Kako blokirati sumnjive veze iz CMD-a

  • Netstat vam omogućava da identifikujete otvorene portove, povezane procese i sumnjive veze iz CMD-a ili terminala.
  • Windows Firewall, UFW, firewalld i blackhole rute vam omogućavaju da blokirate IP adrese i raspone koji se otkriju kao zlonamjerni.
  • Napredni alati poput Defender for Endpoint ili FortiGate izoluju kompromitovane uređaje, VPN-ove i korisnike.
  • Dobro upravljanje korisnicima, SSH i zapisnici revizije ključni su za otkrivanje i zaustavljanje mrežnih napada.
Lorena Figueredo

15 minuta

Kako blokirati sumnjive veze iz CMD-a

Kada počnete primjećivati ​​čudne veze, otvorene portove za koje ne znate odakle dolaze ili nasumične neuspješne pokušaje prijave, važno je razumjeti kako... blokiranje sumnjivih veza iz CMD-a i zaštitni zid To više nije nešto "za stručnjake" već neophodnost. Sa nekoliko dobro korištenih komandi, možete zaustaviti napade, smanjiti opterećenje servera i dobiti značajan uvid u ono što se dešava na vašoj mreži.

Na Windowsu, Linuxu, pa čak i na sigurnosnim uređajima poput FortiGatea, imate izvorne alate za pratiti promet, identificirati zlonamjerne procese i blokirati IP adrese, raspone ili protokoleTrik je u tome da ih dobro kombinujete: prvo detektujete pomoću netstata, logova i praćenja, a zatim reagujete blokiranjem putem CMD-a, firewall-a ili direktnom izolacijom uređaja ako su stvari izmakle kontroli.

Netstat i CMD: prvi radar koji otkriva sumnjive veze

Naredba netstat je jedan od klasičnih alata za reviziju konekcija. U Windowsu, Linuxu i drugim sistemima poput macOS-a ili Unixa, iako je s nama od 90-ih, i dalje je vrlo koristan za saznanje šta se povezuje s čim na vašem računaru ili serveru.

Njegovo ime potiče od naziva Mreža i statistika, što prilično dobro sažima njegovu funkciju: daje vam mrežna statistika, tabela usmjeravanja, otvoreni portovi i aktivne vezeOvo uključuje i dolazne i odlazne veze. Ključno je ako želite precizno odrediti koji proces osluškuje port, gdje se povezuje neuobičajena usluga ili ako postoji neuobičajeno velik broj veza.

Alat nema grafički interfejs; radi iz komandne linije ili terminala, zbog čega se široko koristi u serverskim okruženjima i u forenzička analiza incidenataZauzvrat, nudi nivo detalja koji se rijetko nalazi u "lijepim" uslužnim programima i omogućava vam da otkrijete zlonamjerni softver koji zavisi od određenih portova ili veza sa sumnjivim udaljenim hostovima.

Prije donošenja zaključaka pomoću netstata, preporučljivo je zatvoriti nepotrebne programe ili ih čak ponovo pokrenuti i otvoriti samo ono što je apsolutno neophodno, jer na taj način Smanjuješ šum od legitimnih veza (preglednik, klijenti za chat, itd.) i, ako vam je potrebno, Provjerite koliko je uređaja povezano kako biste na kraju dobili jasniju fotografiju onoga što vas zaista zanima istražiti.

Osim toga, netstat održava tabelu usmjeravanja i statistiku po protokolu što pomaže u vizualizaciji greške, izgubljeni paketi i zagušenjeAko pokušavate shvatiti usko grlo ili djelomični prekid usluge, to je važan dio slagalice.

Više korisnih netstat opcija za traženje neobičnih konekcija

Na Windowsu možete pokrenuti netstat iz CMD-a ili modernog Terminala, a na Linuxu iz bilo koje konzole. Tipična sintaksa na Windowsu je nešto poput ovoga: netstat , kombinujući parametre prema onome što želite vidjeti.

Ako jednostavno pišete netstat Pritiskom na Enter dobit ćete osnovnu listu aktivnih veza: protokol (TCP/UDP), lokalnu adresu s portom, udaljenu adresu i status (SLUŠANJE, USPOSTAVLJENO, TIME_WAIT, itd.). S ovim informacijama možete početi locirati veze s nepoznatim IP adresama ili portovima koje nikada prije niste vidjeli.

Za rad u numeričkom režimu (bez pokušaja razrješenja DNS imena) obično ćete koristiti netstat -nOvo prikazuje neprevedene IP adrese i brojeve portova. Ovo čini izlaz bržim i jasnijim kada upoređujete sumnjive IP adrese sa crnim listama ili zapisnicima zaštitnog zida.

Ako želite da se informacije osvježavaju svakih X sekundi, možete dodati broj na kraj, na primjer netstat -n 7 tako da ponavlja izlaz svakih 7 sekundi. To je jednostavan način da se dobije svojevrsni "monitor" iz CMD-a bez korištenja vanjskih alata.

Netstat postaje posebno koristan za traženje čudnih aktivnosti u naprednim parametrima, koji vam omogućavaju da... Filtrirajte po protokolu, pogledajte povezane PID-ove, statistiku ili rute:

  • netstat -a: prikazuje sve veze i portove za slušanje (aktivne i neaktivne).
  • netstat -e: prikazuje statistiku prometa (poslani/primljeni bajtovi, greške, odbačene poruke).
  • netstat -f: razrješava i prikazuje FQDN (potpuno kvalificirano ime domene) udaljenih hostova.
  • netstat -n: prikazuje IP adrese i portove u numeričkom formatu.
  • netstat -o: označava PID procesa koji koristi svaku vezu, ključan za unakrsno referenciranje s Upraviteljem zadataka.
  • netstat -p X: filteri po protokolu (TCP, UDP, TCPv4, TCPv6...).
  • netstat -q: lista povezanih portova za slušanje i onih koji ne slušaju.
  • netstat -sStatistike grupirane po protokolu (TCP, UDP, ICMP, IPv4, IPv6).
  • netstat -r: prikazuje trenutnu tabelu usmjeravanja.
  • netstat -t: fokusirano na veze u procesu preuzimanja.
  • netstat -xInformacije o NetworkDirect vezama.

Vrlo uobičajena upotreba za provjeru osnovne sigurnosti je netstat-godinaOvo kombinuje nekoliko ovih opcija: vidite sve aktivne veze sa IP adresama, portovima i ID-ovima procesa. Odatle možete locirati rijetke procese u Upravitelju zadataka ili pomoću alata poput TCPViewa i odlučite da li ih trebate blokirati putem zaštitnog zida ili ih deinstalirati.

Također je vrlo praktično filtrirati stanje pomoću funkcije findstr, na primjer netstat | findstr USPONJENO da biste vidjeli samo uspostavljene veze ili da biste promijenili USPOSTAVLJENO u SLUŠANJE, ČEKANJE_ZATVORENO, ČEKANJE_U_VRIJEME itd., kada Istražujete li curenje resursa ili zombi veze?.

Prednosti, ograničenja i utjecaj netstata na performanse

Kako blokirati sumnjive veze iz CMD-a

Netstat blista jer vam daje prilično direktan uvid u to koji portovi i veze su aktivni Na računaru, ovo je nešto što je čisto zlato za administratora ili analitičara. Omogućava vam praćenje prometa, praćenje sesija, izvršavanje procjena performansi i relativno brzo otkrivanje neovlaštenih veza ili sumnjivog ponašanja.

Zahvaljujući statistici, možete otkriti abnormalni skokovi u određenim protokolima ili povećanje broja grešakaOvo često ukazuje na zagušenje, skeniranje portova, pokušaje grube sile ili pogrešno konfiguriran zlonamjerni softver. A budući da je to izvorni uslužni program, ne morate ništa instalirati na Windows ili mnoge Linux distribucije.

Međutim, ima i svoje nedostatke. Za početak, Izlaz može biti prilično gust i zagonetan Ako niste navikli tumačiti veze, stanja i portove, krivulja učenja nije baš glatka za netehničkog korisnika i vjerovatno će na kraju koristiti programe s grafičkim interfejsom.

Druga stvar je da netstat, sam po sebi, Ne šifrira ništa, ne blokira ništa i ne vrši dubinsku analizu.Jednostavno prikazuje informacije. Da biste te podatke pretvorili u pravu odbranu, potrebno ih je dopuniti zaštitnim zidovima (firewall), EDR sistemima, IDS/IPS-om i drugim alatima.

Ne skalira se baš dobro. u ogromnim mrežama ili okruženjima sa hiljadama istovremenih veza. U modernim infrastrukturama, često je sveden na sporednu ulogu u poređenju sa rješenjima poput naprednog PowerShella, SNMP-a, ss u Linuxu ili moćnijih grafičkih preglednika.

Što se tiče performansi, sama komanda ne "lomi" sistem, ali ako je pokrenete kontinuirano, sa mnogim parametrima i na opremi sa hiljadama priključakaMože značajno trošiti CPU i memoriju. Preporučuje se korištenje samo povremeno, sa specifičnim filterima i bez stalnog osvježavanja u vrlo kratkim intervalima.

Zahvaljujući svom nivou detalja, netstat vam čak pomaže i da otkrivanje zlonamjernog softvera koji se ponaša kao rootkit ili koji skriva procese iza neobičnih veza.

Kako preći s detekcije na blokiranje: Windows zaštitni zid i blokiranje IP adresa

Nakon što ste pronašli sumnjive veze ili IP adrese koristeći netstat ili logove, sljedeći logičan korak je korištenje Koristite Windows zaštitni zid da blokirate sumnjive IP adreseOvo prekida promet na izvoru i štedi resurse na serveru ili računaru.

Tipičan proces blokiranja određene IP adrese u Windowsu je kreiranje prilagođeno pravilo za dolazne poruke:

  1. Otvorite Windows zaštitni zid s naprednom sigurnošću i kliknite na "Novo pravilo".
  2. Odaberite "Prilagođeno" kako biste mogli pravilno definirati promet koji želite blokirati.
  3. Navedite "Svi programi" ako želite da pravilo utiče na bilo koju aplikaciju.
  4. U odjeljku "Protokol i portovi" ostavite "Bilo koji" osim ako ne želite nešto vrlo specifično.
  5. U polje „Opseg“ dodajte izvornu IP adresu ili IP raspon koji želite blokirati.
  6. Odaberite "Blokiraj vezu" kao zadanu radnju.
  7. Odlučite na koje se profile odnosi (domen, privatni i javni, obično sva tri).
  8. Dajte mu prepoznatljivo ime, na primjer Blokiranje_sumnjive_IP_adresei sačuvaj.

Na ovaj način, svaki pokušaj povezivanja sa te IP adrese bit će direktno odbijen. Ovo je posebno korisno kada napadač više puta pokuša pristupiti vašoj web stranici ili pokuša iskoristiti... mali DDoS napadi ili testiranje akreditiva protiv administrativnih panela.

Ako umjesto blokiranja sa vašeg sistema želite direktno blokirati pristup web stranici koja se nalazi na serveru, druga opcija je korištenje datoteke .htaccess u kontrolnim panelima poput PleskaTamo možete dodati pravila kao što su:

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

i ponovite liniju Deny from za svaku dodatnu IP adresu. Ovo osigurava da kada ljudi pokušaju pristupiti vašoj web stranici s tih IP adresa, vide samo grešku i ne troše resurse aplikacije ili baze podataka.

Također možete koristiti geoblokiranje specifično za određenu državu putem .htaccess datoteke kada server to dozvoljava, preusmjeravajući određeni promet (na primjer, iz države iz koje primate samo napade) na stranicu s greškom koristeći RewriteCond pravila sa GEOIP pozivni broj države.

Blokiranje IP adresa i raspona iz CMD-a i mrežnih alata

U nekim okruženjima, posebno na Linux serverima ili sistemima gdje se rad gotovo uvijek obavlja u konzoli, direktnije je koristiti komande za usmjeravanje ili zaštitni zid iz terminala da se prekine saobraćaj sa problematične IP adrese.

Sa komandom ruta U Unix-sličnim sistemima, možete dodati rute koje u suštini "preplavljuju" saobraćaj na određeni host. Na primjer:

route add -host 24.92.120.34 reject

Pomoću ove naredbe, svaki pokušaj pristupa toj IP adresi se odbija. Ako želite vidjeti šta je blokirano ili kako izgleda tabela usmjeravanja, možete koristiti ruta -n, koji će prikazati aktivne rute s brojevima.

Ako bilo kada zatrebate brava unazadJednostavno pokrenite:

route del 24.92.120.34 reject

Kada pričamo puni rasponiMožete koristiti nešto poput:

ip route add blackhole 22.118.20.0/24

što stvara "crnu rupu" za cijelu podmrežu, uzrokujući Paketi namijenjeni tim adresama se odbacuju bez odgovora.Vrlo je korisno protiv masovnih napada distribuiranih iz određenog raspona ili za zaustavljanje masovnog neželjenog sadržaja s grupa IP adresa.

Da biste izbjegli slijepo razmišljanje, preporučljivo je osloniti se na Kalkulatori IP raspona da biste tačno znali koliko i koje blokirate, posebno ako imate posla sa podmrežama sa maskama koje su nešto složenije od /24.

Blokirajte VPN veze i udaljeni pristup sa sumnjivih IP adresa

SSL VPN-ovi su vrlo primamljiva meta za napadače jer, ako uspiju ući, dajete im gotovo direktan pristup vašoj internoj mrežiUređaji poput FortiGate-a vam omogućavaju da ograničite koje se IP adrese mogu povezati na VPN, što je vrlo zanimljiv dodatni sloj odbrane.

Tipičan pristup je kreiranje grupa adresa tipa "crna lista" (na primjer, blacklistipp) na FortiGate-u gdje dodajete javne IP adrese koje su pokušale napade grubom silom ili čudno ponašanje u VPN zapisnicima.

Kasnije, u konzola zaštitnog zidaKonfiguracija SSL VPN-a se podešava pomoću:

  • Konfiguracija VPN SSL postavki
  • postavite izvornu adresu „blacklistipp“
  • omogući negiranje izvorne adrese
  • pokazati da provjeri primijenjenu konfiguraciju.

S ovom postavkom, svaki pokušaj povezivanja s IP adrese uključene u tu grupu bit će odbijen od samog početkabez dozvoljavanja unosa korisničkog imena i lozinke, što znatno smanjuje potrošnju resursa i površinu za napad.

Također možete raditi iz Grafičko sučelje Konfigurisanje "Ograniči pristup" i ograničavanje na određene hostove, iako u tom režimu korisnik unosi vjerodajnice, a veza se zatim prekida, što je manje efikasno sa stanovišta ranog ublažavanja.

Da biste provjerili da li brava radi, možete koristiti dijagnostičke naredbe kao što su dijagnosticiranje sniffer paketa filtriranje po IP i VPN portu ili provjera Nabavite VPN SSL monitor da provjerite koje su veze uspostavljene, a koje su izostavljene.

Napredna odbrana: izolacija uređaja i identiteta

Kada je situacija zaista ozbiljna (ransomware, lateralno kretanje, krađa podataka), jednostavno zatvaranje porta ili blokiranje određene IP adrese nije dovoljno: ponekad vam je potrebno potpuno izolovati kompromitovani uređaj ili čak identitet.

Microsoft Defender za krajnju tačku Integrira akcije brzog odgovora na nivou uređaja: možete označiti uređaje, pokrenuti automatizirane istrage, otvoriti sesije udaljenog odgovora uživo, prikupiti kompletne pakete za istragu i pokrenuti detaljna antivirusna skeniranja iz centralne konzole.

Kompilacija istraživačkog paketa u Windowsu uključuje informacije kao što su Pokretanja registra, instalirani programi, aktivne mrežne veze, ARP keš memorija, DNS, TCP/IP konfiguracija, zapisnici zaštitnog zida, prethodno preuzimanje, procesi, planirani zadaci, sigurnosni zapisnik, usluge, SMB sesije, sistemske informacije i privremeni direktorijiSve ovo je sažeto u strukturu foldera i sažeti izvještaj (CollectionSummaryReport.xls).

macOS i Linux prikupljaju nešto slično: instalirane aplikacije, volumene diskova, mrežne veze, procese, usluge, sigurnosne informacije, korisnike i grupe itd., što omogućava rekonstruirati scenario napada prilično dobro.

Jedna posebno moćna akcija je izolacija uređajaZaraženi računar se isključuje s mreže (osim za neophodnu komunikaciju sa sigurnosnom uslugom u oblaku) kako bi se spriječilo daljnje kretanje napadača ili curenje podataka. Potpuna i selektivna izolacija (koja omogućava, na primjer, Outlooku i Teamsu da nastave funkcionirati) dostupne su na raznim verzijama Windowsa, macOS-a i Linuxa, podložno određenim zahtjevima za iptables i kernel.

Paralelno s tim, postoji i mogućnost sadrže neupravljane uređaje putem njihove IP adrese: Uređaji zaštićeni Defender-om blokiraju sav dolazni ili odlazni promet prema toj adresi, usporavajući širenje s "otoka" mreže gdje još nije raspoređen sigurnosni agent.

Takođe može sadržavati samog sebe korisnik ili identitet Sumnjivo: Prijave na mrežu, RDP, SMB i RPC su blokirani; tekuće udaljene sesije su prekinute; i spriječeno je lateralno kretanje. Ovo ograničavanje se obično pokreće automatski korištenjem logike ometanja napada i prediktivne zaštite, a može se poništiti iz Centra za akcije nakon što se incident riješi.

Zaštitni zid na Linuxu: UFW, firewalld i iptables za zaustavljanje zlonamjernog prometa

Na Linux serverima, ključna komponenta za blokiranje neobičnih konekcija je sistemski zaštitni zid (firewall), obično zasnovan na iptables/nftables, sa slojevima upravljanja kao što su UFW ili firewalld da ga učinimo prijateljskijim.

U Ubuntuu i mnogim kompatibilnim distribucijama, UFW (Uncomplicated Firewall) znatno pojednostavljuje stvari. Možete ga instalirati sa sudo apt instalirati ufw, provjerite njegov status sa sudo ufw status i aktivirajte ga sa sudo ufw omogućitiPodrazumevano, obično zabranjuje sav dolazni saobraćaj i dozvoljava odlazni saobraćaj, što je već prilično siguran stav.

Za definiranje osnovnih pravila koriste se naredbe poput sljedećih:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Zatim možete dozvoliti određene usluge: na primjer sudo ufw dozvoli ssh otvoriti port 22, ili sudo ufw dozvoli 2222 / tcp Ako koristite nestandardni SSH port. Da biste blokirali uslugu, uradite nešto poput sudo ufw deny 80 zatvorite HTTP port.

Ako imate pouzdanu IP adresu ili, obrnuto, želite blokirati određenu adresu, možete koristiti pravila poput sudo ufw dozvoli od o sudo ufw odbije odpa čak i fino podešavanje pomoću "na bilo koji port" "da bi se blok povezao sa određenim portom."

Pravila se mogu navesti numerisana sa sudo ufw status numeriran i uklonite sa sudo ufw deleteZbog toga je prilično praktično prilagoditi politiku na osnovu onoga što vidite u logovima i alatima poput netstata, ss ili iftopa.

Olakšajte pristup: korisnicima, SSH-u i autentifikaciji

Blokiranje sumnjivih veza je odlično, ali je podjednako važno Smanjite površinu napada ograničavanjem ko može ući i kako.Tu na scenu stupaju upravljanje korisnicima, SSH i jaka autentifikacija.

U Linuxu, svaki korisnički račun s pristupom serveru predstavlja potencijalni vektor napada ako se njime ne upravlja pravilno. Računi se kreiraju pomoću useraddDodjeljuje im se lozinka sa passwd a dozvole i grupe se podešavaju alatima poput chown i chmod kako bi se spriječilo da dodiruju više nego što bi trebalo.

Za jačanje SSH, idealno je koristiti javni/privatni ključevi umjesto lozinkiSvoj par generirate sa ssh-keygenPrihvatate ili definirate putanju pohrane i, ako želite dodatni sloj, dodajete lozinku. Zatim šaljete javni ključ serveru sa ssh-kopija-id korisnik@host I odatle se možete prijaviti sa ssh korisnik@domaćin koristeći vaš ključ.

Kada autentifikacija ključa proradi, to je dobra praksa onemogući prijavu lozinkom u datoteci /etc/ssh/sshd_config, mijenjajući direktivu PasswordAuthentication na "no" i ponovo pokrećući servis sa systemctl restart sshNa ovaj način, napadač neće moći izvršiti brute force pokušaje unosa lozinke, jer server neće ni prihvatiti tu metodu.

Ako ovome dodate dvofaktorska provjera autentičnosti U kritičnim servisima, rotacija lozinki i računi s minimalnim privilegijama drastično smanjuju šanse da sumnjiva veza prođe kroz nekoliko neuspjelih pokušaja.

Zapisi i praćenje: bez vidljivosti nema ni efikasnog blokiranja

Nijedna strategija blokiranja ne funkcionira dobro ako nemate pristojni zapisnici revizije i minimalno praćenjeMorate vidjeti šta se dešava kako biste mogli reagovati na vrijeme i, ako je potrebno, rekonstruisati šta se dogodilo nakon incidenta.

U Linuxu, većina sistemskih logova je koncentrisana u / var / logPoruke kernela, autentifikacija, mrežne usluge, sistemski demoni… Gotovo uvijek kontrolira ponašanje i format rsyslog (ili varijante), konfigurirane u datotekama kao što su /etc/rsyslog.conf ili u datotekama unutar /etc/rsyslog.d/.

Odatle možete podesiti koje vrste događaja se zapisuju, njihov nivo ozbiljnosti i u kojoj datoteci završavaju. Također je moguće slanje logova na centralizovani server kako bi ih bolje analizirali i spriječili napadača da ih lako izbriše na kompromitovanom računaru.

Ravnoteža je važna: snimanje apsolutno svega može napuniti disk i onemogućiti filtriranje korisnih informacijaIako vrlo malo evidentiranja ostavlja opasne praznine, to je razlog zašto mnogi ljudi kombiniraju detaljno evidentiranje za kritične servise (SSH, zaštitni zid, autentifikacija) s lakšim evidentiranjem za manje osjetljive komponente.

Za analizu možete koristiti naredbe poput grep, awk ili less, ali u srednjim i velikim okruženjima normalno je koristiti SIEM alate ili stekove poput ELK, Splunk ili sličnokoji omogućavaju korelaciju događaja, otkrivanje obrazaca napada i generiranje upozorenja u realnom vremenu.

U Windowsu se nešto slično radi s Preglednikom događaja, zapisnicima Windows Defendera, zaštitnim zidom i, na naprednijem nivou, s rješenjima kao što su Microsoft Defender koji već integriraju sav taj tok i unakrsno ga povezuju s obavještajnim podacima o prijetnjama.

Kombiniranje netstata i drugih mrežnih uslužnih programa za otkrivanje sumnjivog prometa, jačanje zaštitnog zida (na Windowsu, Linuxu ili namjenskim uređajima), učinkovito upravljanje korisnicima i SSH-om te korištenje naprednih mogućnosti poput izolacije uređaja ili zadržavanja IP adresa i računa, stavlja vas u mnogo jaču poziciju: sumnjive veze prestaju biti ponavljajuća prijetnja i postaju događaji koje možete kontrolirati. Brzo identificirajte, blokirajte iz CMD-a ili sigurnosnih panela i smireno analizirajte. postepeno poboljšavati odbranu cijele vaše infrastrukture.

Šta je GlassWire?
Vezani članak:
GlassWire tutorijal za otkrivanje rijetkih događaja i praćenje vaše mreže