Comando Netstat Conexiones entrantes y salientes
Lo prometido es deuda, aquí tenéis mi tutorial de Netstat .El titulo de este post podría resumir su contenido casi en su totalidad, voy a dedicar una entrada a este comando que se utiliza desde la consola del dos ya que entre sus usos mas frecuentes podemos encontrar muchas utilidades aplicadas a las conexiones de red
¿Qué es Netstat?
Como he dicho Netstat es un comando de red que se usa para controlar las conexiones entrantes y salientes, es un comando multiplataforma, que quiere decir que se usa en varios sistemas operativos Windows, Linux, Mac…..aunque la forma en la que se utiliza en cada uno de ellos es distinta.
¿Cómo se usa?
Para utilizar Netstat en Windows deberemos abrir la consola del Dos (ejecutar, cmd) y tipear Netstat, a continuación podremos observar detalladamente las conexiones activas que tenemos, controlar esto tiene muchas utilidades como por ejemplo comprobar a donde redirigimos nuestras conexiones, verificar conexiones remotas, detectar intrusiones etc.
Afinando Netstat
Para concretar la búsqueda Netstat puede ir acompañado de ciertos parámetros que añaden o especifican funciones a la aplicación principal . A continuación os pongo todos los parámetros que se pueden utilizar con netstat sólo en Windows (para no liaros)
• -a Muestra todas las conexiones y puertos a la escucha
• -b Muestra el ejecutable que crea cada conexión o puerto a la escucha
• -e Estadísticas Ethernet de las visualizaciones, como el número de paquetes enviados y recibidos. Se puede combinar con la opción -s.
• -n Se muestran los puertos con su identificación en forma numérica y no de texto.
• -o En sistemas Windows XP y 2003 Server, muestra los identificadores de proceso (PID) para cada conexión. Se puede verificar los identificadores de proceso en el Administrador de Tareas de Windows (al agregarlo a las columnas de la pestaña procesos)
• -p Muestra las conexiones para el protocolo especificado; el protocolo puede ser TCP o UDP. Si se utiliza con la opción de -s para visualizar la estadística por protocolo, proto puede ser TCP, UDP o IP.
• -r Visualiza la tabla de enrutamiento o encaminamiento. Equivale al comando route print.
• -s Estadística por protocolo de las visualizaciones. Por el valor por defecto, la estadística se muestra para TCP, UDP e IP; la opción -p se puede utilizar para especificar un subconjunto del valor por defecto.
• -v En sistemas Windows XP y 2003 Server, y usado en conjunto con -b, muestra la secuencia de componentes usados en la creación de la conexión por cada uno de los ejecutables.
• Intervalo: Vuelve a mostrar la información cada intervalo (en segundos). Si se presiona CTRL+C se detiene la visualización. si se omite este parámetro, netstat muestra la información solo una vez.
Vosotros también podeis acceder a esta información desde la consola de comandos, para obtener ayuda sobre las funciones de los parámetros del comando netstat y poder visualizarla en la pantalla solo tenéis que tipear netstat help y no al revés (help netstat) la explicación de esto es que el que menú de ayuda del comando netstat no se encuentra en Dos sino dentro del mismo netstat por eso hay que tipear primero netstat y después help para solicitar ayuda.
Estado de las conexiones
Con netstat las conexiones se mostraran en un estado determinado dependiendo también de si añadimos parámetros o no a la función del comando principal.Por ejemplo para comprobar las conexiones que tenemos “a la escucha” debemos añadir el parámetro –a a netstat y nos mostrará las conexiones que estén en listening.Otros estados en las conexiones que nos podemos encontrar:
• ESTABLISHED El socket tiene una conexión establecida
• SYN_SENT El socket está intentando iniciar una conexión
• SYN_RECV Una petición de conexión fue recibida por la red
• FIN_WAIT1 El socket está cerrado, y la conexión esta finalizándose
• FIN_WAIT2 La conexión está cerrada, y el socket está esperando que finalice la conexión remota
• TIME_WAIT El socket está esperando después de cerrarse que concluyan los paquetes que siguen en la red
• CLOSED El socket no está siendo usado
• CLOSE_WAIT La conexión remota ha finalizado, y se espera que se cierre el socket
• LAST_ACK La conexión remota ha finalizado, y se espera que se cierre el socket. Esperando el acknowledgement.
• LISTEN El socket está esperando posibles conexiones entrantes
• CLOSING Ambos sockets han finalizado pero aún no fueron enviados todos los datos
• UNKNOWN El estado del socket no se conoce
Las conexiones más habituales son establish,time wait,closed,listen ,el resto son para usos mas avanzados que ya iremos viendo.
Netstat es uno de los comandos mas importantes de TCP/IP junto con otros como ping, tracert etc .Por lo que es muy importante que os familiaricéis con ellos cuanto antes para conseguir un buen manejo de redes como base indispensable del hacking.
Articulo escrito por S3L3N1TY para Hacker’s Land.
mira la verdad soy un poco lento pero quisiera saber como saber la ip de otra maquina ya se que enviando un archivo y poner el netstat pero me salen muchas cosas que no entiendo aun teniendo solo la converzacion abierta sin mas paginas y logicamente el messenger podrias ayudarme para saber un poco mas
ResponderEliminarHola Mario,bienvenido a mi blog.Te sugiero que si no controlas demasiado bien las conexiones entrantes y salientes con netstat,antes que nada cierres todos los programas ya plicaciones que requieran conexión a internet (incluido el navegador para no liarte) y después te fijes en los procesos que está usando cada conexión,para eso utiliza netstat -o y podrás ver que cada conexión tiene digitos numericos asociados (normalmente entre uno y cuatro),ahora lo que tienes que hacer es ir al administrador de tareas de Windows (ctrl+alt+spr) y en el administrador de procesos busca los digitos que aparecen en el msn y los compruebas con los de las conexiones del netstat.Para mi esta es la forma mas sencilla para evitar confundirte con otras conexiones y más fiable porque no tines que enviar nada por tanto no resulta sospechoso,un salu2
ResponderEliminarOtra opcion seria que le envies una pagina web que capture su ip.
ResponderEliminar