Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en Redes.
Presentan:
1
Seguridad en Redes 17 I Profesor: Mario Alberto Lagos Acosta
Pasos:
1.- Utilizar el comando netstat, observar las conexiones establecidas en el equipo local.
2.- Cmo podemos utilizar netstat para listar las conexiones establecidas por la aplicacin?
Uso de Netstat.
Es usado para proporcionar informacin acerca de las conexiones activas y puertos en los que la
computadora se encuentra escuchando (entre otros datos estadsticos de la red)
Derivado a que las conexiones regulares y normales estn asignadas a los puertos numricos bajos
y comunes, en general, cuando los puertos son ms altos estos son ms sospechosos.
Puertos Conocidos: Estos abarcan desde el puerto 0 al 1023 a estos estn atados los servicios ms
comunes (por ejemplo el correo est conectado en el puerto 25 TCP/UDP).
Puertos Registrados: Abarcan del 1024 al 49151. Aunque no todos estn atados a un servicio
particular estos estn usados normalmente por utilidades de red como el servidor FTP, los clientes
Email y estos lo hacen abriendo un puerto aleatorio dentro de este rango despus de comunicarse
con el servicio remoto por lo que estos se abren y cierran automticamente cuando el proceso que
est siendo ejecutado en el termina.
Dinmicos/Privados: Abarcan entre los puertos 49152 al 65535, muy raramente usados solo por
ciertos programas. Es por lo que es el rango usual de los Troyanos.
2
Seguridad en Redes 17 I Profesor: Mario Alberto Lagos Acosta
NETSTAT devuelve una serie de parmetros que indican el estado en que se encuentran las
conexiones, son los siguientes:
CLOSE_WAIT: La conexin sigue abierta, pero el otro extremo nos comunica que no se
continuar enviando informacin.
TIME_WAIT: La conexin ha sido cerrada, pero no se elimina de la tabla de conexin por si hay
algo pendiente de recibir.
Aunque varios sitios en la red brindan el servicio de detectar e informar sobre los puertos abiertos,
con NETSTAT lo podemos conocer fcilmente.
Si tienes sospechas de que en tu sistema tienes aplicaciones spyware (programas informticos que
espan informacin del usuario y la envan a un sitio en la red), puedes usar NETSTAT para
detectarlos.
Para eso salo de la siguiente forma inmediatamente despus de conectarte a internet, cualquiera
aplicacin que establezca conexin con un sitio remoto ser detectada y NETSTAT mostrar el PID
que le corresponde (identidad del proceso).
NETSTAT -BO 10
3
Seguridad en Redes 17 I Profesor: Mario Alberto Lagos Acosta
Estos mismos comando y combinaciones se pueden utilizar para la creacin de BATCH en dado
caso que debamos ejecutar estas actividades en varias ocasiones o en su defecto al inicializar
WINDOWS.
El siguiente BATCH (Figura 1), muestra todas las conexiones establecidas, los puertos, los PID y las
direcciones IP de origen de cada una. El programa refresca los datos cada 5 segundos.
:start
cls
NETSTAT -ANO -P TCP 04|FINDSTR /C:ESTABLISHED
ping -n 6 127.0.0.1>nul
goto start
4
Seguridad en Redes 17 I Profesor: Mario Alberto Lagos Acosta
Ver los puertos y conexiones establecidas: NETSTAT -ANO -P TCP 04|FINDSTR /C:ESTABLISHED