domingo, 17 de junio de 2012

NETSTAT

Conocer, detectar e identificar con NETSTAT las conexiones establecidas en el equipo.

Como utilizar el comando NETSTAT de Windows para conocer las conexiones activas establecidas en la computadora, saber su origen y dirección IP, poder detectar las conexiones entrantes y e intrusiones de red en nuestro sistema. Aplicaciones para descargar gratis y códigos con todas las opciones que permite la herramienta.


NETSTAT es una de las herramientas más maravillosas y útiles que incluye Windows, mediante ella podemos conocer información detallada relacionada con las conexiones que establece nuestro equipo.

Nos ofrece datos que ningún otro programa podrá proporcionarnos y aunque solo funciona mediante la línea de comandos, después de leer este artículo, comprenderás la facilidad de su uso y podrás manejar a tu antojo todas las opciones que permite NETSTAT.

¿Qué es el comando NETSTAT?

NETSTAT es una útil herramienta incluida en la línea de comandos de los sistemas operativos Windows, permite monitorear y estar al tanto de todas las conexiones establecidas entre nuestra PC y el mundo exterior.

Usando NETSTAT es posible ver, conocer, detectar e identificar las conexiones activas establecidas con el exterior, tanto entrantes como salientes, su origen y dirección IP de procedencia, saber los puertos que tenemos abiertos a la escucha, ver e identificar las conexiones entrantes e intrusiones de red en nuestra PC, saber si tenemos programas que establezcan contacto con un host remoto.

Toda esa información y más, podemos obtenerla con las distintas opciones que permite NETSTAT.

¿Que nos permite conocer el comando NETSTAT?

Con NETSTAT podemos monitorear en vivo toda la actividad de nuestra red, acceder a todas las estadísticas registradas y recogerlas en un archivo de texto para revisarlas posteriormente.

Es posible configurar el intervalo de tiempo en que estas se deben realizar.

Permite estar al tanto de los puertos que se encuentren abiertos en la PC, su estado, si son usados en alguna conexión desconocida, lo que te permite cerrarlos si no son necesarios para el funcionamiento de las aplicaciones que usas.

Es la herramienta ideal para detectar conexiones entrantes e intrusiones en un equipo local, saber si alguna aplicación instalada establece contacto con algún host remoto en el exterior, monitorear estas conexiones, conocer su PID o sea la identidad del proceso y detenerlo por medio de la utilidad taskkill, ya sea manualmente o automáticamente con un archivo batch creado para ese fin.

¿Como usar el comando NETSTAT?


NETSTAT al igual que todos otros comandos que incluye Windows, puede invocarse de varias formas:

-Escribiendo o insertando en la consola de CMD o símbolo del sistema las instrucciones.

- Introduciéndolo directamente en el cuadro de Inicio o en el comando Ejecutar, antecedido de CMD.exe /K, esto permite abrir la consola, ejecutar el comando y mantener abierta la ventana con la información.

En la siguiente imagen puedes ver un ejemplo, en este caso con PING otro comando de Windows, con NETSTAT el uso es similar.

- Por último, usándolo en un archivo batch, que no es más que un archivo de texto con la extensión cmd, por lo que Windows abrirá y ejecutará las ordenes que contienen dicho archivo en la consola.

Para la mayoría de los usuarios, que lógicamente no son diestros en el manejo de la consola, se aconseja el uso de la segunda y tercera opción.

Más abajo se ofrece la descarga gratis de varios de estos archivos, solo se necesita descargarlos, descomprimirlos y ejecutarlos.

No obstante a los interesados en el uso de las opciones más avanzadas de NETSTAT, se recomienda aprender a ejecutarlo en la consola en la que se obtienen los mejores resultados.

No es nada difícil como se verá a continuación.

Sintaxis para el uso de NSTAT en la línea de comandos

NETSTAT [opción] [-p protocolo] [intervalo]

-a Muestra todas las conexiones y puertos a la escucha.
-b Muestra las aplicaciones y archivos ejecutables involucrados en crear conexiones en los puertos a la escucha.
-e Muestra estadísticas de Ethernet.
-n Muestra los puertos y las direcciones en formato numérico.
-o Permite ver la identidad de cada proceso (PID) involucrado.
-r Muestra la tabla de rutas.
-s Muestra las estadísticas por protocolos.
-v Usado con -b, permite ver secuencias de componentes involucrados en crear una conexión.
-p Muestra las conexiones por protocolos: TCP, UDP, TCPv6, o UDPv6.
Intervalo Intervalo en número de segundos que se monitorea las conexiones. Continua hasta que se ejecuta Control+C.

 

Información del estado de las conexiones

NETSTAT devuelve una serie de parámetros que indican el estado en que se encuentran las conexiones, son los siguientes:
LISTENING: El puerto está abierto escuchando en espera de una conexión.
ESTABLISHED: La conexión ha sido establecida.
CLOSE_WAIT: La conexión sigue abierta, pero el otro extremo nos comunica que no se continuará enviando información.
TIME_WAIT: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
LAST_ACK: La conexión se está cerrando.
CLOSED: La conexión ha sido cerrada completamente.

 

Usos prácticos del comando NETSTAT en Windows

NETSTAT puede emplearse para multitud de propósitos en redes, pero la gran mayoría de los usuarios acude a su ayuda, para obtener información principalmente sobre dos aspectos:
1- Conocer los puertos abiertos en el equipo a la escucha.
2- Conocer las aplicaciones que se conectan al exterior.

Conocer los puertos abiertos en el equipo a la escucha

Aunque varios sitios en la red brindan el servicio de detectar e informar sobre los puertos abiertos, con NETSTAT lo podemos conocer fácilmente.
Para eso úsalo de la siguiente forma:
NETSTAT -AN|FINDSTR /C:LISTENING
Si no eres amante del uso de la consola, entonces solo pega lo siguiente en el cuadro de Inicio o en Ejecutar y presiona la tecla Enter:
CMD.EXE /K NETSTAT -AN|FINDSTR /C:LISTENING

Conocer las aplicaciones que se conectan al exterior

Si tienes sospechas de que en tu sistema tienes aplicaciones spyware (programas informáticos que espían información del usuario y la envían a un sitio en la red), puedes usar NETSTAT para detectarlos.

Para eso úsalo de la siguiente forma inmediatamente después de conectarte a internet, cualquiera aplicación que establezca conexión con un sitio remoto será detectada y NETSTAT mostrará el PID que le corresponde (identidad del proceso).
NETSTAT -BO 10
Para ejecutarlo desde el cuadro de Inicio o Ejecutar, sería de la siguiente forma:
CMD.EXE /K NETSTAT -BO 10

¿Como conocer la aplicación que inicia un proceso?

NETSTAT devolverá la identidad de un proceso, si necesitas saber el nombre de la aplicación, inclusive otros procesos anidados, usa el comando TASKLIST de la siguiente forma.
CMD.EXE /K TASKLIST /SVC /FI “PID eq ID”
Solo sustituye ID por el número que devuelve NETSTAT, por ejemplo:
CMD.EXE /K TASKLIST /SVC  /FI “PID eq 1040″

Detener un proceso

Para detener de manera forzada cualquier proceso, usa el comando TASKKILL de la siguiente forma:
TASKKILL /F /IM NombreProceso
También puedes usarlo en un archivo batch para detener uno o varios procesos antes de conectarte a la red, en caso de tareas que causan conflictos a la conexión, por ejemplo:
@echo off TASKKILL /F /IM KMService.exe TASKKILL /F /IM TUProgSt.exe

Descargas de archivos batch para utilizar NETSTAT en el equipo local

Si quieres usar y aprovechar todas las funciones que ofrece NETSTAT de una manera sencilla, puedes descargar para eso los siguientes archivos batch que facilitan esta tarea, descárgalos a tu equipo, descomprímelos y después ejecútalos:

Nota: Dejo los archivos en un link único y de ahí escogen del paquete cual vamos a utilizar,más abajo la descripción de su Uso.

Ver los puertos que están a la escucha

Archivo batch que muestra los puertos que se encuentran en este momento abiertos y a la escucha en espera de alguna conexión.

Ver las conexiones activas establecidas.
Muestra todas las conexiones establecidas, los puertos, los PID (identificadores de procesos) y las direcciones IP de origen de cada conexión. El programa refresca los datos cada 5 segundos aproximadamente.

Crear un informe de las conexiones activas establecidas.
Los mismos datos que muestra el batch anterior, quedan registrados en un archivo de texto que puedes revisar posteriormente. El archivo es creado en la misma carpeta donde se ejecuta el script.

Mostrar los programas o aplicaciones que establecen contacto con el exterior.
Este archivo batch muestra si alguna aplicación o programa en la PC se conecta a algún servidor remoto y establece contacto. Si es así se muestra el nombre de esta aplicación, su PID y la dirección IP a la que accede. El programa refresca los datos cada 5 segundos aproximadamente.

Generar un informe de los programas o aplicaciones que establecen contacto con el exterior.
Registra los mismos datos que el batch anterior, quedan registrados en un archivo de texto que puedes revisar posteriormente. El archivo es creado en la misma carpeta donde ejecutas el script.

Ver las conexiones activas establecidas con los datos de los procesos involucrados.
Este es el batch mas completo de todos, encadena o crea un pipe de NETSTAT con TASKLIST y así muestra los datos de las conexiones como las anteriores pero agregando la información de los procesos involucrados en estas. Las columnas que aparecen son las siguientes en orden:

Fecha, hora, dirección IP y puerto, dirección IP externa, nombre proceso, PID, sesión, uso de CPU y uso de memoria. La aplicación se refresca cada un minuto, puedes cambiar ese valor en la columna 20. Puedes cerrar la pantalla en cualquier momento utilizando las teclas Control+C.

Teniendo la descripción del proceso ya estás en condiciones de detener el que te parezca sospechoso o indeseable, lo que puedes hacer con la utilidad que aparece más abajo.

Killer (Matador) de procesos, archivo batch para detener o matar los procesos seleccionados por su PID.
Permite detener o matar los procesos, solo tienes que escribir su PID o número de identificacion de proceso

 http://www.restfile.com/ff48dh07wzhn/Pack-nest.rar.html

No hay comentarios:

Publicar un comentario

Dejar Comentarios