interpretar resultado netstat

**jordi25** · 19-09-2007, 16:53

Hola

Estoy intentando aprender a monitorizar un poco lo que pasa en mi pc, pero hay algunas cosas que no me acaban de cuadrar y me iría bien si alguien me puede ayudar a interpretarlo. He capturado la salida de netstat -no antes y después de ejecutar firefox (abriendo sólo como página de inicio www.google.es) i también un tasklist con el firefox ejecutándose para intentar ver quién es el causante de cada conexión.
Aquí están los resultadaos:

Antes de ejecutar el firefox:

Código:

Conexiones activas

Proto  Direcci¢n local          Direcci¢n remota        Estado           PID
 TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1048
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1928
  TCP    127.0.0.1:1030         0.0.0.0:0              LISTENING       2580
  TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12080        0.0.0.0:0              LISTENING       2172
  TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       2116
  TCP    192.168.1.100:139      0.0.0.0:0              LISTENING       4
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    816
  UDP    0.0.0.0:1025           *:*                                    1184
  UDP    0.0.0.0:4500           *:*                                    816
  UDP    127.0.0.1:123          *:*                                    1132
  UDP    127.0.0.1:1900         *:*                                    1300
  UDP    192.168.1.100:123      *:*                                    1132
  UDP    192.168.1.100:137      *:*                                    4
  UDP    192.168.1.100:138      *:*                                    4
  UDP    192.168.1.100:1900     *:*                                    1300

Después de ejecutar el firefox:

Código:

 Conexiones activas

  Proto  Direcci¢n local          Direcci¢n remota        Estado           PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1048
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       1928
  TCP    127.0.0.1:1030         0.0.0.0:0              LISTENING       2580
  TCP    127.0.0.1:1049         127.0.0.1:1050         ESTABLISHED     3604
  TCP    127.0.0.1:1050         127.0.0.1:1049         ESTABLISHED     3604
  TCP    127.0.0.1:1051         127.0.0.1:1052         ESTABLISHED     3604
  TCP    127.0.0.1:1052         127.0.0.1:1051         ESTABLISHED     3604
  TCP    127.0.0.1:1053         127.0.0.1:12080        ESTABLISHED     3604
  TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12080        0.0.0.0:0              LISTENING       2172
  TCP    127.0.0.1:12080        127.0.0.1:1053         ESTABLISHED     2172
  TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       2116
  TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       2116
  TCP    192.168.1.100:139      0.0.0.0:0              LISTENING       4
  TCP    192.168.1.100:1054     66.249.93.99:80        ESTABLISHED     2172
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    816
  UDP    0.0.0.0:1025           *:*                                    1184
  UDP    0.0.0.0:4500           *:*                                    816
  UDP    127.0.0.1:123          *:*                                    1132
  UDP    127.0.0.1:1900         *:*                                    1300
  UDP    192.168.1.100:123      *:*                                    1132
  UDP    192.168.1.100:137      *:*                                    4
  UDP    192.168.1.100:138      *:*                                    4
  UDP    192.168.1.100:1900     *:*                                    1300

Processos después de ejecutar el firefox:

Código:

 Nombre de imagen             PID Nombre de sesi¢n N£m. de  Uso de memor
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0        16 KB
System                         4 Console                 0       220 KB
smss.exe                     644 Console                 0       372 KB
csrss.exe                    736 Console                 0     3.696 KB
winlogon.exe                 760 Console                 0     3.828 KB
services.exe                 804 Console                 0     4.072 KB
lsass.exe                    816 Console                 0     1.596 KB
svchost.exe                  972 Console                 0     4.620 KB
svchost.exe                 1048 Console                 0     4.008 KB
svchost.exe                 1132 Console                 0    17.916 KB
svchost.exe                 1184 Console                 0     3.120 KB
svchost.exe                 1300 Console                 0     4.280 KB
vsmon.exe                   1352 Console                 0    22.992 KB
aswUpdSv.exe                1612 Console                 0       196 KB
ashServ.exe                 1660 Console                 0    15.032 KB
LEXBCES.EXE                 1884 Console                 0     3.412 KB
spoolsv.exe                 1920 Console                 0     5.684 KB
LEXPPS.EXE                  1928 Console                 0     3.072 KB
guard.exe                   2044 Console                 0     1.356 KB
svchost.exe                  264 Console                 0     4.464 KB
wdfmgr.exe                   344 Console                 0     1.684 KB
explorer.exe                1336 Console                 0    17.764 KB
ashDisp.exe                 1572 Console                 0     1.200 KB
zlclient.exe                1724 Console                 0     5.140 KB
ashMaiSv.exe                2116 Console                 0       840 KB
ashWebSv.exe                2172 Console                 0     6.304 KB
alg.exe                     2580 Console                 0     3.404 KB
cmd.exe                     3480 Console                 0     2.880 KB
firefox.exe                 3604 Console                 0    21.884 KB
tasklist.exe                3744 Console                 0     4.316 KB
wmiprvse.exe                3784 Console                 0     5.572 KB

Con todo esto veo que el firefox (3604) tiene abiertas 5 conexiones:

Código:

   TCP    127.0.0.1:1049         127.0.0.1:1050         ESTABLISHED     3604
  TCP    127.0.0.1:1050         127.0.0.1:1049         ESTABLISHED     3604
  TCP    127.0.0.1:1051         127.0.0.1:1052         ESTABLISHED     3604
  TCP    127.0.0.1:1052         127.0.0.1:1051         ESTABLISHED     3604
  TCP    127.0.0.1:1053         127.0.0.1:12080        ESTABLISHED     3604

La única que creo entender es la que va al puerto 12080 ya que hay otra conexión en sentido contrario que utiliza el ashWebSv.exe (del avast) i que entiendo que me conecto a las webs a través del avast:

Código:

  TCP    127.0.0.1:12080        127.0.0.1:1053         ESTABLISHED     2172

y más abajo

Código:

 TCP    192.168.1.100:1054     66.249.93.99:80        ESTABLISHED     2172

Alguien puede explicar que pueden hacer los otros 2 pares de conexiones (1049-1050 y 1051-1052)? Y algún otro comentario o sugerencia sobre estos resultados o para iniciarse en la monitorización?

Muchas Gracias por vuestra atención

interpretar resultado netstat

Herramientas

Visualizar

Ver modo hilado

Temas similares

Interpretar canciones propias también da dinero a la SGAE

¿¿Netstat -na??

Interpretar tcpdump

chipeado sin resultado

Netstat

Marcadores

Marcadores