¿Qué es Netstat?

Como he dicho Netstat es un comando de red que se usa para controlar las conexiones entrantes y salientes, es un comando multiplataforma, que quiere decir que se usa en varios sistemas operativos Windows, Linux, Mac…..aunque la forma en la que se utiliza en cada uno de ellos es distinta.

¿Cómo se usa?

Para utilizar Netstat en Windows deberemos abrir la consola del Dos (ejecutar, cmd) y tipear Netstat, a continuación podremos observar detalladamente las conexiones activas que tenemos, controlar esto tiene muchas utilidades como por ejemplo comprobar a donde redirigimos nuestras conexiones, verificar conexiones remotas, detectar intrusiones etc.

Afinando Netstat

Para concretar la búsqueda Netstat puede ir acompañado de ciertos parámetros que añaden o especifican funciones a la aplicación principal . A continuación os pongo todos los parámetros que se pueden utilizar con netstat sólo en Windows (para no liaros)

• -a Muestra todas las conexiones y puertos a la escucha• -b Muestra el ejecutable que crea cada conexión o puerto a la escucha• -e Estadísticas Ethernet de las visualizaciones, como el número de paquetes enviados y recibidos. Se puede combinar con la opción -s.• -n Se muestran los puertos con su identificación en forma numérica y no de texto.• -o En sistemas Windows XP y 2003 Server, muestra los identificadores de proceso (PID) para cada conexión. Se puede verificar los identificadores de proceso en el Administrador de Tareas de Windows (al agregarlo a las columnas de la pestaña procesos)• -p Muestra las conexiones para el protocolo especificado; el protocolo puede ser TCP o UDP. Si se utiliza con la opción de -s para visualizar la estadística por protocolo, proto puede ser TCP, UDP o IP.• -r Visualiza la tabla de enrutamiento o encaminamiento. Equivale al comando route print.• -s Estadística por protocolo de las visualizaciones. Por el valor por defecto, la estadística se muestra para TCP, UDP e IP; la opción -p se puede utilizar para especificar un subconjunto del valor por defecto.• -v En sistemas Windows XP y 2003 Server, y usado en conjunto con -b, muestra la secuencia de componentes usados en la creación de la conexión por cada uno de los ejecutables.• Intervalo: Vuelve a mostrar la información cada intervalo (en segundos). Si se presiona CTRL+C se detiene la visualización. si se omite este parámetro, netstat muestra la información solo una vez.

Vosotros también podeis acceder a esta información desde la consola de comandos, para obtener ayuda sobre las funciones de los parámetros del comando netstat y poder visualizarla en la pantalla solo tenéis que tipear netstat help y no al revés (help netstat) la explicación de esto es que el que menú de ayuda del comando netstat no se encuentra en Dos sino dentro del mismo netstat por eso hay que tipear primero netstat y después help para solicitar ayuda.

Estado de las conexiones

Con netstat las conexiones se mostraran en un estado determinado dependiendo también de si añadimos parámetros o no a la función del comando principal.Por ejemplo para comprobar las conexiones que tenemos “a la escucha” debemos añadir el parámetro –a a netstat y nos mostrará las conexiones que estén en listening.Otros estados en las conexiones que nos podemos encontrar:

• ESTABLISHED El socket tiene una conexión establecida• SYN_SENT El socket está intentando iniciar una conexión• SYN_RECV Una petición de conexión fue recibida por la red• FIN_WAIT1 El socket está cerrado, y la conexión esta finalizándose• FIN_WAIT2 La conexión está cerrada, y el socket está esperando que finalice la conexión remota• TIME_WAIT El socket está esperando después de cerrarse que concluyan los paquetes que siguen en la red• CLOSED El socket no está siendo usado• CLOSE_WAIT La conexión remota ha finalizado, y se espera que se cierre el socket• LAST_ACK La conexión remota ha finalizado, y se espera que se cierre el socket. Esperando el acknowledgement.• LISTEN El socket está esperando posibles conexiones entrantes• CLOSING Ambos sockets han finalizado pero aún no fueron enviados todos los datos• UNKNOWN El estado del socket no se conoce

Las conexiones más habituales son establish,time wait,closed,listen ,el resto son para usos mas avanzados que ya iremos viendo.

Netstat es uno de los comandos mas importantes de TCP/IP junto con otros como ping, tracert etc .Por lo que es muy importante que os familiaricéis con ellos cuanto antes para conseguir un buen manejo de redes como base indispensable del hacking.

Funcion MRT

Sirve para escaneo de software mal intencionado en nuestro S.O.

Inicio ejecutar escribir: mrt.exe o solo mrt

Ping: Nos informa del estado de un host. Es necesario permitir paquetes ICMP para su funcionamiento.

Ping -t: se hace ping hasta que que pulsemos Ctrl+C para detener los envíos.

Ping -a: devuelve el nombre del host.

Ping -l: establece el tamaño del buffer. Por defecto el valor es 32.

Ping -f: impide que se fragmenten los paquetes.

Ping -n (valor): realiza la prueba de ping durante un determinado numero de ocasiones.

Ping -i TTL: permite cambiar el valor del TTL. TTL seria sustituido por el nuevo valor.

Ping -r (nº de saltos): indica los host por los que pasa nuestro ping. (máximo 9)

Ping -v TOS: se utiliza en redes avanzadas para conocer la calidad del servicio.

Tracert: Indica la ruta por la que pasa nuestra peticion hasta llegar al host destino.

Tracert -d: no resuelve los nombres del dominio.

Tracert -h (valor): establece un nº máximo de saltos.

PatchPing: Mezcla entre el comando Ping y Tracert.

PatchPing -h (nº de saltos): nº máximo de saltos.

PatchPing -n: no se resuelven los nombres de host.

PatchPing -6: obliga a utilizar IPV6

Ipconfig: Proporciona informacion sobre TCP/IP, adaptadores, etc etc.

Ipconfig: muestra información general sobre la red

Ipconfig /all: ofrece información detallada sobre todas las t. de red y conexiones activas.

Ipconfig /renew: renueva petición a un servidor DHCP

Ipconfig /release: libera la Ip asignada por DHCP

Ipconfig /registerdns: registra todos los nombres DNS

Ipconfig /flushdns: borrar todas las entradas DNS.

Net Diversas funciones

Net Send: Envía un mensaje a traves del servicio mensajero

Net Start: Inicia un servicio de Windows

Net Stop: Detiene un servicio de Windows

Net Share: Indica que recursos comparte la maquina

Net View: Indica a que máquinas se tiene acceso mediante la red

Net Sessions: Indica quienes han entrado en nuestros recursos compartidos

Net Time * /SET: Sincroniza la hora con una maquina de la red

Net User: Crea o elimina usuarios

Net Localgroup: Crea o elimina grupos

Netstat: Muestra todas las conexiones activas en el equipo.

Netstat -a: nos muestra todas las conexiones y puertos.

Netstat -e: muestras las estadísticas Ethernet

Netstat -n muestra direcciones y puertos en forma de numero.

Netstat -o: muestra que programa esta asociado a la conexión activa

Netstat - p (protocolo): permite especificar que protocolo se desea ver. TCP/UDP

Netstat -s: muestra estadísticas clasificas por protocolo.

Nbtstat: util para resolver problemas entre Ips y Netbios.

Nbtstat -c: lista los nombres Netbios y los relaciona a una IP.

Arp: Muestra y modifica datos de la tabla de traduccion de direcciones IP a direcciones MAC (tabla ARP)

Arp -a (también -g): muestra la tabla ARP para cada uno de los interfaces

Arp -s (dir_ip) (dir_MAC) [dir_interfaz]: añade una entrada especifica a la tabla ARP. Si hay varios interfaces de red, añadiendo al final la direccion IP del interfaz, lo añade en la tabla correspondiente a ese interfaz

Arp -d (dir_ip) [dir_interfaz]: elimina una entrada especifica de la tabla ARP. Se pueden usar comodines en la direccion IP. Si hay varios interfaces de red, añadiendo al final la direccion IP del interfaz, lo elimina de la tabla correspondiente a ese interfaz.

Route: muestra y modifica la información sobre las rutas IP del equipo.

Route PRINT: muestra la tabla completa de rutas

Route ADD (red_destino) MASK (mascara_destino) (puerta de enlace) [METRIC metrica] [IF interfaz]: Añade una ruta. Con el modificador -p (route add -p ...) hace la ruta persistente, de manera que se mantendra aunque se reinicie el equipo.

Route DEL (red_destino) MASK (mascara_Destino) [puerta de enlace]: Elimina la ruta especificada. Admite caracteres comodines.

Route CHANGE (red_destino) MASK (mascara_destino) (IP_salida/siguiente salto) [METRIC metrica] [IF interfaz]: Modifica la metrica, o la puerta de enlace en una ruta existente

NOTA: parametros entre parentesis () son obligatorios y entre corchetes [] son opcionales.

Por Cardoomx TFTP lo que hace es transferir archivos de un sitio a otro se necesita un servidor en uno de los dos ordenadores y funciona mas o menos asi.

TFTP [-i] host [GET | PUT] origen [destino] Funciona tanto en redes locales como por internet ( abriendo puerto claro ). A mi parcer es una utilidad muy muy buena cuando conectas por shell a

un pc para administrarlo. Claro esta que no todo el mundo lo usa con buenos fines.

* Gracias a SiR_AK por los comandos Route y Arp

con permiso de God mode añado el comando netsh

se puede utilizar entre otras cosas para cambiar los parametros de la red desde linea de comandos...

ejemplo de funcionamiento:

netsh interface ip set address name=LAN source=static addr=192.168.1.4 mask=255.255.255.0 gateway=192.168.1.1 gwmetric1netsh interface ip set dns name=LAN source=static addr=80.58.0.33netsh interface ip add dns name=LAN addr=80.58.32.97

todo esto se puede meter en un archio .bat y hacer el cambio de la configuracion de la red con un simple doble click....

agradecimientos a nirgal ya que la informacion la he sacado de un post suyo ;)