Comment bloquer les connexions suspectes depuis l'invite de commandes

Lorsque vous commencez à observer des connexions étranges, des ports ouverts dont vous ignorez l'origine, ou des tentatives de connexion infructueuses aléatoires, il est important de comprendre comment bloquer les connexions suspectes depuis l'invite de commandes et le pare-feu Ce n'est plus réservé aux experts, mais est devenu indispensable. Quelques commandes bien maîtrisées permettent de stopper les attaques, de réduire la charge du serveur et d'obtenir une visibilité accrue sur l'activité de votre réseau.

Sous Windows, Linux et même sur des dispositifs de sécurité comme FortiGate, vous disposez d'outils natifs pour surveiller le trafic, identifier les processus malveillants et bloquer les adresses IP, les plages d'adresses IP ou les protocoles.L'astuce consiste à bien les combiner : d'abord, on détecte avec netstat, les journaux et la surveillance, puis on réagit en bloquant depuis l'invite de commandes, le pare-feu ou en isolant directement le périphérique si la situation est devenue incontrôlable.

Netstat et CMD : le premier radar à détecter les connexions suspectes

La commande netstat est l'un des outils classiques pour l'audit des connexions Sous Windows, Linux et d'autres systèmes comme macOS ou Unix, et bien que cette fonctionnalité existe depuis les années 90, elle reste très utile pour savoir ce qui se connecte à quoi sur votre ordinateur ou serveur.

Son nom vient de Réseau et Statistiques, ce qui résume assez bien sa fonction : il vous donne Statistiques réseau, table de routage, ports ouverts et connexions activesCela inclut les connexions entrantes et sortantes. C'est essentiel pour identifier le processus qui maintient un port ouvert, le service inhabituel qui se connecte ou un volume de connexions anormalement élevé.

Cet outil ne possède pas d'interface graphique ; il fonctionne à partir de l'invite de commandes ou du terminal, ce qui explique sa large utilisation dans les environnements serveur et dans analyse médico-légale des incidentsEn contrepartie, il offre un niveau de détail rarement rencontré dans les utilitaires « esthétiques » et permet de détecter les logiciels malveillants qui dépendent de ports spécifiques ou de connexions à des hôtes distants suspects.

Avant de tirer des conclusions avec netstat, il est conseillé de fermer les programmes inutiles, voire de redémarrer l'ordinateur et de n'ouvrir que les programmes absolument nécessaires, car ainsi… Vous réduisez le bruit provenant des connexions légitimes (navigateur, clients de messagerie instantanée, etc.) et, si besoin, Vérifiez le nombre d'appareils connectés. pour obtenir une photo plus nette de ce que vous souhaitez vraiment étudier.

De plus, netstat maintient une table de routage et des statistiques par protocole qui aident à visualiser erreurs, paquets perdus et congestionSi vous essayez de comprendre un goulot d'étranglement ou une panne partielle de service, c'est un élément important du puzzle.

Options netstat plus utiles pour la recherche de connexions inhabituelles

Sous Windows, vous pouvez exécuter la commande netstat depuis l'invite de commandes ou le Terminal moderne, et sous Linux depuis n'importe quelle console. La syntaxe typique sous Windows est la suivante : netstat , en combinant les paramètres en fonction de ce que vous souhaitez voir.

Si vous écrivez simplement netstat En appuyant sur Entrée, vous obtiendrez une liste des connexions actives : protocole (TCP/UDP), adresse locale avec port, adresse distante et statut (ÉCOUTE, ÉTABLI, ATTENTE, etc.). Grâce à ces informations, vous pourrez identifier les connexions vers des adresses IP ou des ports inconnus.

Pour travailler en mode numérique (sans tenter de résoudre les noms DNS), vous utiliserez généralement netstat -nCeci affiche les adresses IP et les numéros de port non traduits. L'affichage est ainsi plus rapide et plus clair lors de la comparaison d'adresses IP suspectes avec des listes noires ou les journaux de pare-feu.

Si vous souhaitez que les informations s'actualisent toutes les X secondes, vous pouvez ajouter un nombre à la fin, par exemple : netstat -n 7 Le programme répète ainsi la sortie toutes les 7 secondes. C'est une façon simple d'obtenir une sorte de « moniteur » depuis l'invite de commandes sans utiliser d'outils externes.

C’est dans les paramètres avancés que netstat se révèle particulièrement utile pour détecter une activité anormale, permettant notamment de : Filtrer par protocole, afficher les PID associés, les statistiques ou les itinéraires:

• netstat -a: affiche toutes les connexions et les ports d'écoute (actifs et inactifs).
• netstat-e: affiche les statistiques de trafic (octets envoyés/reçus, erreurs, rejets).
• netstat -f: résout et affiche le nom de domaine pleinement qualifié (FQDN) des hôtes distants.
• netstat -n: affiche les adresses IP et les ports au format numérique.
• netstat -o: indique le PID du processus qui utilise chaque connexion, élément clé pour le recoupement avec le Gestionnaire de tâches.
• netstat -p X: filtres par protocole (TCP, UDP, TCPv4, TCPv6...).
• netstat -q: liste des ports d'écoute et de non-écoute liés.
• netstat-sStatistiques regroupées par protocole (TCP, UDP, ICMP, IPv4, IPv6).
• netstat -r: affiche la table de routage actuelle.
• netstat -t: axé sur les connexions dans le processus de téléchargement.
• netstat -xInformations sur les connexions NetworkDirect.

L'utilisation très courante de la vérification de la sécurité de base est netstat -anoCela combine plusieurs de ces options : vous voyez toutes les connexions actives avec leurs adresses IP, ports et identifiants de processus. À partir de là, vous pouvez localiser les processus rares Dans le Gestionnaire des tâches ou avec des outils comme TCPView, vous pouvez déterminer s'il convient de les bloquer via un pare-feu ou de les désinstaller.

Il est également très pratique de filtrer l'état avec findstr, par exemple. netstat | findstr ÉTABLI pour afficher uniquement les connexions établies, ou pour remplacer ESTABLISHED par LISTENING, CLOSE_WAIT, TIME_WAIT, etc., lorsque Êtes-vous à la recherche de fuites de ressources ou de connexions zombies ?.

Avantages, limitations et impact sur les performances de netstat

Netstat brille car il vous offre un visibilité assez directe des ports et connexions actifs Sur un ordinateur, c'est un outil précieux pour un administrateur ou un analyste. Il permet de surveiller le trafic, de suivre les sessions, d'effectuer des évaluations de performance et de détecter assez rapidement les connexions non autorisées ou les comportements suspects.

Grâce à ses statistiques, vous pouvez détecter pics anormaux dans certains protocoles ou une augmentation des erreursCela indique souvent une congestion du réseau, des analyses de ports, des attaques par force brute ou des logiciels malveillants mal configurés. Et comme il s'agit d'un utilitaire natif, aucune installation n'est requise sous Windows ni sur la plupart des distributions Linux.

Cependant, elle présente aussi des inconvénients. Pour commencer, Le résultat peut être assez dense et cryptique. Si vous n'êtes pas habitué à interpréter les connexions, les états et les ports, la courbe d'apprentissage n'est pas vraiment facile pour un utilisateur non technique, et il est probable qu'il finisse par utiliser des programmes dotés d'une interface graphique.

Un autre point est que netstat, en soi, Il ne chiffre rien, il ne bloque rien et il n'effectue aucune analyse approfondie.Il se contente d'afficher des informations. Pour transformer ces données en une véritable défense, il faut les compléter par des pare-feu, des systèmes EDR, des IDS/IPS et d'autres outils.

Il ne s'adapte pas particulièrement bien à grande échelle. Dans les vastes réseaux ou environnements comptant des milliers de connexions simultanées, son rôle est souvent secondaire par rapport à des solutions comme PowerShell avancé, SNMP, ss sous Linux ou des visualiseurs graphiques plus performants.

En termes de performances, la commande elle-même ne « casse » pas le système, mais si vous l'exécutez en continu, avec de nombreux paramètres et sur des équipements comportant des milliers de connexionsIl peut consommer une quantité importante de ressources processeur et de mémoire. Il est recommandé de l'utiliser occasionnellement, avec des filtres spécifiques et sans actualiser constamment à intervalles très courts.

Grâce à son niveau de détail, netstat vous aide même à détecter les logiciels malveillants qui se comporte comme un rootkit ou qui dissimule des processus derrière des connexions inhabituelles.

Comment passer de la détection au blocage : Pare-feu Windows et blocage d’adresses IP

Une fois que vous avez repéré les connexions ou adresses IP suspectes à l'aide de netstat ou des journaux, l'étape logique suivante consiste à utiliser Utilisez le pare-feu Windows pour bloquer ces adresses IP suspectes.Cela coupe le trafic à la source et économise les ressources du serveur ou du PC.

La procédure habituelle pour bloquer une adresse IP spécifique sous Windows consiste à créer un règle d'entrée personnalisée:

1. Ouvrez le Pare-feu Windows avec fonctions avancées de sécurité et cliquez sur « Nouvelle règle ».
2. Choisissez « Personnalisé » pour pouvoir définir précisément le trafic à bloquer.
3. Spécifiez « Tous les programmes » si vous souhaitez que la règle s'applique à toutes les applications.
4. Dans « Protocole et ports », laissez la valeur sur « Tous » sauf si vous avez une préférence très spécifique.
5. Dans la section « Étendue », ajoutez l’adresse IP source ou la plage d’adresses IP que vous souhaitez bloquer.
6. Sélectionnez « Bloquer la connexion » comme action par défaut.
7. Déterminez à quels profils cela s'applique (domaine, privé et public, généralement les trois).
8. Donnez-lui un nom reconnaissable, par exemple Blocage des adresses IP suspecteset économisez.

Ainsi, toute tentative de connexion provenant de cette adresse IP sera automatiquement rejetée. Ceci est particulièrement utile lorsqu'un attaquant tente d'accéder à plusieurs reprises à votre site web ou d'exploiter une faille de sécurité. petites attaques DDoS ou tests d'identifiants contre les commissions administratives.

Si, au lieu de bloquer l'accès depuis votre système, vous souhaitez bloquer directement l'accès à un site web hébergé sur un serveur, une autre option consiste à utiliser le fichier .htaccess dans les panneaux de contrôle comme PleskVous pouvez y ajouter des règles comme :

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

et répétez la ligne Refuser de pour chaque adresse IP supplémentaire. Cela garantit que lorsque des personnes tentent d'accéder à votre site web depuis ces adresses IP, elles ne voient qu'une erreur et ne consomment pas de ressources applicatives ou de base de données.

Vous pouvez également utiliser le blocage géographique par pays via le fichier .htaccess lorsque le serveur le permet, en redirigeant certains flux de trafic (par exemple, provenant d'un pays d'où vous ne recevez que des attaques) vers une page d'erreur à l'aide de règles RewriteCond. Code pays GEOIP.

Blocage des adresses IP et des plages d'adresses IP depuis l'invite de commandes et les outils réseau

Dans certains environnements, notamment sur les serveurs ou systèmes Linux où le travail s'effectue presque toujours en console, il est plus direct d'utiliser commandes de routage ou de pare-feu depuis le terminal couper le trafic provenant d'une adresse IP problématique.

Avec la commande route Dans les systèmes de type Unix, vous pouvez ajouter des routes qui, en substance, « inondent » le trafic vers un hôte spécifique. Par exemple :

route add -host 24.92.120.34 reject

Cette commande bloque toute tentative d'accès à cette adresse IP. Pour consulter les éléments bloqués ou la table de routage, vous pouvez utiliser : itinéraire -n, qui affichera les itinéraires numériques actifs.

Si à tout moment vous avez besoin verrouillage inverseIl suffit de courir :

route del 24.92.120.34 reject

Quand on parle de gammes complètesVous pouvez utiliser quelque chose comme :

ip route add blackhole 22.118.20.0/24

ce qui crée un itinéraire « trou noir » pour un sous-réseau entier, provoquant Les paquets destinés à ces adresses sont rejetés sans réponse.Il est très utile contre les attaques massives provenant d'une plage spécifique ou pour stopper les spams massifs provenant de groupes d'adresses IP.

Pour éviter de se lancer à l'aveuglette, il est conseillé de s'appuyer sur Calculateurs de plage d'adresses IP pour savoir exactement combien et lesquels vous bloquez, surtout si vous traitez des sous-réseaux avec des masques un peu plus complexes que /24.

Bloquer les connexions VPN et l'accès à distance provenant d'adresses IP suspectes

Les VPN SSL constituent une cible très tentante pour les attaquants car, s'ils parviennent à s'y introduire, vous leur donnez accès à des données sensibles. accès quasi direct à votre réseau interneDes appareils comme FortiGate permettent de restreindre les adresses IP autorisées à se connecter au VPN, ce qui constitue une couche de défense supplémentaire très intéressante.

Une approche typique consiste à créer un groupe d'adresses de type « liste noire » (par exemple, blacklistipp) sur le FortiGate où vous ajoutez les adresses IP publiques qui ont tenté des attaques par force brute ou un comportement étrange dans les journaux VPN.

Plus tard, dans le console pare-feuLa configuration du VPN SSL est ajustée avec :

• configuration VPN SSL
• définir l'adresse source « blacklistipp »
• activer la négation de l'adresse source
• montrer pour vérifier la configuration appliquée.

Avec ce paramètre, toute tentative de connexion provenant d'une adresse IP incluse dans ce groupe sera bloquée. rejeté dès le débutsans même autoriser la saisie d'un nom d'utilisateur et d'un mot de passe, ce qui réduit considérablement la consommation de ressources et la surface d'attaque.

Vous pouvez également travailler depuis le Interface graphique Configurer l'option « Restreindre l'accès » et la limiter à des hôtes spécifiques, bien que dans ce mode, l'utilisateur saisisse des identifiants et la connexion soit ensuite coupée, est moins efficace du point de vue de l'atténuation précoce.

Pour vérifier que la serrure fonctionne, vous pouvez utiliser des commandes de diagnostic telles que : paquet de renifleur de diagnostic filtrage par adresse IP et port VPN, ou vérification obtenir un moniteur VPN SSL vérifier quelles connexions sont établies et lesquelles sont omises.

Défense avancée : isolation des appareils et des identités

Lorsque la situation est véritablement grave (ransomware, déplacement latéral, exfiltration de données), la simple fermeture d'un port ou le blocage d'une adresse IP spécifique ne suffit pas : il faut parfois… Isoler complètement l'appareil compromis, voire l'identité..

Microsoft Defender pour Endpoint Il intègre des actions de réponse rapide au niveau de l'appareil : vous pouvez étiqueter les appareils, lancer des enquêtes automatisées, ouvrir des sessions de réponse en direct à distance, collecter des dossiers d'enquête complets et lancer des analyses antivirus approfondies depuis la console centrale.

La compilation d'un package de recherche sous Windows inclut des informations telles que : Démarrages du registre, programmes installés, connexions réseau actives, cache ARP, DNS, configuration TCP/IP, journaux du pare-feu, préchargement, processus, tâches planifiées, journal de sécurité, services, sessions SMB, informations système et répertoires temporairesTout ceci est condensé dans une structure de dossiers et un rapport de synthèse (CollectionSummaryReport.xls).

macOS et Linux collectent des éléments similaires : applications installées, volumes de disque, connexions réseau, processus, services, informations de sécurité, utilisateurs et groupes, etc., ce qui permet reconstituer le scénario d'attaque assez bien.

Une action particulièrement puissante est la isolation des dispositifsL'ordinateur concerné est déconnecté du réseau (à l'exception des communications nécessaires avec le service de sécurité cloud) afin d'empêcher toute nouvelle action de l'attaquant ou toute fuite de données. L'isolation complète et l'isolation sélective (permettant, par exemple, à Outlook et Teams de continuer à fonctionner) sont disponibles sur différentes versions de Windows, macOS et Linux, sous réserve de certaines exigences relatives à iptables et au noyau.

En parallèle, il existe l'option de contiennent des appareils non gérés via leur adresse IP : les appareils protégés par Defender bloquent tout trafic entrant ou sortant vers cette adresse, ralentissant ainsi la propagation à partir des « îlots » du réseau où aucun agent de sécurité n’est encore déployé.

Il peut également se contenir lui-même utilisateur ou identité Activité suspecte : les connexions réseau (RDP, SMB et RPC) sont bloquées ; les sessions distantes en cours sont interrompues ; et les déplacements latéraux sont empêchés. Ce confinement est généralement déclenché automatiquement grâce à une logique de perturbation des attaques et à une protection prédictive, et peut être levé depuis le Centre d’intervention une fois l’incident résolu.

Pare-feu sous Linux : UFW, firewalld et iptables pour bloquer le trafic malveillant

Sur les serveurs Linux, l'élément clé pour bloquer les connexions inhabituelles est le Pare-feu système, généralement basé sur iptables/nftables, avec des couches de gestion telles que UFW ou firewalld pour le rendre plus convivial.

Sous Ubuntu et de nombreuses distributions compatibles, UFW (Uncomplicated Firewall) simplifie grandement les choses. Vous pouvez l'installer avec sudo apt installe ufw, vérifiez son statut avec statut de sudo ufw et l'activer avec sudo ufw activerPar défaut, il bloque généralement tout le trafic entrant et autorise le trafic sortant, ce qui constitue déjà une position assez sécurisée.

Pour définir les politiques de base, des commandes telles que les suivantes sont utilisées :

sudo ufw default deny incoming
sudo ufw default allow outgoing

Ensuite, vous pouvez autoriser des services spécifiques : par exemple sudo ufw autorise ssh pour ouvrir le port 22, ou sudo ufw autoriser 2222 / tcp Si vous utilisez un port SSH non standard, pour bloquer un service, procédez comme suit : sudo ufw nier 80 Fermez le port HTTP.

Si vous disposez d'une adresse IP de confiance ou, à l'inverse, si vous souhaitez bloquer une adresse spécifique, vous pouvez utiliser des règles comme : sudo ufw autoriser depuis o sudo ufw deny fromet même affiner avec « vers n’importe quel port » « Associer le bloc à un port spécifique. »

Les règles peuvent être numérotées avec statut sudo ufw numéroté et retirer avec sudo ufw supprimerCela permet d'ajuster facilement la politique en fonction de ce que l'on voit dans les journaux et dans des outils comme netstat, ss ou iftop.

Renforcer la sécurité des accès : utilisateurs, SSH et authentification

Bloquer les connexions suspectes, c'est bien, mais c'est tout aussi important. Réduisez la surface d'attaque en limitant qui peut entrer et comment.C’est là que la gestion des utilisateurs, le protocole SSH et l’authentification forte entrent en jeu.

Sous Linux, tout compte utilisateur ayant accès au serveur constitue un vecteur d'attaque potentiel s'il n'est pas correctement géré. Les comptes sont créés avec useraddUn mot de passe leur est attribué. passwd Les permissions et les groupes sont ajustés à l'aide d'outils comme chown et chmod afin d'éviter qu'ils ne modifient plus de choses qu'ils ne le devraient.

Pour renforcer SSH, l'idéal est d'utiliser Clés publiques/privées au lieu de mots de passeVous générez votre paire avec ssh-keygenVous acceptez ou définissez le chemin de stockage et, si vous souhaitez une couche supplémentaire, vous ajoutez une phrase secrète. Ensuite, vous envoyez la clé publique au serveur avec ssh-copy-id utilisateur@hôte Et à partir de là, vous pouvez vous connecter avec utilisateur ssh@hôte en utilisant votre clé.

Une fois l'authentification par clé fonctionnelle, c'est une bonne pratique désactiver la connexion par mot de passe Dans le fichier /etc/ssh/sshd_config, modifiez la directive PasswordAuthentication en « no » et redémarrez le service avec systemctl restart sshDe cette manière, un attaquant ne pourra pas utiliser la force brute pour tester les mots de passe, car le serveur n'acceptera même pas cette méthode.

Si vous ajoutez à cela authentification à deux facteurs Dans les services critiques, la rotation des mots de passe et les comptes aux privilèges minimaux réduisent considérablement les chances qu'une connexion suspecte réussisse au-delà de quelques tentatives infructueuses.

Journaux et surveillance : sans visibilité, il n'y a pas de blocage efficace

Aucune stratégie de blocage ne fonctionne bien si vous n'avez pas journaux d'audit corrects et surveillance minimaleIl faut voir ce qui se passe afin de pouvoir réagir à temps et, si nécessaire, reconstituer les événements après un incident.

Sous Linux, la plupart des journaux système sont concentrés dans / var / logMessages du noyau, authentification, services réseau, démons système… Il contrôle presque toujours le comportement et le format rsyslog (ou variantes), configurés dans des fichiers tels que /etc/rsyslog.conf ou dans des fichiers situés dans /etc/rsyslog.d/.

À partir de là, vous pouvez ajuster les types d'événements enregistrés, leur niveau de gravité et le fichier dans lequel ils sont enregistrés. Il est également possible envoyer les journaux à un serveur centralisé pour mieux les analyser et empêcher un attaquant de les supprimer facilement sur l'ordinateur compromis.

L'équilibre est important : tout enregistrer peut remplir le disque et rendre impossible le filtrage des informations utilesUn journalisation trop succincte peut engendrer des failles dangereuses. C'est pourquoi beaucoup combinent une journalisation détaillée pour les services critiques (SSH, pare-feu, authentification) avec une journalisation plus légère pour les composants moins sensibles.

Pour l'analyse, vous pouvez utiliser des commandes comme grep, awk ou less, mais dans les environnements de moyenne et grande taille, il est courant d'utiliser des outils ou des suites SIEM. ELK, Splunk ou similairequi permettent de corréler les événements, de détecter les schémas d'attaque et de générer des alertes en temps réel.

Sous Windows, un processus similaire est mis en œuvre avec l'Observateur d'événements, les journaux de Windows Defender, le pare-feu et, à un niveau plus avancé, avec des solutions telles que : Microsoft Defender XDR qui intègrent déjà tous ces flux et les recoupent avec les renseignements sur les menaces.

Combiner netstat et d'autres utilitaires réseau pour détecter le trafic suspect, renforcer le pare-feu (sous Windows, Linux ou sur des appareils dédiés), gérer efficacement les utilisateurs et le SSH, et tirer parti de fonctionnalités avancées telles que l'isolation des appareils ou le confinement des adresses IP et des comptes, vous place dans une position beaucoup plus forte : les connexions suspectes cessent d'être une source d'inquiétude récurrente et deviennent des événements que vous pouvez contrôler. Identifiez rapidement, bloquez depuis l'invite de commandes ou les panneaux de sécurité, et analysez calmement. améliorer progressivement la défense de l'ensemble de votre infrastructure.