كيفية حظر الاتصالات المشبوهة من CMD

  • يتيح لك Netstat تحديد المنافذ المفتوحة والعمليات المرتبطة بها والاتصالات المشبوهة من CMD أو المحطة الطرفية.
  • تتيح لك مسارات جدار حماية Windows وUFW وfirewalld وblackhole حظر عناوين IP والنطاقات التي تم اكتشافها على أنها ضارة.
  • تعمل الأدوات المتقدمة مثل Defender for Endpoint أو FortiGate على عزل الأجهزة المعرضة للخطر وشبكات VPN والمستخدمين.
  • تعتبر إدارة المستخدم الجيدة وسجلات SSH والتدقيق أمرًا أساسيًا لاكتشاف هجمات الشبكة وإيقافها.
Lorena Figueredo

15 دقيقة

كيفية حظر الاتصالات المشبوهة من CMD

عندما تبدأ في رؤية اتصالات غريبة، أو منافذ مفتوحة لا تعرف مصدرها، أو محاولات تسجيل دخول عشوائية فاشلة، فمن المهم أن تفهم كيف حظر الاتصالات المشبوهة من CMD وجدار الحماية لم يعد الأمر حكرًا على الخبراء، بل ضرورة. باستخدام بعض الأوامر المُستخدمة جيدًا، يمكنك إيقاف الهجمات، وتخفيف حمل الخادم، والحصول على رؤية واضحة لما يحدث على شبكتك.

على أنظمة Windows وLinux وحتى على أجهزة الأمان مثل FortiGate، لديك أدوات أصلية لـ مراقبة حركة المرور وتحديد العمليات الضارة وحظر عناوين IP أو النطاقات أو البروتوكولاتالحيلة هي الجمع بينهما بشكل جيد: أولاً تقوم بالكشف باستخدام netstat والسجلات والمراقبة، ثم تقوم بالرد عن طريق الحظر من خلال CMD أو جدار الحماية أو عزل الجهاز بشكل مباشر إذا خرجت الأمور عن السيطرة.

Netstat وCMD: أول رادار لاكتشاف الاتصالات المشبوهة

القيادة netstat هي إحدى الأدوات الكلاسيكية لتدقيق الاتصالات في أنظمة Windows وLinux وأنظمة أخرى مثل macOS أو Unix، وعلى الرغم من أنها موجودة معنا منذ التسعينيات، إلا أنها لا تزال مفيدة للغاية لمعرفة ما يتصل بما هو موجود على جهاز الكمبيوتر أو الخادم لديك.

يأتي اسمه من الشبكة والإحصائيات، وهذا يلخص وظيفته إلى حد كبير: فهو يوفر لك إحصائيات الشبكة، وجدول التوجيه، والمنافذ المفتوحة، والاتصالات النشطةيشمل ذلك الاتصالات الواردة والصادرة. يُعدّ هذا أمرًا بالغ الأهمية لتحديد العملية التي تُبقي منفذًا مُنصتًا، أو مكان اتصال خدمة غير اعتيادية، أو وجود عدد كبير من الاتصالات بشكل غير عادي.

لا تحتوي الأداة على واجهة رسومية؛ فهي تعمل من موجه الأوامر أو المحطة الطرفية، ولهذا السبب يتم استخدامها على نطاق واسع في بيئات الخادم وفي تحليل الحوادث الجنائيةفي المقابل، فإنه يوفر مستوى من التفاصيل نادرًا ما تجده في الأدوات المساعدة "الجميلة" ويسمح لك باكتشاف البرامج الضارة التي تعتمد على منافذ أو اتصالات محددة بمضيفين بعيدين مشبوهين.

قبل استخلاص النتائج باستخدام netstat، من المستحسن إغلاق البرامج غير الضرورية أو حتى إعادة التشغيل وفتح ما هو ضروري للغاية فقط، لأن هذه الطريقة تقلل الضوضاء من الاتصالات المشروعة (المتصفح، عملاء الدردشة، وما إلى ذلك) وإذا كنت بحاجة إلى ذلك، تحقق من عدد الأجهزة المتصلة للحصول في النهاية على صورة أنظف لما أنت مهتم حقًا بالتحقيق فيه.

بالإضافة إلى ذلك، تحتفظ netstat بجدول التوجيه والإحصائيات لكل بروتوكول تساعد في تصور الأخطاء، والحزم المفقودة، والازدحامإذا كنت تحاول فهم مشكلة الاختناق أو انقطاع الخدمة الجزئي، فهي جزء مهم من اللغز.

خيارات netstat أكثر فائدة للبحث عن اتصالات غير عادية

في ويندوز، يمكنك تشغيل أمر netstat من سطر الأوامر (CMD) أو نافذة الأوامر الحديثة، وفي لينكس من أي وحدة تحكم. الصيغة النموذجية في ويندوز هي كالتالي: نتستت ، الجمع بين المعلمات وفقًا لما تريد رؤيته.

إذا كتبت ببساطة نتستت بالضغط على زر الإدخال، ستظهر لك قائمة أساسية بالاتصالات النشطة: البروتوكول (TCP/UDP)، والعنوان المحلي مع المنفذ، والعنوان البعيد، والحالة (قيد الاستماع، مُؤَسَّس، وقت الانتظار، إلخ). باستخدام هذه المعلومات، يمكنك البدء في تحديد مواقع الاتصالات بعناوين IP أو منافذ غير مألوفة لم ترها من قبل.

للعمل في الوضع الرقمي (دون محاولة حل أسماء DNS)، ستستخدم عادةً netstat -nيعرض هذا عناوين IP وأرقام المنافذ غير المترجمة. هذا يجعل الإخراج أسرع وأوضح عند مقارنة عناوين IP المشبوهة بالقوائم السوداء أو سجلات جدار الحماية.

إذا كنت تريد تحديث المعلومات كل X ثانية، يمكنك إضافة رقم في النهاية، على سبيل المثال netstat -n 7 بحيث يُكرر الإخراج كل ٧ ثوانٍ. إنها طريقة بسيطة للحصول على ما يشبه "الشاشة" من CMD دون استخدام أدوات خارجية.

حيث يصبح netstat مفيدًا بشكل خاص للبحث عن الأنشطة الغريبة في المعلمات المتقدمة، والتي تسمح لك تصفية حسب البروتوكول، وعرض معرفات العمليات المرتبطة، والإحصائيات، أو الطرق:

  • نتستت: يعرض جميع الاتصالات والمنافذ المستمعة (النشطة وغير النشطة).
  • نتستت -e: يعرض إحصائيات حركة المرور (البايتات المرسلة/المستلمة، والأخطاء، والرسائل المستبعدة).
  • netstat -f:يحل ويعرض FQDN (اسم المجال المؤهل بالكامل) للمضيفين البعيدين.
  • netstat -n: يعرض عناوين IP والمنافذ بتنسيق رقمي.
  • netstat -o: يشير إلى معرف العملية الذي يستخدم كل اتصال، وهو مفتاح للإشارة المتبادلة مع "إدارة المهام".
  • netstat -p X:المرشحات حسب البروتوكول (TCP، UDP، TCPv4، TCPv6...).
  • netstat -q:قائمة بالمنافذ المرتبطة المستمعة وغير المستمعة.
  • netstat -sإحصائيات مجمعة حسب البروتوكول (TCP، UDP، ICMP، IPv4، IPv6).
  • نتستت -r: يعرض جدول التوجيه الحالي.
  • netstat -t: يركز على الاتصالات في عملية التنزيل.
  • netstat -xمعلومات حول اتصالات NetworkDirect.

الاستخدام الشائع جدًا للتحقق من الأمان الأساسي هو netstat -anoيجمع هذا العديد من هذه الخيارات: يمكنك رؤية جميع الاتصالات النشطة مع عناوين IP والمنافذ ومعرفات العمليات. من هناك، يمكنك تحديد العمليات النادرة في "إدارة المهام" أو باستخدام أدوات مثل TCPView وقرر ما إذا كان يجب حظرها عبر جدار الحماية أو إلغاء تثبيتها.

من العملي جدًا أيضًا تصفية الحالة باستخدام findstr، على سبيل المثال netstat | findstr تم التأسيس لرؤية الاتصالات التي تم إنشاؤها فقط، أو لتغيير ESTABLISHED إلى LISTENING، أو CLOSE_WAIT، أو TIME_WAIT، وما إلى ذلك، عندما هل تقوم بالتحقيق في تسريبات الموارد أو اتصالات الزومبي؟.

مزايا وقيود وتأثير netstat على الأداء

كيفية حظر الاتصالات المشبوهة من CMD

يتميز برنامج Netstat لأنه يوفر لك رؤية مباشرة إلى حد ما للمنافذ والاتصالات النشطة على جهاز الكمبيوتر، يُعد هذا أمرًا بالغ الأهمية للمسؤولين أو المحللين. فهو يسمح لك بمراقبة حركة البيانات، وتتبُّع الجلسات، وإجراء تقييمات الأداء، واكتشاف الاتصالات غير المصرح بها أو السلوكيات المشبوهة بسرعة نسبية.

بفضل إحصائياتها، يمكنك اكتشاف ارتفاعات غير طبيعية في بروتوكولات محددة أو زيادة في الأخطاءغالبًا ما يشير هذا إلى ازدحام، أو عمليات مسح للمنافذ، أو محاولات اختراق، أو برامج ضارة مُعدّة بشكل خاطئ. ولأنها أداة مساعدة مدمجة، فلن تحتاج إلى تثبيت أي شيء على نظام ويندوز أو العديد من توزيعات لينكس.

ومع ذلك، فإن له أيضًا عيوبه. بادئ ذي بدء، يمكن أن يكون الناتج كثيفًا وغامضًا للغاية إذا لم تكن معتادًا على تفسير الاتصالات والحالات والمنافذ، فلن يكون منحنى التعلم سلسًا تمامًا بالنسبة للمستخدم غير الفني، ومن المرجح أن ينتهي به الأمر إلى استخدام برامج ذات واجهة رسومية.

نقطة أخرى هي أن netstat، في حد ذاته، إنه لا يقوم بتشفير أي شيء، ولا يحظر أي شيء، ولا يقوم بإجراء تحليل متعمق.إنه ببساطة يعرض المعلومات. لتحويل هذه البيانات إلى دفاع فعال، عليك دعمها بجدران الحماية، وأنظمة EDR، وأنظمة كشف التسلل/منع الاختراق، وأدوات أخرى.

إنه لا يتناسب بشكل جيد بشكل خاص. في الشبكات أو البيئات الضخمة التي تضم آلاف الاتصالات المتزامنة. في البنى التحتية الحديثة، غالبًا ما يُهمّش دورها مقارنةً بحلول مثل PowerShell المتقدمة، وSNMP، وSS في Linux، أو برامج العرض الرسومية الأكثر قوة.

من حيث الأداء، فإن الأمر بحد ذاته لا "يُعطل" النظام، ولكن إذا قمت بتشغيله بشكل مستمر، مع العديد من المعلمات وعلى المعدات التي تحتوي على آلاف الوصلاتقد يستهلك هذا التطبيق الكثير من وحدة المعالجة المركزية والذاكرة. يُنصح باستخدامه من حين لآخر فقط، مع استخدام فلاتر محددة، ودون الحاجة إلى التحديث المستمر على فترات قصيرة جدًا.

بفضل مستوى التفاصيل الذي يتمتع به، يساعدك برنامج netstat أيضًا على الكشف عن البرامج الضارة الذي يتصرف مثل برنامج روتكيت أو الذي يخفي العمليات خلف اتصالات غير عادية.

كيفية التبديل من الكشف إلى الحظر: جدار حماية Windows وحظر IP

بمجرد تحديد الاتصالات أو عناوين IP المشبوهة باستخدام netstat أو السجلات، فإن الخطوة المنطقية التالية هي استخدام استخدم جدار حماية Windows لحظر عناوين IP المشبوهةيؤدي هذا إلى قطع حركة المرور عند المصدر وتوفير الموارد على الخادم أو الكمبيوتر الشخصي.

تتمثل العملية النموذجية لحظر عنوان IP معين في Windows في إنشاء قاعدة واردة مخصصة:

  1. افتح جدار حماية Windows مع الأمان المتقدم وانقر على "قاعدة جديدة".
  2. اختر "مخصص" لتتمكن من تحديد حركة المرور التي سيتم حظرها بشكل صحيح.
  3. قم بتحديد "جميع البرامج" إذا كنت تريد أن تؤثر القاعدة على أي تطبيق.
  4. في "البروتوكول والمنافذ"، اتركه على "أي" ما لم تكن تريد شيئًا محددًا للغاية.
  5. في "النطاق"، أضف عنوان IP المصدر أو نطاق IP الذي تريد حظره.
  6. حدد "حظر الاتصال" كإجراء افتراضي.
  7. حدد الملفات الشخصية التي ينطبق عليها (المجال، الخاص والعام، عادةً الثلاثة).
  8. أعطه اسمًا معروفًا، على سبيل المثال حظر عنوان IP المشبوهوحفظ.

بهذا، سيتم رفض أي محاولة اتصال من عنوان IP هذا مباشرةً. هذا مفيدٌ بشكل خاص عندما يحاول المهاجم الوصول إلى موقعك الإلكتروني مرارًا وتكرارًا، أو يحاول استغلال... هجمات DDoS صغيرة أو اختبار بيانات الاعتماد ضد هيئات الإدارة.

إذا كنت تريد حظر الوصول مباشرةً إلى موقع ويب مستضاف على خادم بدلاً من حظره من نظامك، فإن خيارًا آخر هو استخدام الملف .htaccess في لوحات التحكم مثل Pleskهناك يمكنك إضافة قواعد مثل:

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

وكرر السطر نفي من لكل عنوان IP إضافي. هذا يضمن أنه عند محاولة المستخدمين الوصول إلى موقعك الإلكتروني من هذه العناوين، سيظهر لهم خطأ فقط، ولن يستهلكوا موارد التطبيق أو قاعدة البيانات.

يمكنك أيضًا اللعب باستخدام الحظر الجغرافي الخاص بالبلد عبر .htaccess عندما يسمح الخادم بذلك، وإعادة توجيه حركة مرور معينة (على سبيل المثال، من بلد تتلقى منه هجمات فقط) إلى صفحة خطأ باستخدام قواعد RewriteCond مع رمز البلد GEOIP.

حظر عناوين IP والنطاقات من خلال أدوات CMD والشبكة

في بعض البيئات، وخاصةً على خوادم أو أنظمة Linux حيث يتم إنجاز العمل دائمًا تقريبًا في وحدة التحكم، يكون من الأكثر مباشرة استخدام أوامر التوجيه أو جدار الحماية من المحطة الطرفية لقطع حركة المرور من عنوان IP المشكل.

مع الأمر الطريق في الأنظمة الشبيهة بيونكس، يمكنك إضافة مسارات تُغرق حركة المرور إلى مُضيف مُحدد. على سبيل المثال:

route add -host 24.92.120.34 reject

باستخدام هذا الأمر، يتم رفض أي محاولة للوصول إلى عنوان IP هذا. إذا كنت ترغب في معرفة ما تم حظره أو شكل جدول التوجيه، يمكنك استخدام الطريق - ن، والذي سيعرض عدد المسارات النشطة.

إذا احتجت في أي وقت عكس الحصارقم بتشغيل ببساطة:

route del 24.92.120.34 reject

عندما نتحدث عن نطاقات كاملةيمكنك استخدام شيء مثل:

ip route add blackhole 22.118.20.0/24

الذي ينشئ مسار "الثقب الأسود" لشبكة فرعية بأكملها، مما يتسبب في سيتم تجاهل الحزم الموجهة إلى هذه العناوين دون استجابة.إنه مفيد جدًا ضد الهجمات الضخمة الموزعة من نطاق معين أو لإيقاف البريد العشوائي الضخم من مجموعات من عناوين IP.

لتجنب الوقوع في الخطأ، فمن المستحسن الاعتماد على حاسبات نطاق IP لمعرفة عدد الشبكات الفرعية التي تقوم بحظرها وأيها تقوم بحظرها على وجه التحديد، خاصةً إذا كنت تتعامل مع شبكات فرعية ذات أقنعة أكثر تعقيدًا إلى حد ما من /24.

حظر اتصالات VPN والوصول عن بعد من عناوين IP المشبوهة

شبكات VPN SSL هي هدف مغرٍ للغاية للمهاجمين لأنه إذا تمكنوا من الدخول، فإنك تمنحهم الوصول المباشر تقريبًا إلى شبكتك الداخليةتتيح لك الأجهزة مثل FortiGate تقييد عناوين IP التي يمكنها الاتصال بشبكة VPN، وهذه طبقة دفاع إضافية مثيرة للاهتمام للغاية.

النهج النموذجي هو إنشاء مجموعة عناوين من نوع "القائمة السوداء" (على سبيل المثال، blacklistipp) على FortiGate حيث يمكنك إضافة عناوين IP عامة حاولت تنفيذ هجمات القوة الغاشمة أو سلوك غريب في سجلات VPN.

في وقت لاحق، في وحدة تحكم جدار الحمايةيتم ضبط تكوين VPN SSL باستخدام:

  • إعداد VPN SSL
  • تعيين عنوان المصدر "blacklistipp"
  • تعيين تمكين نفي عنوان المصدر
  • إظهار للتحقق من التكوين المطبق.

باستخدام هذا الإعداد، سيتم إيقاف أي محاولة اتصال من عنوان IP المضمن في هذه المجموعة مرفوض منذ البدايةحتى بدون السماح بإدخال اسم المستخدم وكلمة المرور، مما يقلل بشكل كبير من استهلاك الموارد وسطح الهجوم.

يمكنك أيضًا العمل من واجهة رسومية تكوين "تقييد الوصول" وتقييده على مضيفين محددين، على الرغم من أنه في هذا الوضع، يقوم المستخدم بإدخال بيانات الاعتماد ثم يتم قطع الاتصال، وهو ما يكون أقل كفاءة من وجهة نظر التخفيف المبكر.

للتحقق من أن القفل يعمل، يمكنك استخدام أوامر التشخيص مثل تشخيص حزمة الشم التصفية حسب عنوان IP ومنفذ VPN، أو التحقق احصل على مراقبة VPN SSL للتحقق من الاتصالات التي تم إنشاؤها وتلك التي تم تركها.

الدفاع المتقدم: عزل الأجهزة والهويات

عندما يكون الموقف خطيرًا حقًا (برامج الفدية، أو الحركة الجانبية، أو تسريب البيانات)، فإن مجرد إغلاق منفذ أو حظر عنوان IP معين لا يكون كافيًا: في بعض الأحيان تحتاج إلى عزل الجهاز المخترق أو حتى الهوية بشكل كامل.

Microsoft Defender لنقطة النهاية إنه يدمج إجراءات الاستجابة السريعة على مستوى الجهاز: يمكنك وضع علامات على الأجهزة، وبدء التحقيقات الآلية، وفتح جلسات الاستجابة المباشرة عن بعد، وجمع حزم التحقيق الكاملة، وإطلاق عمليات فحص متعمقة لمكافحة الفيروسات من وحدة التحكم المركزية.

يتضمن تجميع حزمة البحث في Windows معلومات مثل بدء تشغيل التسجيل، والبرامج المثبتة، واتصالات الشبكة النشطة، وذاكرة التخزين المؤقت ARP، ونظام أسماء النطاقات (DNS)، وتكوين TCP/IP، وسجلات جدار الحماية، والجلب المسبق، والعمليات، والمهام المجدولة، وسجل الأمان، والخدمات، وجلسات SMB، ومعلومات النظام، والدلائل المؤقتةيتم تكثيف كل هذا في بنية مجلد وتقرير ملخص (CollectionSummaryReport.xls).

يجمع نظاما macOS وLinux شيئًا مشابهًا: التطبيقات المثبتة، ومجلدات الأقراص، واتصالات الشبكة، والعمليات، والخدمات، ومعلومات الأمان، والمستخدمين والمجموعات، وما إلى ذلك، مما يسمح إعادة بناء سيناريو الهجوم مقبول.

أحد الإجراءات القوية بشكل خاص هو عزل الجهازيُفصل الكمبيوتر المتأثر عن الشبكة (إلا في حال الاتصال الضروري بخدمة أمان السحابة) لمنع المهاجم من أي تحركات إضافية أو تسريبات للبيانات. يتوفر العزل الكامل والعزل الانتقائي (الذي يسمح، على سبيل المثال، باستمرار عمل Outlook وTeams) على إصدارات مختلفة من Windows وmacOS وLinux، مع مراعاة متطلبات iptables وkernel معينة.

وبالتوازي مع ذلك، هناك خيار تحتوي على أجهزة غير مُدارة عبر عنوان IP الخاص بهم: تقوم الأجهزة المحمية بواسطة Defender بحظر أي حركة مرور واردة أو صادرة إلى هذا العنوان، مما يؤدي إلى إبطاء الانتشار من "جزر" الشبكة حيث لا يوجد وكيل أمان تم نشره بعد.

ويمكنه أيضًا احتواء نفسه المستخدم أو الهوية مُريب: تم ​​حظر تسجيلات الدخول إلى الشبكة، وبروتوكولات سطح المكتب البعيد (RDP)، وبروتوكول SMB، وبروتوكول RPC؛ وتم إنهاء الجلسات عن بُعد الجارية؛ ومنع التحرك الجانبي. عادةً ما يتم تفعيل هذا الاحتواء تلقائيًا باستخدام منطق تعطيل الهجوم والحماية التنبؤية، ويمكن إلغاؤه من مركز الإجراءات بعد حل المشكلة.

جدار الحماية على Linux: UFW وfirewalld وiptables لإيقاف حركة المرور الضارة

على خوادم Linux، المكون الرئيسي لحظر الاتصالات غير المعتادة هو جدار حماية النظام، والذي يعتمد عادةً على iptables/nftables، مع طبقات إدارة مثل UFW أو firewalld لجعلها أكثر ودية.

في أوبونتو والعديد من التوزيعات المتوافقة، يُبسط جدار الحماية غير المعقد (UFW) الأمور بشكل كبير. يمكنك تثبيته باستخدام sudo apt install ufw، تحقق من حالته مع sudo ufw الوضع وتفعيله مع sudo ufw تمكينبشكل افتراضي، فإنه عادة ما يرفض جميع حركة المرور الواردة ويسمح بحركة المرور الصادرة، وهو بالفعل موقف آمن إلى حد ما.

لتحديد السياسات الأساسية، يتم استخدام الأوامر التالية:

sudo ufw default deny incoming
sudo ufw default allow outgoing

وبعد ذلك، يمكنك السماح بخدمات محددة: على سبيل المثال sudo ufw تسمح ssh لفتح المنفذ 22، أو sudo ufw تسمح 2222 / tcp إذا كنت تستخدم منفذ SSH غير قياسي، لحظر خدمة، اتبع ما يلي: سودو ufw رفض 80 إغلاق منفذ HTTP.

إذا كان لديك عنوان IP موثوق به أو على العكس من ذلك، تريد حظر عنوان معين، فيمكنك استخدام قواعد مثل sudo ufw السماح من o sudo ufw deny from، وحتى ضبطها بدقة باستخدام "إلى أي منفذ" "لربط الكتلة بمنفذ معين."

يمكن إدراج القواعد مرقمة بـ تم ترقيم حالة sudo ufw وإزالتها مع sudo ufw حذفيجعل هذا من الملائم جدًا ضبط السياسة استنادًا إلى ما تراه في السجلات وفي أدوات مثل netstat أو ss أو iftop.

تعزيز الوصول: المستخدمين، وSSH، والمصادقة

إن حظر الاتصالات المشبوهة أمر رائع، ولكنه بنفس القدر من الأهمية تقليل مساحة الهجوم عن طريق تحديد من يمكنه الدخول وكيفية القيام بذلك.وهنا يأتي دور إدارة المستخدم، وSSH، والمصادقة القوية.

في لينكس، كل حساب مستخدم لديه وصول إلى الخادم يُمثل مصدر هجوم محتمل إذا لم يُدار بشكل صحيح. تُنشأ الحسابات باستخدام useraddيتم تعيين كلمة مرور لهم مع باسود ويتم تعديل الأذونات والمجموعات باستخدام أدوات مثل chown و chmod لمنعها من المساس بأكثر مما ينبغي.

لتقوية SSH، فإن المثالي هو استخدام مفاتيح عامة/خاصة بدلاً من كلمات المرورأنت تقوم بإنشاء زوجك باستخدام سه-كجنأنت تقبل أو تُحدد مسار التخزين، وإذا أردت طبقة إضافية، فأضف عبارة مرور. ثم أرسل المفتاح العام إلى الخادم مع معرف نسخة ssh للمستخدم@المضيف ومن هناك، يمكنك تسجيل الدخول باستخدام مستخدم ssh@host باستخدام مفتاحك.

بمجرد أن يعمل مصادقة المفتاح، فهذه ممارسة جيدة تعطيل تسجيل الدخول بكلمة مرور في ملف /etc/ssh/sshd_config، قم بتعديل توجيه PasswordAuthentication إلى "لا" وأعد تشغيل الخدمة باستخدام systemctl إعادة تشغيل sshبهذه الطريقة، لن يتمكن المهاجم من محاولة اختراق كلمة المرور بالقوة، لأن الخادم لن يقبل حتى هذه الطريقة.

إذا أضفت إلى هذا اثنين عامل التوثيق في الخدمات الهامة، يؤدي تدوير كلمة المرور والحسابات ذات الامتيازات الدنيا إلى تقليل فرص انتشار اتصال مشبوه إلى ما هو أبعد من مجرد محاولات فاشلة قليلة.

السجلات والمراقبة: بدون الرؤية لا يوجد حظر فعال

لا تعمل استراتيجية عدم الحظر بشكل جيد إذا لم يكن لديك سجلات تدقيق لائقة ومراقبة ضئيلةيجب عليك أن ترى ما يحدث حتى تتمكن من التصرف في الوقت المناسب، وإذا لزم الأمر، إعادة بناء ما حدث بعد الحادث.

في Linux، تتركز معظم سجلات النظام في / فار / السجلرسائل النواة، والمصادقة، وخدمات الشبكة، وشياطين النظام... تتحكم دائمًا تقريبًا في السلوك والتنسيق rsyslog (أو المتغيرات)، التي تم تكوينها في ملفات مثل /etc/rsyslog.conf أو في ملفات داخل /etc/rsyslog.d/.

من هناك، يمكنك ضبط أنواع الأحداث المسجلة، ومستوى شدتها، والملف الذي تنتهي فيه. ومن الممكن أيضًا إرسال السجلات إلى خادم مركزي لتحليلها بشكل أفضل ومنع المهاجم من حذفها بسهولة على الكمبيوتر المصاب.

التوازن مهم: تسجيل كل شيء على الإطلاق يمكن أن يكون مفيدًا. ملء القرص وجعل تصفية المعلومات المفيدة أمرًا مستحيلًامع أن التسجيل القليل جدًا يُخلّف ثغرات خطيرة، إلا أن الكثيرين يجمعون بين التسجيل المُفصّل للخدمات الحيوية (SSH، جدار الحماية، المصادقة) والتسجيل المُبسّط للمكونات الأقل حساسية.

للتحليل، يمكنك استخدام أوامر مثل grep أو awk أو less، ولكن في البيئات المتوسطة والكبيرة من الطبيعي استخدام أدوات SIEM أو مجموعات مثل ELK أو Splunk أو ما شابهوالتي تسمح بربط الأحداث، واكتشاف أنماط الهجوم، وإنشاء تنبيهات في الوقت الحقيقي.

في نظام Windows، يتم إجراء شيء مماثل باستخدام عارض الأحداث، وسجلات Windows Defender، وجدار الحماية، وعلى مستوى أكثر تقدمًا، باستخدام حلول مثل مايكروسوفت ديفندر XDR التي تدمج بالفعل كل هذا التدفق وتقارنه بمعلومات استخبارات التهديدات.

إن الجمع بين netstat وأدوات الشبكة الأخرى للكشف عن حركة المرور المشبوهة، وتعزيز جدار الحماية (على Windows أو Linux أو الأجهزة المخصصة)، وإدارة المستخدمين وSSH بشكل فعال، والاستفادة من القدرات المتقدمة مثل عزل الأجهزة أو احتواء IP والحساب، يضعك في موقف أقوى بكثير: تتوقف الاتصالات المشبوهة عن كونها مصدر خوف متكرر وتصبح أحداثًا يمكنك التحكم فيها. التعرف بسرعة، والحظر من خلال CMD أو لوحات الأمان، وتحليلها بهدوء. لتحسين دفاعات البنية التحتية بأكملها تدريجيًا.

ما هو GlassWire؟
المادة ذات الصلة:
برنامج GlassWire التعليمي لاكتشاف الأحداث النادرة ومراقبة شبكتك