Hola

Estoy intentando aprender a monitorizar un poco lo que pasa en mi pc, pero hay algunas cosas que no me acaban de cuadrar y me iría bien si alguien me puede ayudar a interpretarlo. He capturado la salida de netstat -no antes y después de ejecutar firefox (abriendo sólo como página de inicio www.google.es (http://www.google.es)) i también un tasklist con el firefox ejecutándose para intentar ver quién es el causante de cada conexión.
Aquí están los resultadaos:

Antes de ejecutar el firefox:


Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1048
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 1928
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING 2580
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 2172
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 2116
TCP 192.168.1.100:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 816
UDP 0.0.0.0:1025 *:* 1184
UDP 0.0.0.0:4500 *:* 816
UDP 127.0.0.1:123 *:* 1132
UDP 127.0.0.1:1900 *:* 1300
UDP 192.168.1.100:123 *:* 1132
UDP 192.168.1.100:137 *:* 4
UDP 192.168.1.100:138 *:* 4
UDP 192.168.1.100:1900 *:* 1300

Después de ejecutar el firefox:


Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1048
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 1928
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING 2580
TCP 127.0.0.1:1049 127.0.0.1:1050 ESTABLISHED 3604
TCP 127.0.0.1:1050 127.0.0.1:1049 ESTABLISHED 3604
TCP 127.0.0.1:1051 127.0.0.1:1052 ESTABLISHED 3604
TCP 127.0.0.1:1052 127.0.0.1:1051 ESTABLISHED 3604
TCP 127.0.0.1:1053 127.0.0.1:12080 ESTABLISHED 3604
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 2172
TCP 127.0.0.1:12080 127.0.0.1:1053 ESTABLISHED 2172
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 2116
TCP 192.168.1.100:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.100:1054 66.249.93.99:80 ESTABLISHED 2172
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 816
UDP 0.0.0.0:1025 *:* 1184
UDP 0.0.0.0:4500 *:* 816
UDP 127.0.0.1:123 *:* 1132
UDP 127.0.0.1:1900 *:* 1300
UDP 192.168.1.100:123 *:* 1132
UDP 192.168.1.100:137 *:* 4
UDP 192.168.1.100:138 *:* 4
UDP 192.168.1.100:1900 *:* 1300
Processos después de ejecutar el firefox:


Nombre de imagen PID Nombre de sesi¢n N£m. de Uso de memor
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 KB
System 4 Console 0 220 KB
smss.exe 644 Console 0 372 KB
csrss.exe 736 Console 0 3.696 KB
winlogon.exe 760 Console 0 3.828 KB
services.exe 804 Console 0 4.072 KB
lsass.exe 816 Console 0 1.596 KB
svchost.exe 972 Console 0 4.620 KB
svchost.exe 1048 Console 0 4.008 KB
svchost.exe 1132 Console 0 17.916 KB
svchost.exe 1184 Console 0 3.120 KB
svchost.exe 1300 Console 0 4.280 KB
vsmon.exe 1352 Console 0 22.992 KB
aswUpdSv.exe 1612 Console 0 196 KB
ashServ.exe 1660 Console 0 15.032 KB
LEXBCES.EXE 1884 Console 0 3.412 KB
spoolsv.exe 1920 Console 0 5.684 KB
LEXPPS.EXE 1928 Console 0 3.072 KB
guard.exe 2044 Console 0 1.356 KB
svchost.exe 264 Console 0 4.464 KB
wdfmgr.exe 344 Console 0 1.684 KB
explorer.exe 1336 Console 0 17.764 KB
ashDisp.exe 1572 Console 0 1.200 KB
zlclient.exe 1724 Console 0 5.140 KB
ashMaiSv.exe 2116 Console 0 840 KB
ashWebSv.exe 2172 Console 0 6.304 KB
alg.exe 2580 Console 0 3.404 KB
cmd.exe 3480 Console 0 2.880 KB
firefox.exe 3604 Console 0 21.884 KB
tasklist.exe 3744 Console 0 4.316 KB
wmiprvse.exe 3784 Console 0 5.572 KB
Con todo esto veo que el firefox (3604) tiene abiertas 5 conexiones:

TCP 127.0.0.1:1049 127.0.0.1:1050 ESTABLISHED 3604
TCP 127.0.0.1:1050 127.0.0.1:1049 ESTABLISHED 3604
TCP 127.0.0.1:1051 127.0.0.1:1052 ESTABLISHED 3604
TCP 127.0.0.1:1052 127.0.0.1:1051 ESTABLISHED 3604
TCP 127.0.0.1:1053 127.0.0.1:12080 ESTABLISHED 3604La única que creo entender es la que va al puerto 12080 ya que hay otra conexión en sentido contrario que utiliza el ashWebSv.exe (del avast) i que entiendo que me conecto a las webs a través del avast:

TCP 127.0.0.1:12080 127.0.0.1:1053 ESTABLISHED 2172y más abajo

TCP 192.168.1.100:1054 66.249.93.99:80 ESTABLISHED 2172Alguien puede explicar que pueden hacer los otros 2 pares de conexiones (1049-1050 y 1051-1052)? Y algún otro comentario o sugerencia sobre estos resultados o para iniciarse en la monitorización?

Muchas Gracias por vuestra atención

Yo lo que recomiendo es eliminar todos los servicios posibles antes de investigar las conexiones de un programa determinado. Aunque netstat nos puede decir qué programa es el responsable de una conexión, creo que es más sencillo ver a tiempo real lo que sucede de una forma más clara.

Los pares de conexiones que aparecen no deben preocuparte demasiado (si es que el motivo del análisis es la preocupación por la seguridad), ya que son comunicaciones internas que se producen en la dirección de loopback (por eso son del tipo 127.0.0.1:puerto)

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Hola

Muchas gracias por responder.
Efectivamente, el motivo del análisis es la preocupación por la seguridad, aunque más a largo plazo que a corto plazo. Mi objetivo es intentar comprender lo que sucede en el ordenador y ser capaz de analizarlo. De esta manera, es más fácil detectar anomalías, y es el principio y la base de una buena seguridad. Estoy haciendo el anàlisis para empezar a aprender en este largo camino.

Por otra parte, otra cosa que me ha llamado la atención es que, al repetir lo mismo con el iexplore.exe sólo me han salido 2 conexiones asociadas a él.
Como decía antes, yo intento explicar las conexiones al puerto 12080 ya que se me relaciona con el ashWebSv.exe (del avast). Pero los otros dos pares de connexiones a localhost causados los 2 por el firefox no se me ocurre ninguna idea de lo que pueden hacer. Aunque con el simple resultado del netstat no se puede saber, alguien puede explicar posibles motivos que hacen que el firefox abra estas conexiones (con ideas generales)?

Muchas gracias por vuestro interés

Saludos

No sé decirte, porque yo de la programación de firefox no sé nada. Pero cualquier función puede abrir un socket, un puerto o simplemente un fichero si necesita brindar datos a otra función de la aplicación o incluso a otra aplicación. Por ejemplo, últimamente están muy de moda las interfaces web de administración, pero eso no quiere decir que usen el puerto 80, simplemente abren otro puerto y el cliente de la interfaz se conecta a él, pero todo esto a nivel local, ni siquiera en la red privada o lan, sino en la dirección de loopback.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Buenas! Eso que dice j8 es cierto, las aplicaciones en un mismo sistema pueden comunicarse entre sí mediante sockets, aunque yo nunca he usado un socket localmente, (si no es para hacer pruebas) para comunicar dos o más aplicaciones en un sistema, siempre lo he hecho mediante ficheros y handles.

Como bien te ha dicho mi compañero, no debe preocuparte eso.

Saludos

Hola

Muchas gracias por vuestros comentarios.
Ahora estoy haciendo pruebas con un ubuntu, y tras realizar el comando netstat -napt obtengo el siguiente resultado:


Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:2207 0.0.0.0:* LISTEN -
tcp 0 0 192.168.1.102:52229 207.46.110.70:1863 ESTABLISHED5187/gaim

He mirado en /etc/services i no tengo ninguna entrada para los puertos que están escuchando. Entiendo que son servicios locales y que no debería preocuparme por la seguridad, pero cómo puedo saber qué demonio ha abierto dichas connexiones?

Saludos y de nuevo, muchas gracias por vuestra ayuda

Mira tu nivel de ejecución con el comando `runlevel`

Luego entra en el directorio en el que se encuentran los enlaces simbólicos a los servicios que han de iniciarse en ese nivel de ejecución.

Por ejemplo, si estás en el nivel de ejecución 2, has de ir al directorio /etc/rc2.d/

Ésos son los servicios en ejecución.

Puedes parar cualquiera de ellos mediante el comando
`/etc/init.d/SERVICIO stop`

Por ejemplo, para para el servicio "lpd" que veo que lo tienes activado (servicio de impresora, puerto 631), tendrías que hacer:
`/etc/init.d/lpd stop`

Y luego comprobar que efectivamente el servicio deja de estar a la escucha:
`netstat -atpn | grep 631`

Puedes ver todos los programas que se están ejecutando mediante el comando `ps ax`

Salu2

Hola j8k6f4v9j

Muchas gracias por tu pronta respuesta, como siempre...

Entrando en /etc/rc2.d/ he visto los scripts que se ejecutan en el inicio, aunque desde aquí no veía los puertos que usan. Mirando el contenido de S19cupsys he visto que apuntaba a cupsd. Luego he encontrado el directorio /etc/cups en el que había el archivo de configuración y dentro se podía ver que estaba escuchando el puerto 631 en localhost. En lugar de usar el servicio lpd para la impresión utilizo (con la instalación por defecto) el cupsd, así que ya coincide con lo que me has dicho.

Luego me he ído directamente a /etc i he puesto a buscar los otros números de puerto con el siguiente comando:
grep -R num_puerto .

Y he encontrado el archivo /etc/hp/hplip.conf en el que salen ambos números de puerto.

Lo que no entiendo es porqué me lo instala por defecto, si por lo que he encontrado esto tiene que ver con las impresoras, faxes, escáneres de hp, y yo no tengo nada que sea hp... pero bueno.

Muchas gracias por tu ayuda

Saludos

A mí tampoco me gusta, pero hay que comprender que es muy útil para alguien que, llegando nuevo a debian, quiera usar los servicios de impresión.

De todas formas, quitar un servicio permanentemente es tan sencillo como hacer:


update-rc.d -f cupsys remove

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad: