 |
| Imagen de la web de Panda |
Todos en mayor o menor medida somos conscientes de los riesgos que conlleva conectar un equipo a la red (o deberíamos), y no debemos conformarnos con poner un antivirus, ya que en muchas ocasiones los malos son capaces de evadir estas medidas de seguridad.
Vamos a hablar de herramientas de red que nos pueden ayudar a la hora de saber que está pasando en nuestro equipo y que además vienen por defecto en los sistemas operativos, tanto en Windows como en Linux.
Hoy vamos a ver Netstat (network statistics, estadísticas de red) que es una herramienta en línea de comandos que nos permite ver un listado de las conexiones activas en el equipo.
En Windows tenemos los siguientes modificadores:
- -a Muestra todas las conexiones TCP activas y los puertos TCP y UPD en el que está escuchando el equipo.
- -e Muestra las estadísticas de Ethernet, como el número de bytes y paquetes enviados y recibidos. Se puede usar junto con -s.
- -n Muestra los puertos y direcciones en formato numérico.
- -o Muestra las conexiones TCP activas e incluye el identificador de proceso (PID) para cada conexión. Este parámetro se puede combinar con -a-n -n y -p.
- -p (protocolo) Muestra las conexiones del protocolo especificado. El Protocolo puede ser tcp, udp, tcpv6o udpv6. Si se utiliza con -s para mostrar estadísticas por protocolo, este puede ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6o ipv6.
- -s Muestra estadísticas por protocolo. De forma predeterminada, se muestran las estadísticas para los protocolos tcp, udp, icmp e ip. Si está instalado el protocolo IPv6, las estadísticas se muestran para el protocolo TCP sobre IPv6, UDP sobre IPv6, ICMPv6 y IPv6. Con el parámetro -p puede utilizarse para especificar un conjunto de protocolos.
- -r Muestra el contenido de la tabla de enrutamiento IP. Es el equivalente al comando route print .
Veamos un par de ejemplos para que la cosa quede más clara. Abrimos el navegador y visitamos alguna página web. Por otro lado, abrimos una terminal de Windows (botón de inicio, escribimos cmd y botón derecho sobre el icono para pinchar en "ejecutar como administrador").
Una vez abierta la "internet negra" (giño giño xd) escribimos en ella:
netstat -an
Tenemos una fila por cada conexión. La primera columna indica el protocolo (TCP, UDP). La siguiente es la dirección y el puerto de nuestra máquina que está conectado con la dirección y puerto de la máquina que está en la tercera columna. La ultima columna corresponde al estado de la conexión.
- LISTENING: El puerto está abierto y esperando una conexión.
- ESTABLISHED: Ya se ha establecido una conexión.
- CLOSED_WAIT: Indica que la máquina remota cerró la conexión, pero el programa local no ha seguido la petición y permanece abierto.
- TIMED_WAIT: La conexión no se cierra hasta que pase cierto tiempo para poder capturar los paquetes que se habían "perdido" por la red debido a posibles problemas de enrutamiento.
En este ejemplo podemos ver conexiones por el puerto 443-HTTPs (tercera columna), o que tenemos abiertos los puertos 445 (primera columna) que es típico en Windows en las conexiones de disco compartido (aunque creo recordar que el gusano sasser también lo usaba).
Si ahora usamos el modificador
netstat -abn
Podemos observar que aparece una quinta columna con el ejecutable de nuestra máquina que es responsable de esa conexión.
En este ejemplo podemos ver que una de las conexiones realizadas por el puerto 443 la lleva a cabo chrome.exe.
Como veis, en pocos segundos podemos conocer más sobre las conexiones de nuestro equipo. Obviamente esto no nos va a salvar la vida, pero hemos "añadido una capa más de seguridad" a nuestro equipo.
*Basado en la web de Microsoft.
**El chiste del día: podemos usar el modifcador netstat -ano. (saludos 4n4les xD).
Roberto García (@1GbDeInfo)
