Bagaimana untuk menyekat sambungan yang mencurigakan daripada CMD

  • Netstat membolehkan anda mengenal pasti port terbuka, proses yang berkaitan dan sambungan yang mencurigakan daripada CMD atau terminal.
  • Windows Firewall, UFW, firewalld dan laluan blackhole membenarkan anda menyekat IP dan julat yang dikesan sebagai berniat jahat.
  • Alat lanjutan seperti Defender for Endpoint atau FortiGate mengasingkan peranti terjejas, VPN dan pengguna.
  • Pengurusan pengguna yang baik, SSH dan log audit adalah kunci untuk mengesan dan menghentikan serangan rangkaian.
Lorena Figueredo

Minit 15

Bagaimana untuk menyekat sambungan yang mencurigakan daripada CMD

Apabila anda mula melihat sambungan pelik, buka port yang anda tidak tahu dari mana ia datang, atau percubaan log masuk gagal rawak, adalah penting untuk memahami cara menyekat sambungan yang mencurigakan daripada CMD dan tembok api Ia bukan lagi sesuatu "untuk pakar" tetapi satu keperluan. Dengan beberapa arahan yang digunakan dengan baik, anda boleh menghentikan serangan, mengurangkan beban pelayan dan mendapatkan keterlihatan yang ketara terhadap perkara yang berlaku pada rangkaian anda.

Pada Windows, Linux, dan juga pada peranti keselamatan seperti FortiGate, anda mempunyai alatan asli untuk memantau trafik, mengenal pasti proses berniat jahat dan menyekat IP, julat atau protokolCaranya ialah dengan menggabungkannya dengan baik: mula-mula anda mengesan dengan netstat, log dan pemantauan, kemudian anda bertindak balas dengan menyekat daripada CMD, firewall atau mengasingkan peranti secara terus jika perkara telah menjadi tidak terkawal.

Netstat dan CMD: radar pertama untuk mengesan sambungan yang mencurigakan

Perintah itu netstat ialah salah satu alat klasik untuk mengaudit sambungan Dalam Windows, Linux dan sistem lain seperti macOS atau Unix, dan walaupun ia telah bersama kami sejak tahun 90-an, ia masih sangat berguna untuk mengetahui perkara yang bersambung dengan apa yang terdapat pada komputer atau pelayan anda.

Namanya berasal dari Rangkaian dan Statistik, dan itu merumuskan fungsinya: ia memberi anda statistik rangkaian, jadual penghalaan, port terbuka dan sambungan aktifIni termasuk kedua-dua sambungan masuk dan keluar. Adalah penting jika anda ingin menentukan proses yang memastikan port mendengar, tempat perkhidmatan luar biasa disambungkan, atau jika terdapat volum sambungan yang luar biasa tinggi.

Alat ini tidak mempunyai antara muka grafik; ia berfungsi daripada command prompt atau terminal, itulah sebabnya ia digunakan secara meluas dalam persekitaran pelayan dan dalam analisis insiden forensikSebagai balasan, ia menawarkan tahap perincian yang jarang ditemui dalam utiliti "cantik" dan membolehkan anda mengesan perisian hasad yang bergantung pada port atau sambungan tertentu kepada hos jauh yang mencurigakan.

Sebelum membuat kesimpulan dengan netstat, dinasihatkan untuk menutup program yang tidak perlu atau memulakan semula dan hanya membuka perkara yang benar-benar perlu, kerana dengan cara itu Anda mengurangkan bunyi daripada sambungan yang sah (pelayar, pelanggan sembang, dsb.) dan, jika anda perlukan, Semak berapa banyak peranti yang disambungkan untuk mendapatkan gambar yang lebih bersih tentang perkara yang anda benar-benar berminat untuk menyiasat.

Di samping itu, netstat mengekalkan jadual penghalaan dan statistik setiap protokol yang membantu untuk menggambarkan ralat, paket tercicir dan kesesakanJika anda cuba memahami kesesakan atau gangguan separa perkhidmatan, ini adalah bahagian penting dalam teka-teki.

Pilihan netstat yang lebih berguna untuk memburu sambungan luar biasa

Pada Windows anda boleh menjalankan netstat daripada CMD atau Terminal moden, dan pada Linux dari mana-mana konsol. Sintaks biasa pada Windows adalah seperti ini: netstat , menggabungkan parameter mengikut perkara yang anda mahu lihat.

Jika anda hanya menulis netstat Menekan Enter akan memberi anda senarai asas sambungan aktif: protokol (TCP/UDP), alamat setempat dengan port, alamat jauh dan status (MENDENGAR, ESTABLISHED, TIME_WAIT, dsb.). Dengan maklumat ini, anda boleh mula mencari sambungan ke IP atau port yang tidak dikenali yang anda tidak pernah lihat sebelum ini.

Untuk bekerja dalam mod angka (tanpa cuba menyelesaikan nama DNS) anda biasanya akan menggunakan netstat -nIni memaparkan alamat IP dan nombor port yang tidak diterjemahkan. Ini menjadikan output lebih pantas dan jelas apabila anda membandingkan IP yang mencurigakan dengan senarai hitam atau log firewall.

Jika anda mahu maklumat dimuat semula setiap X saat, anda boleh menambah nombor pada penghujung, sebagai contoh netstat -n 7 supaya ia mengulangi output setiap 7 saat. Ini cara mudah untuk mempunyai sejenis "monitor" daripada CMD tanpa menggunakan alat luaran.

Di mana netstat menjadi sangat berguna untuk mencari aktiviti aneh adalah dalam parameter lanjutan, yang membolehkan anda Tapis mengikut protokol, lihat PID, statistik atau laluan yang berkaitan:

  • netstat -a: menunjukkan semua sambungan dan port mendengar (aktif dan tidak aktif).
  • netstat -e: memaparkan statistik trafik (bait dihantar/diterima, ralat, dibuang).
  • netstat -f: menyelesaikan dan memaparkan FQDN (nama domain yang layak sepenuhnya) bagi hos jauh.
  • netstat -n: memaparkan IP dan port dalam format angka.
  • netstat -o: menunjukkan PID proses yang menggunakan setiap sambungan, kunci untuk merujuk silang dengan Pengurus Tugas.
  • netstat -p X: penapis mengikut protokol (TCP, UDP, TCPv4, TCPv6...).
  • netstat -q: senarai port mendengar dan tidak mendengar yang dipautkan.
  • netstat -sStatistik dikumpulkan mengikut protokol (TCP, UDP, ICMP, IPv4, IPv6).
  • netstat -r: memaparkan jadual penghalaan semasa.
  • netstat -t: tertumpu pada sambungan dalam proses muat turun.
  • netstat -xMaklumat tentang sambungan NetworkDirect.

Penggunaan yang sangat biasa untuk menyemak keselamatan asas ialah netstat -tahunIni menggabungkan beberapa pilihan ini: anda melihat semua sambungan aktif dengan IP, port dan ID proses. Dari situ anda boleh mencari proses yang jarang berlaku dalam Pengurus Tugas atau dengan alatan seperti TCPView dan tentukan sama ada anda harus menyekatnya melalui tembok api atau menyahpasangnya.

Ia juga sangat praktikal untuk menapis keadaan dengan findstr, sebagai contoh netstat | findstr DITUBUHKAN untuk melihat hanya sambungan yang telah ditetapkan, atau untuk menukar ESTABLISHED kepada LISTENING, CLOSE_WAIT, TIME_WAIT, dsb., apabila Adakah anda menyiasat kebocoran sumber atau sambungan zombi?.

Kelebihan, had dan kesan prestasi netstat

Bagaimana untuk menyekat sambungan yang mencurigakan daripada CMD

Netstat bersinar kerana ia memberi anda a keterlihatan yang agak langsung bagi pelabuhan dan sambungan yang dihidupkan Pada komputer, ini adalah sesuatu yang emas tulen untuk pentadbir atau penganalisis. Ia membolehkan anda memantau trafik, menjejaki sesi, melakukan penilaian prestasi dan mengesan sambungan yang tidak dibenarkan atau tingkah laku yang mencurigakan dengan cepat.

Terima kasih kepada statistiknya, anda boleh mengesan lonjakan yang tidak normal dalam protokol tertentu atau peningkatan ralatIni selalunya menunjukkan kesesakan, imbasan port, percubaan kekerasan atau perisian hasad yang salah konfigurasi. Dan kerana ia adalah utiliti asli, anda tidak perlu memasang apa-apa pada Windows atau banyak pengedaran Linux.

Walau bagaimanapun, ia juga mempunyai kelemahannya. Sebagai permulaan, yang Keluaran boleh agak padat dan samar Jika anda tidak biasa mentafsir sambungan, keadaan dan port, keluk pembelajaran tidak betul-betul lancar untuk pengguna bukan teknikal, dan mereka mungkin akhirnya menggunakan program dengan antara muka grafik.

Perkara lain ialah netstat, dengan sendirinya, Ia tidak menyulitkan apa-apa, ia tidak menyekat apa-apa, dan ia tidak melakukan analisis mendalam.Ia hanya memaparkan maklumat. Untuk menjadikan data tersebut sebagai pertahanan sebenar, anda perlu melengkapkannya dengan tembok api, sistem EDR, IDS/IPS dan alatan lain.

Ia tidak berskala dengan baik. dalam rangkaian atau persekitaran yang besar dengan beribu-ribu sambungan serentak. Dalam infrastruktur moden, ia sering diturunkan kepada peranan kedua berbanding penyelesaian seperti PowerShell lanjutan, SNMP, ss dalam Linux atau penonton grafik yang lebih berkuasa.

Dari segi prestasi, arahan itu sendiri tidak "memecahkan" sistem, tetapi jika anda menjalankannya secara berterusan, dengan banyak parameter dan pada peralatan dengan beribu-ribu sambunganIa boleh menggunakan CPU dan memori dengan ketara. Adalah disyorkan untuk menggunakannya hanya sekali-sekala, dengan penapis khusus, dan tanpa sentiasa menyegarkan pada selang masa yang sangat singkat.

Terima kasih kepada tahap perinciannya, netstat juga membantu anda mengesan perisian hasad yang berkelakuan seperti rootkit atau yang menyembunyikan proses di sebalik sambungan luar biasa.

Bagaimana untuk beralih daripada pengesanan kepada penyekatan: firewall Windows dan penyekatan IP

Setelah anda menemui sambungan atau IP yang mencurigakan menggunakan netstat atau log, langkah logik seterusnya ialah menggunakan Gunakan tembok api Windows untuk menyekat IP yang mencurigakan tersebutIni memotong trafik di sumber dan menjimatkan sumber pada pelayan atau PC.

Proses biasa untuk menyekat alamat IP tertentu dalam Windows adalah untuk mencipta a peraturan masuk tersuai:

  1. Buka Windows Firewall dengan Advanced Security dan klik pada "Peraturan Baru".
  2. Pilih "Tersuai" untuk dapat menentukan trafik untuk disekat dengan betul.
  3. Tentukan "Semua program" jika anda mahu peraturan mempengaruhi mana-mana aplikasi.
  4. Dalam "Protokol dan port", biarkan ia sebagai "Mana-mana" melainkan anda mahukan sesuatu yang sangat khusus.
  5. Dalam "Skop", tambah alamat IP sumber atau julat IP yang anda mahu sekat.
  6. Pilih "Sekat sambungan" sebagai tindakan lalai.
  7. Tentukan profil yang digunakan (domain, peribadi dan awam, biasanya ketiga-tiganya).
  8. Beri nama yang boleh dikenali, sebagai contoh Menyekat_IP_Suspiciousdan simpan.

Dengan ini, sebarang percubaan sambungan dari alamat IP tersebut akan ditolak terus. Ini amat berguna apabila penyerang berulang kali cuba mengakses tapak web anda atau cuba mengeksploitasi... serangan DDoS kecil atau kelayakan ujian terhadap panel pentadbiran.

Jika bukannya menyekat daripada sistem anda, anda mahu menyekat terus akses ke tapak web yang dihoskan pada pelayan, pilihan lain ialah menggunakan fail .htaccess dalam panel kawalan seperti PleskDi sana anda boleh menambah peraturan seperti:

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

dan ulangi baris itu Nafikan daripada untuk setiap alamat IP tambahan. Ini memastikan bahawa apabila orang cuba mengakses tapak web anda daripada IP tersebut, mereka hanya melihat ralat dan tidak menggunakan sumber aplikasi atau pangkalan data.

Anda juga boleh bermain dengan geo-blocking khusus negara melalui .htaccess apabila pelayan membenarkannya, mengubah hala lalu lintas tertentu (contohnya, dari negara yang anda hanya menerima serangan) ke halaman ralat menggunakan peraturan RewriteCond dengan kod negara GEOIP.

Menyekat alamat IP dan julat daripada CMD dan alatan rangkaian

Dalam sesetengah persekitaran, terutamanya pada pelayan atau sistem Linux di mana kerja hampir selalu dilakukan dalam konsol, ia adalah lebih langsung untuk digunakan arahan penghalaan atau firewall daripada terminal untuk memotong trafik daripada alamat IP yang bermasalah.

Dengan arahan laluan Dalam sistem seperti Unix, anda boleh menambah laluan yang pada asasnya "membanjiri" trafik ke hos tertentu. Contohnya:

route add -host 24.92.120.34 reject

Dengan arahan ini, sebarang percubaan untuk mencapai alamat IP tersebut ditolak. Jika anda ingin melihat perkara yang disekat atau rupa jadual penghalaan, anda boleh gunakan laluan -n, yang akan menunjukkan laluan nombor aktif.

Sekiranya pada bila-bila masa anda memerlukan kunci terbalikJalankan sahaja:

route del 24.92.120.34 reject

Apabila kita bercakap tentang julat penuhAnda boleh menggunakan sesuatu seperti:

ip route add blackhole 22.118.20.0/24

yang mencipta laluan "lubang hitam" untuk keseluruhan subrangkaian, menyebabkan Paket yang ditujukan untuk alamat tersebut dibuang tanpa balasan.Ia amat berguna terhadap serangan besar-besaran yang diedarkan daripada julat tertentu atau untuk menghentikan spam besar-besaran daripada kumpulan IP.

Untuk mengelakkan menjadi buta, adalah dinasihatkan untuk bergantung pada Kalkulator julat IP untuk mengetahui dengan tepat berapa banyak dan yang mana yang anda sekat, terutamanya jika anda berurusan dengan subnet dengan topeng yang agak lebih kompleks daripada /24.

Sekat sambungan VPN dan akses jauh daripada IP yang mencurigakan

VPN SSL adalah sasaran yang sangat menarik untuk penyerang kerana, jika mereka berjaya masuk, anda memberi mereka akses hampir terus ke rangkaian dalaman andaPeranti seperti FortiGate membolehkan anda mengehadkan IP mana yang boleh disambungkan ke VPN, dan itu adalah lapisan pertahanan tambahan yang sangat menarik.

Pendekatan biasa adalah untuk mencipta a kumpulan alamat jenis "senarai hitam". (contohnya, senarai hitam) pada FortiGate di mana anda menambah IP awam yang telah mencuba serangan kekerasan atau kelakuan aneh dalam log VPN.

Kemudian, dalam konsol firewallKonfigurasi SSL VPN dilaraskan dengan:

  • config vpn ssl tetapan
  • tetapkan alamat sumber "blacklistipp"
  • set source-address-negate enable
  • Menunjukkan untuk mengesahkan konfigurasi yang digunakan.

Dengan tetapan ini, sebarang percubaan sambungan daripada alamat IP yang disertakan dalam kumpulan itu akan menjadi ditolak sejak awal lagitanpa membenarkan kemasukan nama pengguna dan kata laluan, yang sangat mengurangkan penggunaan sumber dan permukaan serangan.

Anda juga boleh bekerja dari Antara muka grafik Mengkonfigurasi "Hadkan akses" dan mengehadkannya kepada hos tertentu, walaupun dalam mod itu, pengguna memasukkan bukti kelayakan dan sambungan kemudiannya terputus, yang kurang cekap dari sudut mitigasi awal.

Untuk mengesahkan bahawa kunci berfungsi, anda boleh menggunakan arahan diagnostik seperti mendiagnosis paket penghidu menapis melalui port IP dan VPN, atau menyemak dapatkan vpn ssl monitor untuk menyemak sambungan mana yang diwujudkan dan mana yang ditinggalkan.

Pertahanan lanjutan: pengasingan peranti dan identiti

Apabila keadaan benar-benar serius (perisian tebusan, pergerakan sisi, exfiltration data), hanya menutup port atau menyekat alamat IP tertentu tidak mencukupi: kadangkala anda perlu mengasingkan sepenuhnya peranti yang terjejas atau identiti.

Microsoft Defender untuk Endpoint Ia menyepadukan tindakan tindak balas pantas pada peringkat peranti: anda boleh menandai peranti, memulakan penyiasatan automatik, membuka sesi respons langsung jauh, mengumpul pakej penyiasatan lengkap dan melancarkan imbasan antivirus yang mendalam daripada konsol pusat.

Penyusunan pakej penyelidikan dalam Windows termasuk maklumat seperti Permulaan pendaftaran, program yang dipasang, sambungan rangkaian aktif, cache ARP, DNS, konfigurasi TCP/IP, log firewall, prefetch, proses, tugas berjadual, log keselamatan, perkhidmatan, sesi SMB, maklumat sistem dan direktori sementaraSemua ini dipekatkan ke dalam struktur folder dan laporan ringkasan (CollectionSummaryReport.xls).

macOS dan Linux mengumpul sesuatu yang serupa: aplikasi yang dipasang, volum cakera, sambungan rangkaian, proses, perkhidmatan, maklumat keselamatan, pengguna dan kumpulan, dsb., yang membolehkan membina semula senario serangan cukup baik.

Satu tindakan yang amat berkuasa ialah pengasingan perantiKomputer yang terjejas diputuskan sambungan daripada rangkaian (kecuali untuk komunikasi yang diperlukan dengan perkhidmatan keselamatan awan) untuk menghalang penyerang daripada pergerakan selanjutnya atau kebocoran data. Pengasingan lengkap dan pengasingan terpilih (membenarkan, contohnya, Outlook dan Pasukan untuk terus berfungsi) tersedia pada pelbagai versi Windows, macOS dan Linux, tertakluk pada keperluan iptable dan kernel tertentu.

Secara selari, terdapat pilihan untuk mengandungi peranti yang tidak terurus melalui IP mereka: Peranti yang dilindungi pertahanan menyekat sebarang trafik masuk atau keluar ke alamat itu, memperlahankan penyebaran daripada "pulau" rangkaian di mana tiada ejen keselamatan digunakan lagi.

Ia juga boleh mengandungi dirinya sendiri pengguna atau identiti Mencurigakan: Log masuk rangkaian, RDP, SMB dan RPC disekat; sesi jarak jauh yang berterusan ditamatkan; dan pergerakan sisi dihalang. Pembendungan ini biasanya dicetuskan secara automatik menggunakan logik gangguan serangan dan perisai ramalan, dan boleh diterbalikkan daripada Pusat Tindakan sebaik sahaja insiden itu telah diselesaikan.

Firewall pada Linux: UFW, firewalld dan iptables untuk menghentikan trafik berniat jahat

Pada pelayan Linux, komponen utama untuk menyekat sambungan luar biasa ialah firewall sistem, biasanya berdasarkan iptables/nftables, dengan lapisan pengurusan seperti UFW atau firewalld untuk menjadikannya lebih mesra.

Dalam Ubuntu dan banyak pengedaran yang serasi, UFW (Uncomplicated Firewall) sangat memudahkan perkara. Anda boleh memasangnya dengan sudo apt install ufw, semak statusnya dengan status ufw sudo dan aktifkannya dengan sudo ufw membolehkanSecara lalai, ia biasanya menafikan semua trafik masuk dan membenarkan trafik keluar, yang sudah menjadi pendirian yang agak selamat.

Untuk menentukan dasar asas, arahan seperti berikut digunakan:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Kemudian, anda boleh membenarkan perkhidmatan tertentu: sebagai contoh sudo ufw membenarkan ssh untuk membuka port 22, atau sudo ufw membenarkan 2222 / tcp Jika anda menggunakan port SSH bukan standard. Untuk menyekat perkhidmatan, lakukan sesuatu seperti sudo ufw menafikan 80 tutup port HTTP.

Jika anda mempunyai alamat IP yang dipercayai atau, sebaliknya, ingin menyekat alamat tertentu, anda boleh menggunakan peraturan seperti sudo ufw benarkan dari o sudo ufw menafikan daripadadan juga menyesuaikan dengan "ke mana-mana port" "untuk mengaitkan blok dengan port tertentu."

Peraturan boleh disenaraikan bernombor dengan status sudo ufw bernombor dan keluarkan dengan sudo ufw padamIni menjadikannya agak mudah untuk melaraskan dasar berdasarkan perkara yang anda lihat dalam log dan dalam alatan seperti netstat, ss atau iftop.

Mengeraskan akses: pengguna, SSH, dan pengesahan

Menyekat sambungan yang mencurigakan adalah bagus, tetapi ia sama pentingnya Kurangkan permukaan serangan dengan mengehadkan siapa yang boleh masuk dan bagaimana.Di sinilah pengurusan pengguna, SSH, dan pengesahan yang kuat dimainkan.

Di Linux, setiap akaun pengguna dengan akses pelayan adalah vektor serangan yang berpotensi jika tidak diurus dengan betul. Akaun dibuat dengan penggunaadMereka diberikan kata laluan dengan passwd dan kebenaran serta kumpulan dilaraskan dengan alatan seperti chown dan chmod untuk menghalang mereka daripada menyentuh lebih daripada yang sepatutnya.

Untuk mengukuhkan SSH, yang ideal adalah menggunakan kunci awam/peribadi dan bukannya kata laluanAnda menjana pasangan anda dengan ssh-keygenAnda menerima atau menentukan laluan storan dan, jika anda mahu lapisan tambahan, anda menambah frasa laluan. Kemudian anda menghantar kunci awam ke pelayan dengan ssh-copy-id pengguna@host Dan dari sana, anda boleh log masuk dengan ssh pengguna@hos menggunakan kunci anda.

Sebaik sahaja pengesahan utama berfungsi, ini adalah amalan yang baik lumpuhkan log masuk kata laluan dalam fail /etc/ssh/sshd_config, ubah suai arahan Pengesahan Kata Laluan kepada "tidak" dan mulakan semula perkhidmatan dengan systemctl restart sshDengan cara ini, penyerang tidak akan dapat memaksa percubaan kata laluan secara kasar, kerana pelayan tidak akan menerima kaedah itu.

Jika anda menambah ini dua pengesahan faktor Dalam perkhidmatan kritikal, penggiliran kata laluan dan akaun dengan keistimewaan minimum secara drastik mengurangkan peluang sambungan yang mencurigakan melangkaui beberapa percubaan yang gagal.

Log dan pemantauan: tanpa keterlihatan tiada penyekatan yang berkesan

Tiada strategi menyekat berfungsi dengan baik jika anda tidak mempunyai log audit yang baik dan pemantauan yang minimumAnda perlu melihat apa yang berlaku untuk bertindak balas dalam masa dan, jika perlu, bina semula apa yang berlaku selepas insiden.

Di Linux, kebanyakan log sistem tertumpu pada / var / logMesej kernel, pengesahan, perkhidmatan rangkaian, daemon sistem... Ia hampir sentiasa mengawal tingkah laku dan format rsyslog (atau varian), dikonfigurasikan dalam fail seperti /etc/rsyslog.conf atau dalam fail dalam /etc/rsyslog.d/.

Dari situ, anda boleh melaraskan jenis acara yang dilog, tahap keterukan dan fail mana yang akan dimasukkan. Ia juga mungkin menghantar log ke pelayan berpusat untuk menganalisisnya dengan lebih baik dan menghalang penyerang daripada memadamnya dengan mudah pada komputer yang terjejas.

Keseimbangan adalah penting: merekodkan semuanya boleh mengisi cakera dan menjadikannya mustahil untuk menapis maklumat yang bergunaWalaupun pembalakan sangat sedikit meninggalkan jurang berbahaya. Itulah sebabnya ramai orang menggabungkan pengelogan terperinci untuk perkhidmatan kritikal (SSH, firewall, pengesahan) dengan pengelogan yang lebih ringan untuk komponen yang kurang sensitif.

Untuk analisis, anda boleh menggunakan arahan seperti grep, awk atau kurang, tetapi dalam persekitaran sederhana dan besar adalah perkara biasa untuk menggunakan alat SIEM atau tindanan seperti ELK, Splunk atau seumpamanyayang membenarkan mengaitkan peristiwa, mengesan corak serangan dan menjana makluman masa nyata.

Dalam Windows, sesuatu yang serupa dilakukan dengan Pemapar Acara, log Windows Defender, tembok api dan, pada tahap yang lebih maju, dengan penyelesaian seperti Microsoft Defender yang sudah menyepadukan semua aliran itu dan merujuk silang dengan risikan ancaman.

Menggabungkan netstat dan utiliti rangkaian lain untuk mengesan trafik yang mencurigakan, mengukuhkan tembok api (pada Windows, Linux atau peranti khusus), mengurus pengguna dan SSH dengan berkesan, dan memanfaatkan keupayaan lanjutan seperti pengasingan peranti atau IP dan pembendungan akaun, meletakkan anda dalam kedudukan yang lebih kukuh: sambungan yang mencurigakan tidak lagi menjadi ketakutan berulang dan menjadi peristiwa yang boleh anda kawal. Kenal pasti dengan cepat, sekat daripada CMD atau panel keselamatan, dan analisis dengan tenang. untuk meningkatkan pertahanan keseluruhan infrastruktur anda secara beransur-ansur.

Apakah GlassWire?
artikel berkaitan:
Tutorial GlassWire untuk mengesan kejadian yang jarang berlaku dan memantau rangkaian anda