Resultados 1 al 9 de 9

Tema: interpretar resultado netstat

  1. #1 interpretar resultado netstat 
    Iniciado
    Fecha de ingreso
    Apr 2007
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Hola

    Estoy intentando aprender a monitorizar un poco lo que pasa en mi pc, pero hay algunas cosas que no me acaban de cuadrar y me iría bien si alguien me puede ayudar a interpretarlo. He capturado la salida de netstat -no antes y después de ejecutar firefox (abriendo sólo como página de inicio www.google.es) i también un tasklist con el firefox ejecutándose para intentar ver quién es el causante de cada conexión.
    Aquí están los resultadaos:

    Antes de ejecutar el firefox:

    Código:
    Conexiones activas
    
    Proto  Direcci¢n local          Direcci¢n remota        Estado           PID
     TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1048
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1928
      TCP    127.0.0.1:1030         0.0.0.0:0              LISTENING       2580
      TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12080        0.0.0.0:0              LISTENING       2172
      TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       2116
      TCP    192.168.1.100:139      0.0.0.0:0              LISTENING       4
      UDP    0.0.0.0:445            *:*                                    4
      UDP    0.0.0.0:500            *:*                                    816
      UDP    0.0.0.0:1025           *:*                                    1184
      UDP    0.0.0.0:4500           *:*                                    816
      UDP    127.0.0.1:123          *:*                                    1132
      UDP    127.0.0.1:1900         *:*                                    1300
      UDP    192.168.1.100:123      *:*                                    1132
      UDP    192.168.1.100:137      *:*                                    4
      UDP    192.168.1.100:138      *:*                                    4
      UDP    192.168.1.100:1900     *:*                                    1300
    Después de ejecutar el firefox:

    Código:
     Conexiones activas
    
      Proto  Direcci¢n local          Direcci¢n remota        Estado           PID
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1048
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1928
      TCP    127.0.0.1:1030         0.0.0.0:0              LISTENING       2580
      TCP    127.0.0.1:1049         127.0.0.1:1050         ESTABLISHED     3604
      TCP    127.0.0.1:1050         127.0.0.1:1049         ESTABLISHED     3604
      TCP    127.0.0.1:1051         127.0.0.1:1052         ESTABLISHED     3604
      TCP    127.0.0.1:1052         127.0.0.1:1051         ESTABLISHED     3604
      TCP    127.0.0.1:1053         127.0.0.1:12080        ESTABLISHED     3604
      TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12080        0.0.0.0:0              LISTENING       2172
      TCP    127.0.0.1:12080        127.0.0.1:1053         ESTABLISHED     2172
      TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       2116
      TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       2116
      TCP    192.168.1.100:139      0.0.0.0:0              LISTENING       4
      TCP    192.168.1.100:1054     66.249.93.99:80        ESTABLISHED     2172
      UDP    0.0.0.0:445            *:*                                    4
      UDP    0.0.0.0:500            *:*                                    816
      UDP    0.0.0.0:1025           *:*                                    1184
      UDP    0.0.0.0:4500           *:*                                    816
      UDP    127.0.0.1:123          *:*                                    1132
      UDP    127.0.0.1:1900         *:*                                    1300
      UDP    192.168.1.100:123      *:*                                    1132
      UDP    192.168.1.100:137      *:*                                    4
      UDP    192.168.1.100:138      *:*                                    4
      UDP    192.168.1.100:1900     *:*                                    1300
    Processos después de ejecutar el firefox:

    Código:
     Nombre de imagen             PID Nombre de sesi¢n N£m. de  Uso de memor
    ========================= ====== ================ ======== ============
    System Idle Process            0 Console                 0        16 KB
    System                         4 Console                 0       220 KB
    smss.exe                     644 Console                 0       372 KB
    csrss.exe                    736 Console                 0     3.696 KB
    winlogon.exe                 760 Console                 0     3.828 KB
    services.exe                 804 Console                 0     4.072 KB
    lsass.exe                    816 Console                 0     1.596 KB
    svchost.exe                  972 Console                 0     4.620 KB
    svchost.exe                 1048 Console                 0     4.008 KB
    svchost.exe                 1132 Console                 0    17.916 KB
    svchost.exe                 1184 Console                 0     3.120 KB
    svchost.exe                 1300 Console                 0     4.280 KB
    vsmon.exe                   1352 Console                 0    22.992 KB
    aswUpdSv.exe                1612 Console                 0       196 KB
    ashServ.exe                 1660 Console                 0    15.032 KB
    LEXBCES.EXE                 1884 Console                 0     3.412 KB
    spoolsv.exe                 1920 Console                 0     5.684 KB
    LEXPPS.EXE                  1928 Console                 0     3.072 KB
    guard.exe                   2044 Console                 0     1.356 KB
    svchost.exe                  264 Console                 0     4.464 KB
    wdfmgr.exe                   344 Console                 0     1.684 KB
    explorer.exe                1336 Console                 0    17.764 KB
    ashDisp.exe                 1572 Console                 0     1.200 KB
    zlclient.exe                1724 Console                 0     5.140 KB
    ashMaiSv.exe                2116 Console                 0       840 KB
    ashWebSv.exe                2172 Console                 0     6.304 KB
    alg.exe                     2580 Console                 0     3.404 KB
    cmd.exe                     3480 Console                 0     2.880 KB
    firefox.exe                 3604 Console                 0    21.884 KB
    tasklist.exe                3744 Console                 0     4.316 KB
    wmiprvse.exe                3784 Console                 0     5.572 KB
    Con todo esto veo que el firefox (3604) tiene abiertas 5 conexiones:
    Código:
       TCP    127.0.0.1:1049         127.0.0.1:1050         ESTABLISHED     3604
      TCP    127.0.0.1:1050         127.0.0.1:1049         ESTABLISHED     3604
      TCP    127.0.0.1:1051         127.0.0.1:1052         ESTABLISHED     3604
      TCP    127.0.0.1:1052         127.0.0.1:1051         ESTABLISHED     3604
      TCP    127.0.0.1:1053         127.0.0.1:12080        ESTABLISHED     3604
    La única que creo entender es la que va al puerto 12080 ya que hay otra conexión en sentido contrario que utiliza el ashWebSv.exe (del avast) i que entiendo que me conecto a las webs a través del avast:
    Código:
      TCP    127.0.0.1:12080        127.0.0.1:1053         ESTABLISHED     2172
    y más abajo
    Código:
     TCP    192.168.1.100:1054     66.249.93.99:80        ESTABLISHED     2172
    Alguien puede explicar que pueden hacer los otros 2 pares de conexiones (1049-1050 y 1051-1052)? Y algún otro comentario o sugerencia sobre estos resultados o para iniciarse en la monitorización?

    Muchas Gracias por vuestra atención
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Yo lo que recomiendo es eliminar todos los servicios posibles antes de investigar las conexiones de un programa determinado. Aunque netstat nos puede decir qué programa es el responsable de una conexión, creo que es más sencillo ver a tiempo real lo que sucede de una forma más clara.

    Los pares de conexiones que aparecen no deben preocuparte demasiado (si es que el motivo del análisis es la preocupación por la seguridad), ya que son comunicaciones internas que se producen en la dirección de loopback (por eso son del tipo 127.0.0.1:puerto)

    Salu2


    Keep on Rollin' :mad:
    Última edición por j8k6f4v9j; 19-09-2007 a las 19:57

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Apr 2007
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Hola

    Muchas gracias por responder.
    Efectivamente, el motivo del análisis es la preocupación por la seguridad, aunque más a largo plazo que a corto plazo. Mi objetivo es intentar comprender lo que sucede en el ordenador y ser capaz de analizarlo. De esta manera, es más fácil detectar anomalías, y es el principio y la base de una buena seguridad. Estoy haciendo el anàlisis para empezar a aprender en este largo camino.

    Por otra parte, otra cosa que me ha llamado la atención es que, al repetir lo mismo con el iexplore.exe sólo me han salido 2 conexiones asociadas a él.
    Como decía antes, yo intento explicar las conexiones al puerto 12080 ya que se me relaciona con el ashWebSv.exe (del avast). Pero los otros dos pares de connexiones a localhost causados los 2 por el firefox no se me ocurre ninguna idea de lo que pueden hacer. Aunque con el simple resultado del netstat no se puede saber, alguien puede explicar posibles motivos que hacen que el firefox abra estas conexiones (con ideas generales)?

    Muchas gracias por vuestro interés

    Saludos
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    No sé decirte, porque yo de la programación de firefox no sé nada. Pero cualquier función puede abrir un socket, un puerto o simplemente un fichero si necesita brindar datos a otra función de la aplicación o incluso a otra aplicación. Por ejemplo, últimamente están muy de moda las interfaces web de administración, pero eso no quiere decir que usen el puerto 80, simplemente abren otro puerto y el cliente de la interfaz se conecta a él, pero todo esto a nivel local, ni siquiera en la red privada o lan, sino en la dirección de loopback.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  5. #5  
    Moderador Global Avatar de hystd
    Fecha de ingreso
    Jul 2005
    Ubicación
    1, 11, 21, 1211...
    Mensajes
    1.596
    Descargas
    58
    Uploads
    0
    Buenas! Eso que dice j8 es cierto, las aplicaciones en un mismo sistema pueden comunicarse entre sí mediante sockets, aunque yo nunca he usado un socket localmente, (si no es para hacer pruebas) para comunicar dos o más aplicaciones en un sistema, siempre lo he hecho mediante ficheros y handles.

    Como bien te ha dicho mi compañero, no debe preocuparte eso.

    Saludos
    Última edición por hystd; 20-09-2007 a las 04:45
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Apr 2007
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Hola

    Muchas gracias por vuestros comentarios.
    Ahora estoy haciendo pruebas con un ubuntu, y tras realizar el comando netstat -napt obtengo el siguiente resultado:

    Código:
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
    tcp        0      0 127.0.0.1:2208          0.0.0.0:*               LISTEN     -                   
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     -                   
    tcp        0      0 127.0.0.1:2207          0.0.0.0:*               LISTEN     -                   
    tcp        0      0 192.168.1.102:52229     207.46.110.70:1863      ESTABLISHED5187/gaim
    He mirado en /etc/services i no tengo ninguna entrada para los puertos que están escuchando. Entiendo que son servicios locales y que no debería preocuparme por la seguridad, pero cómo puedo saber qué demonio ha abierto dichas connexiones?

    Saludos y de nuevo, muchas gracias por vuestra ayuda
    Citar  
     

  7. #7  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Mira tu nivel de ejecución con el comando `runlevel`

    Luego entra en el directorio en el que se encuentran los enlaces simbólicos a los servicios que han de iniciarse en ese nivel de ejecución.

    Por ejemplo, si estás en el nivel de ejecución 2, has de ir al directorio /etc/rc2.d/

    Ésos son los servicios en ejecución.

    Puedes parar cualquiera de ellos mediante el comando
    `/etc/init.d/SERVICIO stop`

    Por ejemplo, para para el servicio "lpd" que veo que lo tienes activado (servicio de impresora, puerto 631), tendrías que hacer:
    `/etc/init.d/lpd stop`

    Y luego comprobar que efectivamente el servicio deja de estar a la escucha:
    `netstat -atpn | grep 631`

    Puedes ver todos los programas que se están ejecutando mediante el comando `ps ax`

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  8. #8  
    Iniciado
    Fecha de ingreso
    Apr 2007
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Hola j8k6f4v9j

    Muchas gracias por tu pronta respuesta, como siempre...

    Entrando en /etc/rc2.d/ he visto los scripts que se ejecutan en el inicio, aunque desde aquí no veía los puertos que usan. Mirando el contenido de S19cupsys he visto que apuntaba a cupsd. Luego he encontrado el directorio /etc/cups en el que había el archivo de configuración y dentro se podía ver que estaba escuchando el puerto 631 en localhost. En lugar de usar el servicio lpd para la impresión utilizo (con la instalación por defecto) el cupsd, así que ya coincide con lo que me has dicho.

    Luego me he ído directamente a /etc i he puesto a buscar los otros números de puerto con el siguiente comando:
    grep -R num_puerto .

    Y he encontrado el archivo /etc/hp/hplip.conf en el que salen ambos números de puerto.

    Lo que no entiendo es porqué me lo instala por defecto, si por lo que he encontrado esto tiene que ver con las impresoras, faxes, escáneres de hp, y yo no tengo nada que sea hp... pero bueno.

    Muchas gracias por tu ayuda

    Saludos
    Citar  
     

  9. #9  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    A mí tampoco me gusta, pero hay que comprender que es muy útil para alguien que, llegando nuevo a debian, quiera usar los servicios de impresión.

    De todas formas, quitar un servicio permanentemente es tan sencillo como hacer:

    Código:
    update-rc.d -f cupsys remove
    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Interpretar canciones propias también da dinero a la SGAE
    Por Grenuille en el foro CIBERACTIVISMO
    Respuestas: 21
    Último mensaje: 21-12-2006, 15:30
  2. ¿¿Netstat -na??
    Por pololi231 en el foro INTRUSION
    Respuestas: 8
    Último mensaje: 10-09-2006, 03:05
  3. Interpretar tcpdump
    Por srojas_cin en el foro LINUX - MAC - OTROS
    Respuestas: 4
    Último mensaje: 23-08-2006, 17:56
  4. chipeado sin resultado
    Por PEPOF en el foro TV CABLE
    Respuestas: 3
    Último mensaje: 30-12-2005, 01:48
  5. Netstat
    Por HUEY en el foro HACK HiSPANO
    Respuestas: 2
    Último mensaje: 26-01-2002, 12:50

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •