O Netstat é uma ferramenta útil para verificar conexões de rede e Internet. São consideradas algumas aplicações úteis para o usuário médio de PC, incluindo a verificação de conexões de malware.


Sintaxe e switches

A sintaxe do comando énetstat [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [-v] [interval]Uma breve descrição dos interruptores é dada na Tabela I abaixo. Alguns interruptores são apenas em determinadas versões do Windows, conforme observado na tabela. Observe que as opções para Netstat usam o símbolo de linha “-” em vez da barra “/” .

Interruptor Descrição
-a Exibe todas as conexões e portas de escuta
-b Exibe o executável envolvido na criação de cada conexão ou porta de escuta.(Adicionado no XP SP2.)
-e Exibe estatísticas de Ethernet
-f Exibe nomes de domínio totalmente qualificados para endereços estrangeiros. (Somente no Windows Vista / 7)
-n Exibe endereços e números de portas em forma numérica
-o Exibe a identificação do processo de propriedade associada a cada conexão
-p proto Mostra conexões para o protocolo especificado pelo proto; Proto pode ser qualquer um de: TCP, UDP, TCPv6 ou UDPv6.
-r Exibe a tabela de roteamento
-s Exibe estatísticas por protocolo
-t Exibe o estado atual da descarga da conexão.
-v Quando usado em conjunto com -b, exibirá a seqüência de componentes envolvida na criação da conexão ou da porta de escuta para todos os executáveis.
[interval] Um número inteiro usado para exibir resultados várias vezes com o número especificado de segundos entre os monitores. Continua até parar pelo comando ctrl + c . A configuração padrão é exibida uma vez,

Aplicações de Netstat

O Netstat é uma das várias ferramentas de linha de comando disponíveis para verificar o funcionamento de uma rede.  Ele fornece uma maneira de verificar se vários aspectos do TCP / IP estão funcionando e quais conexões estão presentes. No Windows XP SP2, foi adicionada uma nova opção “-B” que permite que o arquivo executável atual que tenha aberto uma conexão para ser exibido. Esta capacidade mais recente oferece a chance de capturar malware que pode telefonar para casa ou usar seu computador de maneiras indesejadas na Internet. Há várias maneiras pelas quais um administrador do sistema pode usar a variedade de switches, mas vou dar dois exemplos que podem ser úteis para os usuários domésticos de PC.

Verificando conexões TCP / IP

As conexões TCP e UDP e seus endereços IP e de porta podem ser vistos digitando um comando combinando dois switches:netstat -anUm exemplo da saída obtida é mostrado na Figura 1.

Saída para o comando netstat da amostra

A informação que é exibida inclui o protocolo, o endereço local, o endereço remoto (estrangeiro) e o estado da conexão. Observe que os vários endereços IP incluem informações de porta também. Uma explicação dos diferentes estados de conexão é dada na Tabela II>

Estado Descrição
CLOSED Indica que o servidor recebeu um sinal ACK do cliente e a conexão está fechada
CLOSE_WAIT Indica que o servidor recebeu o primeiro sinal FIN do cliente e a conexão está em processo de fechamento
ESTABLISHED Indica que o servidor recebeu o sinal SYN do cliente e a sessão está estabelecida
FIN_WAIT_1 Indica que a conexão ainda está ativa, mas não está sendo usada atualmente
FIN_WAIT_2 Indica que o cliente acabou de receber o reconhecimento do primeiro sinal FIN do servidor
LAST_ACK Indica que o servidor está no processo de enviar seu próprio sinal FIN
LISTENING Indica que o servidor está pronto para aceitar uma conexão
SYN_RECEIVED Indica que o servidor apenas recebeu um sinal SYN do cliente
SYN_SEND Indica que esta conexão particular está aberta e ativa.
TIME_WAIT Indica que o cliente reconhece a conexão como ainda ativa, mas não está sendo usada atualmente

Verificar o malware observando quais programas iniciam conexões

Para descobrir quais programas estão fazendo conexões com o mundo exterior, podemos usar o comandonetstat -b(Note que para o Windows Vista / 7, essa mudança particular requer que o prompt de comando tenha privilégios elevados.) Na verdade, é melhor verificar Durante um período de tempo e podemos adicionar um número que define o comando para executar em intervalos fixos. Além disso, é melhor criar um registro escrito das conexões que são feitas durante algum período de tempo. O comando pode então ser escritonetstat -b 5 >> C:\connections.txt

Anúncios