CMD: يحظر اتصالات الشبكة المشبوهة باستخدام الأوامر

  • تتيح لك أداة Netstat وغيرها من أدوات الشبكة تحديد المنافذ المفتوحة والاتصالات المشبوهة المرتبطة بعمليات محددة.
  • يقوم برنامج Microsoft Defender وحماية الشبكة الخاصة به بحظر النطاقات وعناوين IP وخوادم C2 على مستوى النظام باستخدام أوضاع التدقيق والحظر.
  • تسمح جدران الحماية في أنظمة التشغيل ويندوز ولينكس والاستضافة والأجهزة مثل FortiGate بحظر عناوين IP والمنافذ الضارة باستخدام القواعد والقوائم السوداء.
  • تُعد مراجعة السجلات وأحداث الشبكة بانتظام أمرًا أساسيًا لتعديل القواعد، واكتشاف النتائج الإيجابية الخاطئة، وتعزيز الأمن.
Daniel Terrasa

15 دقيقة

أمان الشبكة باستخدام أوامر CMD وجدار الحماية

أصبح التحكم في ما يدخل ويخرج من جهاز الكمبيوتر الخاص بنا عبر الشبكة أمرًا بالغ الأهمية. لا يقل أهمية عن امتلاك برنامج مكافحة فيروسات جيدمجرد الاتصال والانتظار لا يكفي: ففي هذه الأيام، تحاول البرامج الآلية وبرامج فحص المنافذ والهجمات الإلكترونية استهداف أي عنوان IP تجده. معرفة كيفية استخدام موجه الأوامر (CMD) وجدار الحماية وأدوات الشبكة الأخرى تُمكّنك من... احظر الاتصالات المشبوهة قبل أن تتحول إلى مشكلة..

ستتعرف في الأسطر التالية على كيفية استخدام أوامر مثل netstat و netsh وجدار حماية ويندوز وأنظمة التصفية الأخرى لتحديد الاتصالات المشبوهة، وحظر عناوين IP الضارة، وحماية منافذ الشبكة، وتعزيز أمان الشبكة بشكل عام على أنظمة ويندوز ولينكس، وحتى على أجهزة الشبكة مثل جدار الحماية FortiGate. صدقوني، الأمر ليس معقدًا: فببعض الأوامر البسيطة، يمكنكم التحكم بشكل يفوق توقعات الكثيرين.

Netstat والشركات التابعة لها: نظرة عامة سريعة على اتصالاتك

نقطة البداية لحظر الاتصالات المشبوهة هي المعرفة من هم الأشخاص المرتبطون بماذا في فريقك؟وهنا يأتي دور netstat، وهي أداة قديمة موجودة منذ التسعينيات في أنظمة Unix وWindows وLinux وmacOS وحتى في أنظمة أقل شيوعًا، ولا تزال تُستخدم أحد أكثر الأوامر فائدة لتدقيق الشبكة.

اسم الأداة يغني عن التعريف: الشبكة + الإحصائياتيعرض برنامج Netstat جداول اتصالات TCP وUDP، ومنافذ الاستماع، وإحصائيات حركة البيانات، والأخطاء، وحتى... جدول التوجيه أساسي. بفضل ذلك، يمكنك معرفة ما إذا كانت هناك منافذ مفتوحة لم تكن تتوقعها أو جلسات نشطة مع عناوين IP بعيدة لا تبدو صحيحة.

قبل استخدامه بشكل جدي، من الأفضل أغلق جميع التطبيقات التي تستطيع إغلاقها. بل ويمكنك إعادة تشغيل الكمبيوتر وفتح البرامج الأساسية فقط، والتحقق من ذلك. كم عدد الأجهزة الموجودة على شبكتك؟وبهذه الطريقة، ستكون نتائج netstat أكثر وضوحًا، وخالية من التشويش الناتج عن البرامج الخلفية غير ذات الصلة بك في تلك اللحظة، وسيكون من الأسهل اكتشافها... روابط غريبة.

على الرغم من أن برنامج netstat لا يحتوي على واجهة رسومية، إلا أنه يمكنك استخدام أدوات مساعدة مثله في نظام التشغيل Windows TCPView o جلاسويريوالتي تعرض نفس المعلومات بطريقة أكثر سهولة في الاستخدام. على نظام لينكس، أدوات مثل iftop أو iptraf أو ss كما أنها توفر رؤية واضحة للغاية لحركة المرور في الوقت الفعلي، وفي كثير من الحالات، تكون أكثر سهولة في الاستخدام للمبتدئين.

ضع في اعتبارك أنه إذا أفرطت في استخدام netstat مع الكثير من المعلمات وقمت بتشغيله باستمرار، فقد يستهلك الموارد ويضع ضغطاً طفيفاً على الجهازخاصةً إذا كان هناك آلاف الاتصالات. ليس الأمر "خطيرًا"، ولكن لا جدوى من تشغيله كل ثانيتين على خادم إنتاج إذا لم تكن هناك حاجة لذلك.

أوامر الشبكة لعرض الاتصالات المشبوهة

مزايا وقيود أداة netstat في الكشف عن الاتصالات المشبوهة

عند استخدام netstat بحكمة، فإنه يعطي رؤية قوية لما يحدث في شبكتكيمكنك عرض جميع الاتصالات النشطة، ومعرفة المنافذ المفتوحة، والعمليات التي تعمل خلفها. وهذا يساعد على:

  • تحديد الاتصالات غير المصرح بها أو العمليات التي تتصل بعناوين IP غير عادية.
  • اكتشاف الاختناقات أو الازدحام من خلال مراقبة حجم الجلسات وإحصائيات الأخطاء.
  • يتعقب جلسات مستمرة والتي تبقى مفتوحة ويمكن أن تسبب مشاكل في الأداء.
  • قم بتحليل سلوك خادمك و حدد المنافذ التي تحتاج فعلاً إلى كشفها..

يُقدّم الأمر مخرجات مفصلة للغاية، مع عدادات للحزم المرسلة والمستلمة، وأخطاء حسب البروتوكول (TCP، UDP، ICMP، IPv4، IPv6...)، وحتى مسارات من جدول التوجيه. نتستت -rكل ذلك يُعدّ كنزاً ثميناً عندما يتعلق الأمر بتشخيص مشاكل الاتصال أو التحقق من تطبيق التكوين بشكل صحيح.

أما الجانب الآخر فهو أن برنامج netstat يحتوي على عدة عيوب كبيرة في البيئات الحديثةبدايةً، قد يكون الناتج غامضًا للغاية لأي شخص غير ملم بمفاهيم الشبكات: المنافذ، وحالات TCP، والبروتوكولات، وما إلى ذلك. علاوة على ذلك، تدفع أنظمة ويندوز الأحدث المسؤولين نحو باور شيل وأدوات أخرى أكثر تقدمالذلك، قد لا يكون حفظ برنامج netstat عن ظهر قلب أفضل استثمار على المدى الطويل.

كما يجب ذكر ذلك لا يقوم بتشفير أي شيء أو يقدم تحليلاً متعمقاً.يعرض لك البيانات، ولكن إذا كنت ترغب في ربطها بأنماط الهجوم أو اكتشاف الاختراق أو التحليل الجنائي الجاد، فستحتاج إلى الاعتماد على حلول أخرى مثل IDS/IPS أو SIEM أو برامج تحليل حزم البيانات مثل Wireshark.

في الشبكات الكبيرة، التي تضم آلاف الأجهزة والخدمات الموزعة، يصبح استخدام netstat غير قابل للإدارة. إنه غير قابل للتوسع وهي ليست مصممة لمراقبة بيئة مؤسسية كاملة؛ وهنا يأتي دور حلول SNMP، وأدوات المراقبة، والمراقبة المركزية، أو منتجات مثل Microsoft Defender لنقاط النهاية.

أوامر netstat العملية للبحث عن حركة مرور غير عادية

في نظام ويندوز، للبدء، ما عليك سوى فتح نافذة من استخدم موجه الأوامر أو الطرفية كمسؤول واكتب:

  • نتستت: يعرض الاتصالات النشطة الأساسية.
  • netstat -nيعرض عناوين IP والمنافذ بتنسيق رقمي، دون حل أسماء النطاقات (DNS).
  • netstat -sالإحصائيات حسب البروتوكول (TCP، UDP، IPv4، IPv6...).
  • نتستت -e: إحصائيات عامة للواجهة (عدد البايتات المرسلة/المستلمة، الأخطاء...).
  • نتستتيتضمن منافذ الاستماع والاتصالات القائمة.
  • netstat -o:يضيف معرف العملية (PID) المرتبط بكل اتصال.
  • netstat -p TCP: المرشحات حسب البروتوكول (TCP، UDP، TCPv6، UDPv6...).

إذا كنت ترغب في تحديث المعلومات تلقائيًا على فترات منتظمة، يمكنك دمج المعلمات مع الفاصل الزمني: على سبيل المثال، netstat -n 7 يتم تحديثها كل 7 ثوانٍ، وهو أمر مفيد للرؤية روابط تظهر وتختفي بسرعة كبيرة عند إنشاء جلسة مشبوهة.

للعثور على الاتصالات القائمة فقط، يمكنك استخدام مربع التحرير والسرد الكلاسيكي مع الأمر findstr:

  • netstat | findstr تم التأسيس

تغيير ESTABLISHED إلى الاستماع، أو انتظار الإغلاق، أو انتظار الوقت يمكنك التركيز على حالة TCP التي تهمك بناءً على المشكلة التي تحللها. هذا، بالإضافة إلى معرّف العملية (PID) واسم النطاق المؤهل بالكامل، سيساعدك... netstat -fيمنحك ذلك فكرة واضحة جداً عن العملية التي تتصل بأي خادم بعيد.

ومن الأمثلة النموذجية على الأمن إطلاق netstat -ano والمراجعة:

  • عناوين IP بعيدة لا تتعرف عليها.
  • تستمع الموانئ البحرية المحلية العالية دون سبب واضح.
  • العمليات التي شهدت العديد من محاولات الاتصال الفاشلة.

إذا رأيت عنوان IP مشبوهًا، يمكنك الانتقال إلى إدارة المهامابحث عن مُعرّف العملية (PID) لمعرفة التطبيق. ومن ثمّ، يمكنك تحديد ما إذا كنت ترغب في إلغاء تثبيته، أو تشغيل فحص مكافحة الفيروسات، أو اقطع الاتصال بجدار الحماية.

أوامر cmd

بدائل مراقبة وتحليل الشبكة

على الرغم من أن netstat نقطة انطلاق جيدة لعرض الاتصالات، إلا أنه عندما تريد التعمق أكثر في أمان الشبكة، تدخل أدوات أخرى حيز التنفيذ. أدوات متخصصةومن الأمثلة الشائعة جدًا ما يلي:

  • يريشارك: يلتقط ويحلل الحزم على مستوى منخفض، وهو مثالي لـ اطلع على البيانات التي يتم إرسالها بالضبط، اكتشاف محاولات الاستغلال أو حركة المرور غير المشفرة حيث لا ينبغي أن تكون.
  • جلاسويرييجمع هذا النظام بين مراقبة حركة المرور و جدار الحماية المرئي والتنبيهاتمفيد للغاية على مستوى المستخدم المتقدم أو في المكاتب الصغيرة.
  • كلاودشاركحل ويب لتحميل عمليات التقاط الحزم وتحليلها ومشاركتها كفريق.
  • ss، iptraf، iftop على نظام لينكس: فهي تعرض المقابس وتدفق حركة المرور والاتصالات في الوقت الفعلي بطريقة أكثر حداثة ووضوحًا من netstat.
  • اي بي روت 2: مجموعة من الأدوات المساعدة للتعامل مع المسارات والأنفاق وسياسات الشبكة المتقدمة في نظام التشغيل لينكس (تحل إلى حد كبير محل الأدوات القديمة).

تُعد منصات كهذه شائعة أيضاً في البيئات المهنية. Uptrends، Germain UX، Atera وما شابه ذلك، مصمم لـ مراقبة التوافر والأداء وتجربة المستخدم على مواقع الويب والخدمات، مع تنبيهات عند تعطل شيء ما أو بدء تدهوره.

مايكروسوفت ديفندر، حماية الشبكة، وحظر التحكم والسيطرة

في أنظمة التشغيل Windows 10 وWindows 11 وmacOS وLinux، يُعدّ عنصرًا أساسيًا لحظر اتصالات الشبكة المشبوهة هو حماية الشبكة من مايكروسوفت ديفندرتُوسّع هذه الميزة نطاق ما تقوم به SmartScreen في متصفح مايكروسوفت إيدج، يقوم بمراقبة باقي النظام: فهو لا يراقب المتصفح فحسب، بل يراقب أيضاً... متصفحات وعمليات أخرى مثل PowerShell أو تطبيقات سطح المكتب.

الفكرة بسيطة: عندما يحاول برنامج الاتصال بعنوان URL أو عنوان IP ذي سمعة سيئة (التصيد الاحتيالي، والبرامج الضارة، والتحكم والسيطرة، وما إلى ذلك)، يقوم Defender بمقارنة الطلب بقوائمه (وقوائمك). المؤشرات المخصصةويُقرر ما إذا كان سيسمح به، أو يُدققه، أو يحظره تمامًا. يعمل هذا التحكم مع حركة مرور HTTP وHTTPS، ولا يقتصر على المنفذين 80 أو 443. افحص جميع الاتصالات الصادرة إلى أي منفذ.

في سياق الأمن، تُعد قدرته على الكشف عن الاتصالات مع خوادم القيادة والسيطرة (C2) وقطعهاهذه هي القنوات التي تستخدمها العديد من عائلات البرامج الضارة وبرامج الفدية لتلقي الأوامر واستخراج البيانات. وعادةً ما يؤدي قطع قناة الاتصال هذه إلى إيقاف تقدم الهجوم.

عمليًا، تعتمد حماية الشبكة على عدة مصادر: سمعة SmartScreen، ومؤشرات الاختراق الداخلية من Microsoft، ومؤشراتك الخاصة. قوائم الحظر المخصصة وفئات تصفية الويب (المحتوى المخصص للبالغين، والمقامرة، وما إلى ذلك). وبناءً على ما يكتشفه، يصنف الحدث إلى فئات مثل التصيد الاحتيالي، والبرامج الضارة، وخوادم التحكم والسيطرة، والسياسات المخصصة، وما إلى ذلك، والتي يمكنك رؤيتها بعد ذلك في التقارير، أو في البحث المتقدم، أو ضمن مايكروسوفت ديفندر لنقاط النهاية.

مدافع

أوضاع التشغيل: التدقيق أو الحظر

يتيح لك برنامج Defender تفعيل حماية الشبكة بنوعين: وضع التدقيق (التدقيق) y وضع الحظريُعد هذا مفيدًا جدًا لتجنب المشاكل في بيئة الإنتاج:

  • En وضع التدقيقيسجل النظام جميع عمليات الوصول التي كان سيحظرها، ولكن لا يقطع الاتصاليمكنك مراجعة هذه السجلات في وحدة التحكم (عن طريق الاستعلام عن DeviceEvents باستخدام ActionType كـ ExploitGuardNetworkProtectionAudited) والاطلاع على التأثير المحتمل.
  • En وضع القفلالمدافع يتخذ إجراءً: يحظر حركة المرور إلى النطاقات وعناوين IP المحددة عن طريق SmartScreen، أو عن طريق مؤشراتك المخصصة، أو عن طريق سياسات تصفية المحتوى.

من وجهة نظر المستخدم، عندما يصادف موقعًا "مشبوهًا"، يمكن أن تحدث ثلاثة أشياء:

  • إذا كانت السمعة جيدة، إنه لا يرى أي شيء غريبيستمر التنقل بشكل طبيعي.
  • إذا كانت السمعة غير مؤكدة، فإن شاشة تحذير مع إمكانية تخطيه (إلغاء حظره) لبضع ساعات.
  • إذا كانت السمعة خبيثة بشكل واضح أو قمت بحظرها صراحةً، حظر بدون خيار للتحايل عليه (إلا إذا قام المسؤول بتغيير السياسة).

يمكن ضبط كل هذا السلوك بدقة باستخدام السياسات: على سبيل المثال، هناك خيار لـ حوّل جميع التحذيرات إلى كتل صلبةبحيث لا يستطيع المستخدم تجاوزها. يمكن ضبط هذا الإعداد عبر أدوات CSP أو GPO أو MDM، وذلك بحسب طريقة إدارة أسطول أجهزتك.

لإكمال المسرحية، يمكن للمسؤولين إنشاء مؤشرات الأذونات (السماح) عند اكتشاف نتائج إيجابية خاطئة أو عند الحاجة إلى تفعيل خدمة معينة. تُعطى أوامر السماح هذه الأولوية على معظم أوامر الحظر، مما يتيح لك تعديل الإعدادات دون الحاجة إلى تعطيل جميع وسائل حماية الشبكة.

حظر الاتصالات عبر جدار الحماية والقواعد في نظام التشغيل ويندوز

إلى جانب برنامج Defender، هناك جبهة أخرى لحظر اتصالات الشبكة المشبوهة وهي الشبكة نفسها. جدار حماية Windowsهذا الجدار الناري متكامل، ويتم تحديثه مع النظام، ويتيح لك التحكم في كل من البرامج التي يمكنها الوصول إلى الإنترنت والمنافذ التي يتم قبولها من الخارج.

يمكنك إنشاء قواعد الإدخال والإخراج من خلال الواجهة الرسومية، ولكن إذا كنت ترغب في ضبطها بدقة أو أتمتتها، فمن المفيد أيضًا معرفة أوامر netsh advfirewall. على سبيل المثال:

  • تعيين netsh advfirewall على حالة currentprofile على: يقوم بتفعيل جدار الحماية في الملف الشخصي الحالي.
  • قاعدة إضافة جدار الحماية netsh advfirewall name="Block IP X" dir=in action=block remoteip=xxxx: يحظر حركة المرور الواردة من عنوان IP محدد.
  • قاعدة إضافة جدار الحماية netsh advfirewall name="Open Port 80" dir=in action=allow protocol=TCP localport=80: يفتح المنفذ 80 للاتصالات الواردة.
  • netsh advfirewall firewall delete rule name="Open Port 80": يزيل القاعدة السابقة.
  • إعادة تعيين advfirewall Netsh ل: يعيد ضبط الإعدادات الافتراضية لجدار الحماية.

إذا كنت ترغب في حظر عنوان IP لأنه يسبب لك إغراقًا بمحاولات الوصول (على سبيل المثال، هجوم القوة الغاشمة أو فحص مكثف)، من وحدة التحكم الرسومية لـ جدار حماية Windows مع الأمان المتقدم يمكنك إنشاء قاعدة إدخال مخصصة ما يلي:

  • ينطبق ذلك على "جميع البرامج".
  • استخدم بروتوكول "أي شخص".
  • في قسم "العناوين البعيدة"، حدد عنوان IP أو النطاق المراد حظره.
  • حدد خيار "حظر الاتصال".
  • ينطبق ذلك على النطاقات والشبكات الخاصة والعامة.

سيمنع ذلك عنوان IP هذا من إزعاجك على مستوى النظام. فقط احرص على عدم تضمين... نطاق واسع جدًا وينتهي الأمر بحظر عناوين IP لمحركات البحث أو المستخدمين الشرعيين.

لمعرفة المنافذ التي يقوم جدار الحماية الخاص بك بحظرها فعليًا، يمكنك تمكين تسجيل الحزم المفقودة في خصائص الملف الشخصي ثم مراجعة الملف. pfirewall.log يتم تخزين هذا الملف في المسار %systemroot%\system32\LogFiles\Firewall. ستجد هناك تفاصيل المنافذ والعناوين المستخدمة.

حظر عناوين IP والمنافذ من الاستضافة، وملفات .htaccess، والطبقات الأخرى

عندما تتركز مشكلة الاتصالات المشبوهة على موقعك الإلكتروني (محاولات تسجيل الدخول، والبريد العشوائي، وبرامج الروبوت الآلية، وهجمات DDoS البسيطة، وما إلى ذلك)، فإن اتخاذ إجراء على جهاز الكمبيوتر وحده لا يكفي دائمًا. غالبًا ما يُنصح بـ... حظر عناوين IP مباشرة على الاستضافة أو باستخدام خادم الويب.

في لوحات تحكم مثل Plesk، يمكنك إضافة عناوين IP إلى قوائم الحظر بحيث لا يمكنهم حتى تحميل موقعكخيار كلاسيكي آخر هو تشغيل الملف . هتكس إذا كنت تستخدم أباتشي، فأضف قواعد مثل:

السماح بالطلب، الرفض، الرفض من 192.168.xx.x، السماح من الكل

أو استخدام عدة أوامر رفض لعناوين مختلفة. من تلك اللحظة فصاعدًا، سيظهر خطأ في أي طلب من عناوين IP تلك، دون تحميل المحتوى أو استهلاك موارد التطبيق. إنه حل بسيط ولكنه فعال لـ أوقف البرامج الآلية التي تستمر في مهاجمة نظام إدارة المحتوى الخاص بك أو البرامج النصية التي ترسل رسائل غير مرغوب فيها إلى النماذج.

إذا كنت تتعرض لهجمات من دول محددة للغاية وكان خادمك يسمح بذلك، فيمكنك حتى القيام بذلك. الحجب الجغرافي يتم ذلك من خلال قواعد تعتمد على رمز الدولة (مثلاً، CN للصين) وتُعيد التوجيه إلى صفحة خطأ. مع ذلك، يجب الانتباه إلى أن عدم إدارة هذه القواعد بشكل صحيح سيؤدي أيضاً إلى حظر وصول المستخدمين الشرعيين، وأحياناً برامج زحف محركات البحث.

ثمة بديل آخر أقل حدة لحظر عناوين IP الصارم وهو الجمع بين تحديد معدل الاستخداماستخدام اختبارات التحقق من المحتوى (CAPTCHA) وشبكات توصيل المحتوى (CDN) مع تقنيات الحماية من هجمات DDoS. بهذه الطريقة، بدلاً من إغلاق عناوين IP يدويًا، يمكنك تقليل تأثير إساءة الاستخدام دون تعطيل حركة المرور المشروعة بشكل كبير.

إعادة توجيه الموانئ، والمخاطر وكيفية السيطرة عليها

تتطلب العديد من التطبيقات (الألعاب عبر الإنترنت، والخوادم المنزلية، وبرامج مشاركة الملفات، وأجهزة التخزين الشبكي، وما إلى ذلك) فتح المنافذ أو إعادة توجيهها لكي تعمل بشكل صحيح. تكمن المشكلة في أن كل منفذ مفتوح هو بوابة محتملة إذا كانت الخدمة الأساسية تعاني من ثغرات أمنية أو لم يتم تكوينها بشكل صحيح.

تتضمن عملية إعادة توجيه المنافذ إخبار جهاز التوجيه بأن أي اتصال وارد من الإنترنت إلى عنوان IP العام الخاص بك يمر عبر منفذ محدد. قم بإعادة توجيهه إلى جهاز داخلي ومنافذ محددة داخل شبكتك المحلية. لكي يعمل هذا، ستحتاج عادةً إلى NAT مفعلة وتعرف جيداً الخدمات التي ستقدمها.

توجد عدة أنواع أساسية من إعادة التوجيه:

  • محلّي: يتم استخدامه للوصول إلى الخدمات الداخلية من جهاز الكمبيوتر الخاص بك ولكن من خلال نفق (على سبيل المثال، SSH).
  • بعيد: يسمح بالوصول إلى خدمة على جهازك من موقع بعيد آخر.
  • ديناميكي: يحول عميلك إلى نوع من وكيل SOCKS، مما يسمح للتطبيقات الأخرى باستخدام النفق للوصول إلى وجهات مختلفة.

قبل فتح أي شيء للخارج، يُنصح بما يلي:

  • تحقق من أن ملف الخدمة محدثة ومُهيأة بشكل صحيح..
  • تقييد الوصول عن طريق بروتوكول الإنترنت، أو الشبكة الافتراضية الخاصة، أو المصادقة القوية متى أمكن.
  • تجنب فتح المنافذ التقليدية دون داعٍ (RDP(مثل الشركات الصغيرة والمتوسطة، إلخ).

تذكر أن العديد من التهديدات الحديثة (تعديل نظام أسماء النطاقات، وهجمات الوسيط، وشبكات الروبوتات لهجمات حجب الخدمة، وإنشاء...) شبكات واي فاي وهمية) استغل منافذ مكشوفة غير خاضعة للرقابة في أجهزة التوجيه المنزلية أو التجارية. لذلك، فإن الحل الأمثل هو كشف الحد الأدنى المطلق من البيانات ومراقبتها عن كثب.

تسجيل الأنشطة المشبوهة ومراجعتها والكشف عنها

قد يكون حظر الاتصالات بشكل أعمى أمراً خطيراً؛ فأنت بحاجة إلى أساس لاتخاذ القرارات. وهنا يأتي دور سجلات النظام وجدار الحماية والتطبيقاتفي نظام لينكس، على سبيل المثال، يوجد جزء كبير من هذه السجلات في / فار / السجلويتم تحديد إدارتها باستخدام rsyslog وملفات التكوين المقابلة.

في نظام التشغيل ويندوز، بالإضافة إلى سجل جدار الحماية، يمكنك أيضًا التحقق من عارض الأحداثيمكنك تصفية الأحداث المتعلقة بحماية الشبكة وجدار الحماية (معرفات مثل 5007، 1125، 1126، إلخ). لديك أيضًا البحث المتقدم في مايكروسوفت ديفندر، حيث تقوم بالاستعلام عن جداول مثل DeviceEvents و DeviceNetworkEvents لمعرفة ما تم تدقيقه أو حظره بواسطة حماية الشبكة.

على سبيل المثال قائمة الأحداث في حال قيام حماية الشبكة بمراجعة أو حظر شيء ما في متصفحات أخرى غير متصفح Edge، يمكنك تشغيل استعلامات مثل:

DeviceEvents | where ActionType in ("ExploitGuardNetworkProtectionAudited","ExploitGuardNetworkProtectionBlocked")

أو يمكنك تصفية النتائج تحديدًا باستخدام SmartScreenUrlWarning إذا كنت ترغب في التركيز على تحذيرات SmartScreen في متصفح Edge. ستساعدك هذه المعلومات على تحديد الأنماط: النطاقات التي يزورها العديد من المستخدمين ويتم حظرها، وعناوين IP التي يجب إضافتها إلى قائمة الحظر العالمية، وما إلى ذلك.

في البيئات الأكبر حجمًا، من الشائع مركزة هذه السجلات في نظام إدارة معلومات الأمان (SIEM) أو أدوات مثل Power BI لإنشاء تقارير مخصصة ولوحات معلومات أمنية وتنبيهات تلقائية عند ظهور فئة استجابة معينة (خبيثة، تصيد احتيالي، قائمة حظر مخصصة، إلخ).

إن إتقان أوامر مثل netstat و netsh و UFW و firewall-cmd، والاستفادة من حماية الشبكة في Microsoft Defender، ومعرفة كيفية حظر عناوين IP في جدار حماية Windows، أو على خادم الاستضافة الخاص بك، أو على FortiGate، ومراجعة سجلات الشبكة بانتظام، يمنحك مجموعة أدوات قوية للغاية لإيقاف اتصالات الشبكة المشبوهة قبل أن تشعر بالخوف الشديد، لا تحتاج إلى أن تكون مهندس اتصالات للبدء: فببعض الأوامر التي تعلمتها جيداً وقليل من الحس السليم، يمكنك الحفاظ على حماية معداتك وخوادمك ومواقعك الإلكترونية بشكل أفضل بكثير من المتوسط.

أفضل حيل CMD التي يمكنك استخدامها في Windows
المادة ذات الصلة:
دليل كامل لأوامر CMD للشبكات: netsh، وipconfig، وping، وtracert، والمزيد