Hola
Estoy intentando aprender a monitorizar un poco lo que pasa en mi pc, pero hay algunas cosas que no me acaban de cuadrar y me iría bien si alguien me puede ayudar a interpretarlo. He capturado la salida de netstat -no antes y después de ejecutar firefox (abriendo sólo como página de inicio www.google.es) i también un tasklist con el firefox ejecutándose para intentar ver quién es el causante de cada conexión.
Aquí están los resultadaos:
Antes de ejecutar el firefox:
Código:
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1048
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 1928
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING 2580
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 2172
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 2116
TCP 192.168.1.100:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 816
UDP 0.0.0.0:1025 *:* 1184
UDP 0.0.0.0:4500 *:* 816
UDP 127.0.0.1:123 *:* 1132
UDP 127.0.0.1:1900 *:* 1300
UDP 192.168.1.100:123 *:* 1132
UDP 192.168.1.100:137 *:* 4
UDP 192.168.1.100:138 *:* 4
UDP 192.168.1.100:1900 *:* 1300
Después de ejecutar el firefox:
Código:
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1048
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 1928
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING 2580
TCP 127.0.0.1:1049 127.0.0.1:1050 ESTABLISHED 3604
TCP 127.0.0.1:1050 127.0.0.1:1049 ESTABLISHED 3604
TCP 127.0.0.1:1051 127.0.0.1:1052 ESTABLISHED 3604
TCP 127.0.0.1:1052 127.0.0.1:1051 ESTABLISHED 3604
TCP 127.0.0.1:1053 127.0.0.1:12080 ESTABLISHED 3604
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 2172
TCP 127.0.0.1:12080 127.0.0.1:1053 ESTABLISHED 2172
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 2116
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 2116
TCP 192.168.1.100:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.100:1054 66.249.93.99:80 ESTABLISHED 2172
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 816
UDP 0.0.0.0:1025 *:* 1184
UDP 0.0.0.0:4500 *:* 816
UDP 127.0.0.1:123 *:* 1132
UDP 127.0.0.1:1900 *:* 1300
UDP 192.168.1.100:123 *:* 1132
UDP 192.168.1.100:137 *:* 4
UDP 192.168.1.100:138 *:* 4
UDP 192.168.1.100:1900 *:* 1300
Processos después de ejecutar el firefox:
Código:
Nombre de imagen PID Nombre de sesi¢n N£m. de Uso de memor
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 KB
System 4 Console 0 220 KB
smss.exe 644 Console 0 372 KB
csrss.exe 736 Console 0 3.696 KB
winlogon.exe 760 Console 0 3.828 KB
services.exe 804 Console 0 4.072 KB
lsass.exe 816 Console 0 1.596 KB
svchost.exe 972 Console 0 4.620 KB
svchost.exe 1048 Console 0 4.008 KB
svchost.exe 1132 Console 0 17.916 KB
svchost.exe 1184 Console 0 3.120 KB
svchost.exe 1300 Console 0 4.280 KB
vsmon.exe 1352 Console 0 22.992 KB
aswUpdSv.exe 1612 Console 0 196 KB
ashServ.exe 1660 Console 0 15.032 KB
LEXBCES.EXE 1884 Console 0 3.412 KB
spoolsv.exe 1920 Console 0 5.684 KB
LEXPPS.EXE 1928 Console 0 3.072 KB
guard.exe 2044 Console 0 1.356 KB
svchost.exe 264 Console 0 4.464 KB
wdfmgr.exe 344 Console 0 1.684 KB
explorer.exe 1336 Console 0 17.764 KB
ashDisp.exe 1572 Console 0 1.200 KB
zlclient.exe 1724 Console 0 5.140 KB
ashMaiSv.exe 2116 Console 0 840 KB
ashWebSv.exe 2172 Console 0 6.304 KB
alg.exe 2580 Console 0 3.404 KB
cmd.exe 3480 Console 0 2.880 KB
firefox.exe 3604 Console 0 21.884 KB
tasklist.exe 3744 Console 0 4.316 KB
wmiprvse.exe 3784 Console 0 5.572 KB
Con todo esto veo que el firefox (3604) tiene abiertas 5 conexiones:
Código:
TCP 127.0.0.1:1049 127.0.0.1:1050 ESTABLISHED 3604
TCP 127.0.0.1:1050 127.0.0.1:1049 ESTABLISHED 3604
TCP 127.0.0.1:1051 127.0.0.1:1052 ESTABLISHED 3604
TCP 127.0.0.1:1052 127.0.0.1:1051 ESTABLISHED 3604
TCP 127.0.0.1:1053 127.0.0.1:12080 ESTABLISHED 3604
La única que creo entender es la que va al puerto 12080 ya que hay otra conexión en sentido contrario que utiliza el ashWebSv.exe (del avast) i que entiendo que me conecto a las webs a través del avast:
Código:
TCP 127.0.0.1:12080 127.0.0.1:1053 ESTABLISHED 2172
y más abajo
Código:
TCP 192.168.1.100:1054 66.249.93.99:80 ESTABLISHED 2172
Alguien puede explicar que pueden hacer los otros 2 pares de conexiones (1049-1050 y 1051-1052)? Y algún otro comentario o sugerencia sobre estos resultados o para iniciarse en la monitorización?
Muchas Gracias por vuestra atención
Marcadores