診斷命令，例如： 診斷嗅探包 按 IP 和 VPN 連接埠篩選，或檢查 取得 VPN SSL 監控器 檢查哪些連線已建立，哪些連線未建立。

進階防禦：設備和身分隔離

當情況真的非常嚴重時（例如勒索軟體、橫向移動、資料外洩），僅僅關閉連接埠或封鎖特定 IP 位址是不夠的：有時你需要… 完全隔離受損設備，甚至隔離身份.

Microsoft Defender端點 它在裝置層級整合了快速回應操作：您可以標記裝置、啟動自動調查、開啟遠端即時回應工作階段、收集完整的調查包，並從中央控制台啟動深度防毒掃描。

在 Windows 系統中編譯研究包包含以下資訊：註冊表啟動項目、已安裝程式、活動網路連線、ARP 快取、DNS、TCP/IP 配置、防火牆日誌、預取、進程、排程任務、安全性日誌、服務、SMB 會話、系統資訊和暫存目錄所有這些內容都匯總到一個資料夾結構和一個摘要報告（CollectionSummaryReport.xls）。

macOS 和 Linux 會收集類似的東西：已安裝的應用程式、磁碟區、網路連線、進程、服務、安全資訊、使用者和群組等等，這使得它們能夠… 重現攻擊場景 挺好的。

其中一個特別有力的行動是： 設備隔離受影響的電腦將與網路斷開連接（與雲端安全服務進行必要通訊除外），以防止攻擊者進一步移動或資料外洩。在滿足特定 iptables 和核心要求的前提下，Windows、macOS 和 Linux 的各種版本均支援完全隔離和選擇性隔離（例如，允許 Outlook 和 Teams 繼續運行）。

同時，還有另一種選擇： 包含未管理的設備 透過其 IP 位址：受 Defender 保護的裝置會阻止到該位址的任何傳入或傳出流量，從而減緩從尚未部署安全代理程式的網路「孤島」傳播的速度。

它也可以包含自身。 使用者或身份 可疑活動：網路登入、RDP、SMB 和 RPC 連線均被阻止；正在進行的遠端會話被終止；橫向移動被阻止。此隔離措施通常使用攻擊幹擾邏輯和預測性防護自動觸發，事件解決後可從操作中心撤銷。

Linux 防火牆：UFW、firewalld 和 iptables 用於阻止惡意流量

在Linux伺服器上，阻止異常連接的關鍵元件是 系統防火牆通常基於iptables/nftables，並帶有UFW或firewalld等管理層。 使其更加友好。

在 Ubuntu 和許多相容的發行版中，UFW（Uncomplicated Firewall，簡易防火牆）大大簡化了操作。您可以使用以下命令安裝它： sudo apt install ufw用以下命令檢查其狀態 sudo ufw狀態 並用 sudo ufw啟用預設情況下，它通常會拒絕所有入站流量，只允許出站流量，這本身就是一種相當安全的姿態。

要定義基本策略，可以使用以下命令：

sudo ufw default deny incoming sudo ufw default allow outgoing

然後，您可以允許特定服務：例如 sudo ufw 允許 ssh 開啟連接埠 22，或者 sudo ufw允許2222 / tcp 如果您使用的是非標準 SSH 端口，請封鎖某項服務，請執行以下操作： 須藤 ufw deny 80 關閉HTTP連接埠。

如果您擁有受信任的 IP 位址，或相反，想要封鎖特定位址，您可以使用以下規則： sudo ufw allow from o sudo ufw deny from甚至可以使用“到任何連接埠”進行微調“將資料塊與特定連接埠關聯起來。”

規則可以編號列出。 sudo ufw status numbered 並用…移除 sudo ufw 刪除這樣就可以根據您在日誌和 netstat、ss 或 iftop 等工具中看到的內容來調整策略，非常方便。

加強存取控制：使用者、SSH 和身分驗證

阻止可疑連接固然很好，但這同樣重要。 透過限制誰可以進入以及如何進入來縮小攻擊面。這就需要用到使用者管理、SSH 和強身份驗證了。

在Linux系統中，每個擁有伺服器存取權限的使用者帳戶，如果管理不當，都可能成為攻擊媒介。帳戶是透過以下方式建立的： 用戶添加他們被分配了一個密碼。 passwd文件 權限和群組會透過 chown 和 chmod 等工具進行調整，以防止他們進行超出應有範圍的操作。

為了加強SSH，理想的做法是使用 使用公鑰/私鑰代替密碼您可以使用以下方式產生配對： SSH-凱基您接受或定義儲存路徑，如果需要額外的安全層，則可以新增密碼短語。然後，您將公鑰發送到伺服器。 ssh-copy-id user@host 然後，您就可以透過以下方式登入： ssh 使用者@主機 使用您的鑰匙。

一旦密鑰認證正常工作，這就是一個很好的做法。 停用密碼登入 在 /etc/ssh/sshd_config 檔案中，將 PasswordAuthentication 指令修改為“no”，然後重新啟動服務。 systemctl 重啟 ssh這樣一來，攻擊者就無法透過暴力破解密碼來攻擊伺服器，因為伺服器根本不會接受這種方法。

如果你再加上這個 兩因素認證 在關鍵服務中，密碼輪替和權限最小化的帳戶可以大大降低可疑連線在幾次失敗嘗試後仍然能夠成功的可能性。

日誌和監控：沒有可見性，就沒有有效的攔截措施。

如果沒有…，任何封鎖策略都行不通。 完善的審計日誌和最低限度的監控你需要了解發生了什麼，才能及時做出反應，並在必要時，在事件發生後還原事件經過。

在 Linux 系統中，大多數系統日誌都集中在… 在/ var /日誌核心訊息、身份驗證、網路服務、系統守護程序……它幾乎總是控制著行為和格式。 系統日誌 （或其變體），在諸如 /etc/rsyslog.conf 之類的檔案中或 /etc/rsyslog.d/ 中的檔案中進行設定。

您可以在這裡調整要記錄的事件類型、嚴重程度以及它們最終保存到哪個文件中。 將日誌傳送到集中式伺服器 以便更好地分析它們，並防止攻擊者輕易地在受感染的電腦上刪除它們。

平衡很重要：記錄所有事情可能會… 磁碟空間被填滿，無法篩選有用資訊。日誌記錄過於簡略會留下危險的漏洞。因此，許多人會將關鍵服務（SSH、防火牆、身份驗證）的詳細日誌記錄與較不敏感的元件的輕量級日誌記錄結合。

對於分析，您可以使用 grep、awk 或 less 等命令，但在中大型環境中，通常會使用 SIEM 工具或堆疊，例如 ELK、Splunk 或類似產品這使得事件關聯、攻擊模式偵測和即時警報產生成為可能。

在 Windows 系統中，事件檢視器、Windows Defender 日誌、防火牆等工具也實現了類似的功能，而在更進階的層面上，還可以使用以下解決方案： 微軟 Defender XDR 它已經整合了所有這些資訊流，並將其與威脅情報進行交叉引用。

結合 netstat 和其他網路實用程式來偵測可疑流量，加強防火牆（在 Windows、Linux 或專用裝置上），有效管理使用者和 SSH，並利用裝置隔離或 IP 和帳戶隔離等進階功能，使您處於更有利的地位：可疑連線不再是反覆出現的恐慌，而是您可以控制的事件。 快速識別，透過 CMD 或安全面板阻止，並冷靜分析。 逐步提升整個基礎設施的防禦能力。

GlassWire 教學：偵測罕見事件並監控您的網絡