Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

TUTORIAL DE netstat
Extraido y traducido del Security-Quickstart-HOWTO (Autor: Hal Burgiss) Documento original: http://www.tldp.org/HO !O/"ecurity#$uic%start#HO !O/index.html

1.- INTRODUCCIN netstat es una herramienta muy til para comprobar el estado actual de la red (qu servicios estn a la escucha de conexiones entrantes, sobre qu interfaces escuchan, quin est conectado a nuestro equipo, a qu equipos estamos conectados nosotros, etctera). Como ejemplo, comprobemos todos los servicios a la escucha y las conexiones activas para C! y "#! en nuestro equipo bigcat. $n este ejemplo, bigcat es un equipo de escritorio de usuario. bigcat tiene dos tarjetas $thernet% una para la conexi&n externa al '(!, y otra para una peque)a red local con la direcci&n *+,.*-..*.*.
$ netstat -tua Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 *:printer *:* tcp 0 0 bi#cat:$000 *:* tcp 0 0 *:time *:* tcp 0 0 *:%&& *:* tcp 0 0 *:http *:* tcp 0 0 bi#cat:domain *:* tcp 0 0 bi#cat:domain *:* tcp 0 0 *:ssh *:* tcp 0 0 *:'(& *:* tcp 0 0 *:smtp *:* tcp 0 & dsl)*$)&++)&(+,s:&&*'-,&./,&00,+(:nntp tcp 0 & dsl)*$)&++)&(+,s:&&*. '-,&./,&00,+(:nntp tcp 0 & dsl)*$)&++)&(+,s:&&*( '-,&./,&00,+(:nntp tcp 0 0 dsl)*$)&++)&(+,s:&&*/ /0*,&.(,/0(,&&-:http tcp & 0 dsl)*$)&++)&(+,s:&&++ 555,%odia%,com:http tcp 0 0 dsl)*$)&++)&(+,sd:http '(,/(',+/,&--:(-&+* tcp -00 0 bi#cat:&&./ bi#cat:$000 tcp ''-$ 0 bi#cat:&&'/ bi#cat:$000 tcp ..( 0 bi#cat:&&'bi#cat:$000 udp 0 0 *:(/*'$ *:* udp 0 0 bi#cat:domain *:* udp 0 0 bi#cat:domain *:* udp 0 0 *:'(& *:*

State LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" 0"1 !"T 0"1 !"T 0"1 !"T ! TA2LI 3!4 CL6 !17AIT TIM!17AIT CL6 !17AIT CL6 !17AIT CL6 !17AIT

!robablemente esta salida sea muy diferente de la que obten/as en tu sistema. 0bserva la diferencia entre Local Address y Foreign Address, y c&mo cada una incluye su correspondiente nmero de puerto (o nombre de servicio, si est disponible) despus de los dos puntos 1%2. 3a direcci&n local es nuestro extremo de la conexi&n. $l primer /rupo con la palabra LISTEN en la ltima columna son servicios que estn corriendo en este sistema. (on servicios que se estn ejecutando en se/undo plano en bigcat, y 1escuchan2 posibles conexiones entrantes. 4s5, estos servicios tienen un puerto abierto, que es por donde 1escuchan2. $stas conexiones pueden provenir del sistema local (por ejemplo, el propio bigcat) o desde sistemas remotos. 67 sta es una informaci&n muy importante 8

))&))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

3as l5neas de debajo son conexiones que han sido establecidas desde este sistema a otros sistemas. 3as conexiones pueden estar en varios estados, tal y como indica la palabra de la ltima columna. 4quellas en las que esta columna est vac5a son servicios que responden a conexiones "#!. "#! es un protocolo diferente de C! que se utili9a para conexiones de trfico de red con baja prioridad. 4hora ejecutaremos el mismo comando pero con la opci&n -n para suprimir la conversi&n de nombres y poder ver los nmeros de puerto%
$ netstat -taun Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 0,0,0,0:.&. 0,0,0,0:* tcp 0 0 &/*,0,0,&:$000 0,0,0,0:* tcp 0 0 0,0,0,0:(* 0,0,0,0:* tcp 0 0 0,0,0,0:'000 0,0,0,0:* tcp 0 0 0,0,0,0:$0 0,0,0,0:* tcp 0 0 &+/,&'$,&,&:.( 0,0,0,0:* tcp 0 0 &/*,0,0,&:.( 0,0,0,0:* tcp 0 0 0,0,0,0:// 0,0,0,0:* tcp 0 0 0,0,0,0:'(& 0,0,0,0:* tcp 0 0 0,0,0,0:/. 0,0,0,0:* tcp 0 & &'+,/.-,&*+,&(+:&&*'-,&./,&00,+(:&&+ tcp 0 & &'+,/.-,&*+,&(+:&&*. '-,&./,&00,+(:&&+ tcp 0 & &'+,/.-,&*+,&(+:&&*( '-,&./,&00,+(:&&+ tcp 0 0 &'+,/.-,&*+,&(+:&&*/ /0*,&.(,/0(,&&-:$0 tcp & 0 &'+,/.-,&*+,&(+:&&++ /&',/',&/+,&(':$0 tcp 0 0 &'+,/.-,&*+,&(+:$0 '(,/(',+/,&--:(-&+* tcp -00 0 &/*,0,0,&:&&./ &/*,0,0,&:$000 tcp ''-$ 0 &/*,0,0,&:&&'/ &/*,0,0,&:$000 tcp ..( 0 &/*,0,0,&:&&'&/*,0,0,&:$000 udp 0 0 0,0,0,0:(/*'$ 0,0,0,0:* udp 0 0 &+/,&'$,&,&:.( 0,0,0,0:* udp 0 0 &/*,0,0,&:.( 0,0,0,0:* udp 0 0 0,0,0,0:'(& 0,0,0,0:*

State LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" LI T!" 0"1 !"T 0"1 !"T 0"1 !"T ! TA2LI 3!4 CL6 !17AIT TIM!17AIT CL6 !17AIT CL6 !17AIT CL6 !17AIT

$chemos un vista9o a las primeras l5neas. Pri

tcp

era l!nea"
0 0 0,0,0,0:.&. 0,0,0,0:* LI T!"

$n la primera l5nea, la direcci&n local es #.#.#.#, lo que si/nifica que todas las interfaces estn disponibles. $l puerto local es el 515, o el puerto servidor de impresi&n estndar, normalmente propiedad del demonio lpd. !odemos ver una lista de los nombres de servicio ms comunes y sus nmeros de puerto asociados en el fichero /etc/services. $l hecho de que est escuchando en todas las interfaces es si/nificativo. $n este caso podr5amos hablar de tres interfaces% lo (localhost), eth0 y eth1. 4s5 pues, se podr5a establecer una conexi&n con la impresora sobre cualquiera de estas interfaces. (i un usuario puede levantar una conexi&n !!! en nuestro sistema, el demonio de impresi&n estar escuchando tambin sobre esa interfa9 (la ppp0). 3a direcci&n remota es tambin #.#.#.#, lo que si/nifica 1desde cualquier parte2.

))/))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

Conviene adems apuntar aqu5 que incluso si este servidor est dicindole al :ernel que escuche en todas las interfaces, la salida de netstat no refleja que pudiera haber un cortafue/os que filtrara las conexiones entrantes. $s al/o que, por el momento, no podemos ase/urar. 0bviamente, para ciertos servidores, sta ser5a una muy deseable opci&n. ;adie de fuera de nuestra red local tiene por qu conectarse a nuestro puerto servidor de impresi&n, por ejemplo. La seg$nda l!nea es $n %oco distinta"
tcp 0 0 &/*,0,0,&:$000 0,0,0,0:* LI T!"

0bsrvese que esta ve9 la Local Address es la direcci&n del local&ost *,<.=.=.*. $sto es muy si/nificativo, ya que s&lo las conexiones locales a esta mquina seran aceptadas. 4s5 que s&lo bigcat puede conectarse al puerto C! .=== de bigcat. 3as implicaciones de se/uridad son obvias. ;o todos los servidores tienen opciones de confi/uraci&n para permitir este tipo de restricci&n, pero es una caracter5stica muy til para aquellos que lo tienen. $l puerto .=== en este ejemplo es propiedad del proxy >eb Junkbuster. Con las tres sig$ientes l!neas' (ol(e dis%oni)les"
tcp tcp tcp 0 0 0 0 0,0,0,0:(* 0 0,0,0,0:'000 0 0,0,0,0:$0

os a esc$c&ar so)re todas las inter*aces

0,0,0,0:* 0,0,0,0:* 0,0,0,0:* LI T!" LI T!" LI T!"

?irando a /etc/services, podemos decir que el puerto @< es un servidor de tiempo. $l puerto -=== corresponde a A** y el .= es el estndar para los servidores B ! como 4pache. ;o hay nada extra)o aqu5 ya que estos son servicios normalmente disponibles en 3inux. 3os dos primeros nos son del tipo de servicios a los que te /ustar5a que al/uien se conectase. !or eso, deber5an ponerse detras de un cortafue/os para que todas las conexiones externas fueran recha9adas. #e nuevo, mirando la salida no podemos decir si existe al/n cortafue/os, y mucho menos si ha sido correctamente implementado. $l servidor >eb en el puerto .= no supone un /ran ries/o de se/uridad por s5 mismo. B ! es un protocolo que suele estar abierto para todos los visitantes. !or ejemplo, si queremos alojar nuestra propia p/ina >eb, 4pache puede hacerlo por nosotros. 4dems, es posible filtrarlo por cortafue/os para que puedan usarlo solamente nuestros clientes 34; como parte de una 'ntranet. ambin es obvio que si no tienes una buena ra9&n para ejecutar un servidor >eb, entonces lo mejor ser que lo deshabilites por completo. Las dos l!neas sig$ientes son interesantes"
tcp tcp 0 0 0 &+/,&'$,&,&:.( 0 &/*,0,0,&:.( 0,0,0,0:* 0,0,0,0:* LI T!" LI T!"

;&tese de nuevo que la Local Address no es la #.#.#.#. 6$so est bien8 $l puerto esta ve9 es el C@, o el puerto #;( utili9ado por los demonios servidores de nombres como na ed. !ero vemos que el demonio servidor de nombres est escuchando solamente por la interfa9 lo y por la interfa9 que conecta a bigcat con la red local. 4s5 pues, el :ernel s&lo permite conexiones del localhost y de la red local. $l puerto C@ no estar disponible para las conexiones externas. $ste es un buen ejemplo de c&mo puede confi/urarse, en ocasiones, la se/uridad para aplicaciones individuales. $n este caso, estamos probablemente utili9ando un servidor #;( de cach, ya que el servidor de nombres
))())

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

verdadero, que es responsable de la /esti&n de las consultas #;(, deber5a tener abierto el puerto C@ a todo el mundo. $ntonces ya estar5amos hablando de un ries/o de se/uridad que requiere una /esti&n especial. Las +lti
tcp tcp tcp

as tres entradas"
0 0 0 0 0,0,0,0:// 0 0,0,0,0:'(& 0 0,0,0,0:/. 0,0,0,0:* 0,0,0,0:* 0,0,0,0:* LI T!" LI T!" LI T!"

$stas de nuevo escuchan en todas las interfaces disponibles. $l puerto ,, es de sshd, el demonio servidor de Secure Shell. 6$so es una buena se)al8 0bsrvese que el servicio para el puerto -@* no tiene un nombre de servicio si miramos la salida del primer ejemplo. $sto nos da una pista de que al/o raro esta pasando aqu5. (?irar la si/uiente secci&n para resonder este eni/ma). 7 por ltimo, el puerto ,C, el puerto estndar para el demonio de correo (? !. 3a mayor5a de instalaciones 3inux probablemente tendrn un demonio (? ! corriendo, as5 que no es al/o tan raro. !ero, Des necesarioE El sig$iente gr$%o son las cone,iones esta)lecidas . !ara nuestros prop&sitos, el estado de la conexi&n indicado en la ltima columna no es tan importante. $so ya est bien explicado en la p/ina del manual.
tcp tcp tcp tcp tcp tcp tcp tcp tcp 0 0 0 0 & 0 -00 ''-$ ..( & & & 0 0 0 0 0 0 &'+,/.-,&*+,&(+:&&*&'+,/.-,&*+,&(+:&&*. &'+,/.-,&*+,&(+:&&*( &'+,/.-,&*+,&(+:&&*/ &'+,/.-,&*+,&(+:&&++ &'+,/.-,&*+,&(+:$0 &/*,0,0,&:&&./ &/*,0,0,&:&&'/ &/*,0,0,&:&&''-,&./,&00,+(:&&+ '-,&./,&00,+(:&&+ '-,&./,&00,+(:&&+ /0*,&.(,/0(,&&-:$0 /&',/',&/+,&(':$0 '(,/(',+/,&--:(-&+* &/*,0,0,&:$000 &/*,0,0,&:$000 &/*,0,0,&:$000 0"1 !"T 0"1 !"T 0"1 !"T ! TA2LI 3!4 CL6 !17AIT TIM!17AIT CL6 !17AIT CL6 !17AIT CL6 !17AIT

4qu tenemos nueve conexiones en total. 3as tres primeras corresponden a nuestra interfa9 externa conectndose a un puerto remoto en su puerto **+, el puerto estndar de las ne>s (;; !). 4qu5 vemos tres conexiones con el mismo servidor de ne>s. 4parentemente la aplicaci&n es multiFhebra, ya que est intentando abrir mltiples conexiones con el servidor. 3as dos entradas si/uientes corresponden a conexiones a un servidor >eb remoto, como indica el puerto .= de la quinta columna. !robablementeuna entrada muy comn para la mayor5a de nosotros. !ero la l5nea si/uiente est invertida y tiene el puerto .= en la cuarta columna, lo que quiere decir que al/uien se ha conectado al servidor >eb de bigcat via su interfa9 externa, la cara que da a 'nternet. 3as tres ltimas entradas son todas conexiones del localhost al localhost. 0 sea, que aqu5 nos estamos conectando a nosotros mismos. (i recordamos que el puerto .=== es el proxy >eb de bigcat, podemos decir que tenemos un nave/ador conectado localmente al proxy. $l proxy abrir despus una conexi&n externa consi/o mismo, que es probablemente lo que esta sucediendo con las l5neas cuatro y cinco.

))-))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

!uesto que indicamos las opciones -t y -$ en el comando netstat, hemos obtenido las conexiones C! y "#!. Las +lti
udp udp udp udp

as l!neas son las corres%ondientes a UDP"

0 0 0 0 0 0 0 0 0,0,0,0:(/*'$ &+/,&'$,&,&:.( &/*,0,0,&:.( 0,0,0,0:'(& 0,0,0,0:* 0,0,0,0:* 0,0,0,0:* 0,0,0,0:*

3as tres ltimas entradas tienen puertos que nos resultan familiares por lo dicho anteriormente. (on servidores que estn escuchando para conexiones C! y "#!. $n este caso, los mismos servidores utili9ando dos protocolos diferentes. $l primero, el puerto @,-<. es nuevo, y no tiene un nombre de servicio asociado en /etc/services. 4s5 pues, a primera vista podr5a ser sospechoso y nos podr5a picar la curiosidad. Gase la explicaci&n de la secci&n si/uiente. D!odemos extraer al/una conclusi&n de esta situaci&n hipotticaE !ara la mayor5a, estos servicios y conexiones parecen bastantes normales en 3inux. ;o parece haber un nmero excesivo de servicios corriendo, pero eso no si/nifica mucho porque no sabemos si todos esos servicios son realmente necesarios o no. (abemos que netstat no puede decirnos si al/uno de esos servicios est efica9mente filtrado por un cortafue/os, as5 que no hay modo de conocer hasta donde lle/a nuestra se/uridad. 4dems no sabemos realmente si todos los servicios a la escucha son verdaderamente necesarios. $sto es al/o que var5a bastante de una instalaci&n a otra. !or ejemplo, Dtiene bigcat una impresora conectadaE 4parentemente s5, o sino estar5a corriendo un ries/o completamente innecesario. -.- PROPIETARIOS DE PUERTOS . PROCESOS $n la secci&n anterior, hemos aprendido mucho de lo que est pasando en las tareas de red de bigcat. !ero supon/amos que vemos al/o que no somos capaces de reconocer y queremos saber quin arranc& ese servicio en particular. 0 que queremos detener un servicio en particular y, solo mirando la salida del netstat, no tenemos claro cul es. 3a opci&n -% nos da el !'# del proceso y el nombre del pro/rama que arranc& el proceso en la ltima columna. $chemos un vista9o a los servicios C! de nuevo (para /anar espacio, se han suprimido las tres primeras columnas). endremos que ejecutar el comando como root para obtener toda la informaci&n disponible%
8 netstat )tap Active Internet connections (servers and established) Local Address 9orei#n Address tate *:printer *:* LI T!" bi#cat:$000 *:* LI T!" *:time *:* LI T!" *:%&& *:* LI T!" *:http *:* LI T!" bi#cat:domain *:* LI T!" bi#cat:domain *:* LI T!" *:ssh *:* LI T!" *:'(& *:* LI T!" *:smtp *:* LI T!"

:I4;:ro#ram name +$$;inetd &0'-;<un=buster +$$;inetd &-'/;> &0*$;httpd +.';named +.';named +*/;sshd &(&.;cupsd &0.&;master

)).))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

(obre esto, ya conocemos al/o. !ero vemos ahora que el demonio de la impresora, en el puerto C*C, est siendo iniciado via inetd con un !'# de +... inetd es una situaci&n especial. 4 inetd se le conoce como el s$%er ser(idor, debido a que es su funci&n principal es crear subFservicios. (i miramos la primera l5nea, inetd est escuchando en el puerto C*C para servicios de impresora. (i una conexi&n viene para este puerto, inetd la intercepta y lue/o /enera el demonio apropiado, como el demonio de impresora en este caso. 3a confi/uraci&n que indica a inetd c&mo manejar todo esto suele estar en /etc/inetd.conf. 4s5 es que si queremos detener un servicio controlado por inetd , entonces deberemos escarbar en la confi/uraci&n de inetd (o qui9 la de xinetd). 4dems, el servicio ti e tambin ha sido iniciado via inetd. $so nos dice que estos dos servicios pueden ser prote/idos tambin por tcp>rappers, lo que supone uno de los beneficios de utili9ar inetd para controlar ciertos servicios de sistema.
tcpwrapper: una aplicaci&n para seguridad en 'nternet (ue permite a los usuarios desacti)ar ciertos programas (ue exponen a los sistemas ante tr*+ico poco seguro de 'nternet, adem*s de reali-ar prue.as para )eri+icar los cam.ios. El tcpwrapper (tcpd) )iene ya incluido en algunas distri.uciones de /inux.

;o estbamos se/uros del servicio que utili9aba el puerto -@* porque no ten5amos un nombre de servicio estndar, lo que quiere decir que posiblemente hay al/o que no es normal o que est fuera de lu/ar. 4hora vemos que pertenece a c$%sd, que es uno de los diferentes demonios de impresi&n disponibles en 3inux. $ste parece ser la interfa9 >eb para controlar el servicio de impresora. $l demonio c$%sd es, de hecho, un poco diferente de otros servicios de impresi&n. 3a ltima entrada pertenece al servidor de correo (? ! de bigcat. $n muchas distribuciones, ste suele ser send ail. !ero no es el caso. $l comando es aster, que a lo mejor no nos suena de nada. Como tenemos el nombre del pro/rama, podr5amos buscar en el sistema de ficheros utili9ando herramientas como los comandos locate o *ind. "na ve9 encontrado, podr5amos averi/uar a qu paquete pertenece. !ero con el !'# disponible, podemos observar la salida de %s y ver si nos puede servir de ayuda%
? ;bin;ps a% @#rep &0.& @#rep )v #rep &0.& A 0:/- ;usr;libe%ec;postfi%;master

4qu5 hemos tomado un atajo combinando %s con gre%. !arece que el fichero pertenece a %ost*i,, que es, efectivamente, un paquete servidor de correo similar a send ail.

))'))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

$jecutar %s con la opci&n !!forest (o la opci&n corta Ff ) nos puede ayudar a determinar qu procesos son padres o hijos de otro proceso. Be aqu5 un ejemplo%
? ;bin;ps )a%f +.' A +.* A +.$ A +.+ A +'0 A +'& A &0.& A &*0( A &*0- A &+.. A &$'( A /0-( A /0-+ A /0'/ A

0:00 named )u named 0:00 B1 named )u named 0:-' B1 named )u named 0:-* B1 named )u named 0:00 B1 named )u named 0:&& B1 named )u named 0:(0 ;usr;libe%ec;postfi%;master 0:00 B1 tlsm#r )l )t fifo )u )c 0:00 B1 Cm#r )l )t fifo )u )c 0:00 B1 pic=up )l )t fifo )c 0:00 B1 trivial)re5rite )n re5rite )t uni% )u )c 0:00 B1 cleanup )t uni% )u )c 0:00 B1 local )t uni% 0:00 B1 smtpd )n smtp )t inet )u )c

4qu5 tenemos un par de cosas que rese)ar. 4hora tenemos dos demonios conocidos% na ed y %ost*i, (s t%d). 4mbos son subFprocesos /eneradores. $n el caso de na ed, lo que vemos son hebras, varios subFprocesos que siempre /eneran. Post*i, tambin est /enerando subFprocesos, bero no como 1hebras2. Cada subproceso posee su propia tarea espec5fica. Gale la pena hacer notar que los procesos hijos dependen de sus procesos padre. $ntonces, matando el !'# padre, mataremos todos los procesos hijos. (i todo esto no ha arrojado mucha lu9, podemos intentarlo con el comando locate%
? locate ;master ;etc;postfi%;master,cf ;var;spool;postfi%;pid;master,pid ;usr;libe%ec;postfi%;master ;usr;share;vim;sDnta%;master,vim ;usr;share;vim;vim'0E;sDnta%;master,vim ;usr;share;doc;postfi%)/00&0/0/;html;master,$,html ;usr;share;doc;postfi%)/00&0/0/;master,cf ;usr;share;man;man$;master,$,#E

*ind es, posiblemente, la utilidad de bsqueda de ficheros ms flexible, pero no utili9a una base de datos como lo hace locate, as5 que es mucho ms lento%
? find ; )name master ;usr;libe%ec;postfi%;master

(i lso* est instalado, es otro comando til para encontrar quin es propietario de los procesos o los puertos%
8 lsof )i :'(& C6MMA"4 :I4 F !G cupsd &(&. root 94 0u T0:! 4!HIC! I:v(*(II! "64! "AM! TC: *:'(& (LI T!")

))*))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

$sto nos dice otra ve9 que el demonio de impresi&n c$%sd es propietario del puerto -@*, s&lo que hemos utili9ado otro modo de averi/uarlo. 7 todav5a existe otra forma de hacerlo con *$ser, que deber5a estar instalado%
8 fuser )v )n tcp '(& '(&;tcp F !G root :I4 &(&. ACC! f,,,, C6MMA"4 cupsd

Ger las p/inas de manual para la sintaxis de los comandos *$ser y lso*. 0tro sitio donde para buscar d&nde ha sido iniciado un servicio es en el directorio init.d, en el cual residen los scripts init (en sistemas (ys Ginit). 4l/o como ls -l /etc/init.d nos podr5a mostrar una lista de ellos. Heneralmente, el propio nombre del script nos da una pista de qu servicio(s) inicia, aunque no tiene por qu coincidir exactamente con el 1;ombre de !ro/rama2 proporcionado por netstat. 0 podemos utili9ar gre% para buscar dentro de los ficheros mediante un patr&n de bsqueda. D;ecesitamos encontrar d&nde se est iniciando r%c.statd y no vemos un script con ese nombreE
8 #rep rpc,statd ;etc;init,d;* ;etc;init,d;nfsloc=: J )% ;sbin;rpc,statd K @@ e%it 0 ;etc;init,d;nfsloc=: daemon rpc,statd ;etc;init,d;nfsloc=: =illproc rpc,statd ;etc;init,d;nfsloc=: status rpc,statd ;etc;init,d;nfsloc=: ;sbin;pidof rpc,statd L;dev;null /LM&N

TAT4OP?AP

$n realidad, no necesitbamos toda esa informaci&n, pero al menos ahora vemos exactamente qu script lo est iniciando. Iecordemos tambin que no todos los servicios se inician de esta manera. 4l/unos pueden ser iniciados mediante inetd, o ,inetd. $l sistema de ficheros /proc /uarda, adems, todo lo que queremos saber sobre los procesos que se estn ejecutando. !odemos pre/untrselo para obtener ms informaci&n de cada proceso. D;ecesitas saber la ruta absoluta del comando que inici& un procesoE
8 ls )l ;proc;&(&.;e%e lr5%r5%r5% & root root 0 QulD - &+:-& ;proc;&(&.;e%e )L ;usr;sbin;cupsd

!ara finali9ar, tenermos una o dos cabos sueltos en los servicios "#! a la escucha. Iecordemos que tenemos un extra)o nmero de puerto, el @,<-., que adems no tiene un nombre de servicio asociado%
8 netstat )aup Active Internet connections (servers and established) Local Address 9orei#n Address tate *:(/*'$ *:* bi#cat:domain *:* bi#cat:domain *:* *:'(& *:*

:I4;:ro#ram name +.';named +.';named +.';named &(&.;cupsd

4hora, incluyendo el 1!'#J;ombre de !ro/rama2 con la opci&n -%, vemos que ste pertenece a na ed, el demonio servidor de nombres. Gersiones recientes de K';# utili9an un puerto sin privile/ios para cierto tipo de trfico. $n este caso, es la versi&n K';# +.x. 0 sea, que no tenemos por qu preocuparnos. 4qu5, el puerto sin privile/ios es
))$))

Ciclo formativo: Administracin de Sistemas Informticos Mdulo: Redes de rea Local Tutorial de netstat

el que na ed utili9a para hablar con otros servidores de nombres para bsquedas de nombres y direcciones, y no deber5a estar filtrado por cortafue/os. !or tanto, no encontramos /randes sorpresas en esta situaci&n hipottica. (i todo esto falla, y no puedes encontrar el propietario de un proceso para un puerto abierto, piensa que puede ser un servicio I!C (Iemote !rocedure Call) de al/n tipo. $stos usan puertos asi/nados aleatoriamente sin nin/n si/nificado l&/ico ni coherencia, y son normalmente controlados por el demonio %ort a%. $n al/unos casos, pueden no revelar el proceso propietario mediante netstat o lso*. !odemos intentar detener %ort a%, y lue/o mirar si el misterioso servicio ha desaparecido. 0 podemos utili9ar r%cin*o -% local&ost para ver cules servicios I!C estn corriendo (%ort a% debe estar ejecutndose para que esto funcione). NOTA (i sospechas que al/uien entr& en tu sistema, no conf5es en la salida de netstat ni en la de %s. $s muy posible que stos, y otros componentes del sistema, hayan sido 1for9ados2 de modo que su salida no es fiable.

FIN

))+))