6 - NetStat

eZine lover (@eZine)

Published in 

NovaHack Zine

 · 1 year ago

[ Daru ]

Ok, ya estan aqui todos para leerme, pues bien, en este articulo vamos a ver un comando del que absolutamente nadie puede precindir: NETSTAT.
En este mundillo ya sabes que no puedes confiar en nadie (o si?) por eso se le recomienda a todo el mundo que tenga un poco de paranoia y de no confiar en todo lo que se lee o se oye; por eso yo normalmente confio en 2 cosas: mi mente y el NetStat.

INTRO

El netstat es un comando "universal" osea, que lo vas a encontrar en casi cualquier plataforma desde unix hasta windows; porque? por que simplemente todo el mundo lo necesita; por que es un comando muy util. La funcion del netstat es muy simple, basta con traducir NetStat: Estado-de-la-Red. Bravo, adivinaste, netstat nos dice lo que esta pasando en nuestra red, absolutamente todo lo que nuestra computadora esta haciendo en la red en ese momento, con que otras computadoras hay comunicacion via red o internet, que puertos esta usando, que maquina lo esta escuchando, que maquinas esta escuchando nuestra pc, etc.

EL COMANDO

-nota: yo separo el comando del demas texto con una linea vertical como esta: | | | y a las letras o palabras que les tienes que poner tu un valor [variables] les pongo un signo de admiracion antes. ok? para que se vayan acostumbrando a como escribo.

Windows 95/98

Bajo estos windows invocar al netstat no es algo muy complicado o del otro mundo simplemente hay que iniciar una ventana de MS-DOS [Inicio > Programas > MS-DOS] y teclear |netstat| y si no estas conectados a internet magicamente nos aparecera algo como esto:

C:\WINDOWS>netstat

Conexiones activas

  Proto  Dirección local        Dirección remota       Estado 

C:\WINDOWS>

Bravo, ya pudimos comandar un netstat :D. Como sospecharas, estas no son las unicas funciones del netstat, sino dirias -maldito daru, tanto rollo para tan poquito. :D.
Al comando se le pueden agragar varios y utlies argumentos [ese texto que va despues del comando] que nos seran de gran utilidad mas adelante, mientras apredetelos junto con su utilidad:

NETSTAT posibles argumentos > [-a] [-e] [-n] [-s] [-p proto] [-r] [!intervalo] 

  -a            Muestra todas las conexiones y puertos los puertos que estan 
                escuchando [estan abiertos jejeje] 

  -e            Muestra estadÌsticas de la conexion Ethernet. Se puede combinar 
                con el argumento -s. 

  -n            Muestra números de puertos y direcciones en formato numÈrico 
                [pone en la pantalla los puertos en forma de numeros [en ves 
                de telnet pondria 23 o en ves de SMTP pondria 25] y las 
                direcciones tambien; [en ves de ver el nombre del servidor como 
                www.microsoft.com verias la direccion ip. 

  -p !proto     Muestra conexiones del protocolo especificado por !proto; que 
                puede ser tcp o udp. Si se usa con la opción -s para mostrar 
                estadÌsticas por protocolo, proto puede ser TCP, UDP o IP. 

  -r            Muestra el contenido de la tabla de rutas [muy interesante]. 

  -s            Muestra estadÌsticas por protocolo. En forma predeterminada, se 
                muestran para TCP, UDP e IP; se puede utilizar la opción -p 
                para especificar un subconjunto de lo predeterminado. 

  !intervalo    Vuelve a mostrar las estadÌsticas seleccionadas, haciendo 
                pausas en el intervalo de segundos especificado entre cada 
                muestra. Presione Ctrl+C [como en linux :D] para detener la 
                actualización de estadÌsticas. Si se omite, netstat imprimirá 
                la actual información de configuración una vez.

Ok, eso es para windows 95 y 98 ahora que tal 2000 y xp, aprovecharemos que estan hechos con el kernel del NT para hacer cosas chidillas :D.

Windows 2000, ME y Xp

Ok, invocar al netstat en estos windows es mas facil de lo que parece solo abres el "simbolo del sistema" [Inicio > Programas > Accesorios > Simblo del sistema] y tecleas |netstat|.
Ahora, hay algo muy inetresante de estos windows, en especial el xp y su netstat: el argumento -o. Este argumento nos dice nada mas y nada menos que el PID del programa que este usando el internet, osea, en una linea de eco aparece el estado de la conexion pero aparte aparece el PID [Proces ID o ID de proceso] y con el numero de PID podemos ver que aplicacion es, simplemente hay que abrir el administrador de tareas, menu ver, click en "seleccionar columnas" y le das click en la casilla de verficacion que diga algo sobre el PID o que diga PID o algo asi, y ahora cambiamos a la pestaña de "procesos" y ya podemos que proceso tiene cada PID y asi poder saber que lo que esta haciendo en internet cada programa [muy, muy interesante no?].

Linux y otros sistemas operativos

Pues se la pelaron porque tenia un linux en mi PC pero mi hermano lo quito asi que se van a tener que conformar con teclear en una consola |netstat -?| , |man netstat| o |info netstat| para ustedes mismos obtener ayuda :D.

USOS INTERESANTES

Ok, ok, uds. diran: de que me sirve saber todo ese puto comando cuando no se le puede sacar algo util? pues mentira; aqui van algunos usos utiles, y ya sabes, nada con exceso, todo con medida, pero, a quien le importa?

>La ip de un wey por el msn messenger: haces que te reciba la transferencia de un archivo por la ventana de chat y cuando se este tranfiriendo el archivo le das |netstat -a| y por ahi debe de estar ya que como se esta haciendo una conexion completa tu tambien debes estar escuchandolo y por eso sale su ip, creo que tambien saldria sin el argumento -a y en el estado deberia de decir ESTABLESHIED o algo asi. Como lo mas probable es que tambien estes comunicado con otras maquinas [que estes viendo otras paginas de internet o que estes en alguna aplicacion p2p] te recomiendo que cierres todos los programas para que se cierren las conexiones y asi se te facilite identificar cual de todas es la ip del wey.

>temes por un troyano?: si temes por un troyano, nada mejor que |netstat -a| te dice que puertos estan a la escucha [estan abiertos] y si ves algun puerto raro como 3580 o uno que sabes que un troyano usa, pues lo mejor es actuar inmediatamente. matar el proceso. si estas en windows 95 o 98 l mas seguro es que el troyano se esconda del menu del Cntrl + Alt + Supr asi que lo mejor es actuar rapido con el mata procesos del darky que puedes bajar de mi pagina www.darux.cjb.net seccion software. y ya que lo hayas bajado [no esta muy grande] lo abres y ves los procesos y matas los que se vean sospechosos o que tienen un icono tenebroso. En windows 2000, ME o Xp ya sabes, miras el PID de proceso y lo matas. si el troyano cierra el administrador de tareas antes de que puedas matarlo, entras la carpeta system, o system32 y haces una copia del taskmgr.exe y abres esa copia para que el troyano piense que es otro programa pero fap! lo matas por la espalda.

>quitale la posobilidad de informarce: si el netstat te sirve para tanto, por que no cuando le cueles un troyano a la victima le borras su netstat.exe? lo puedes encontrar en la carpeta system o system32. Por eso tambien te recomiendo que te hagas una copia de seguridad de tus programas mas usados: telnet, ping, netstat, taskmgr, etc. que tambien puedes encontrar en la carpeta system o system32.

Ok gente, me despido de todos y ya saben si tienen alguna duda o comentario escribanme a daru_rules@hotmail.com , tambien nos les haria daño que visitaran mi pagina www.darux.cjb.net.

Saludos a todos - C.H.T. rulez !!!