TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

Realmente útil. Muchas gracias
"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es
un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los
sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica
informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en
nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos
que en nuestra maquina tienen en un momento determinado una conexion
"ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard,
podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que
tienen conexion establecida como el ejemplo anterior, sino los que están "a
la escucha" (LISTENING) como se puede ver en la salida anterior. Estos
puertos son potencialmente peligrosos porque pueden provenir, o estar
abiertos en escucha, por un proceso malicioso: por un troyano. podemos
filtar la informacion anterior para ver los que están en escucha, dando el
comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso
del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al
final de la salida anterior, es necesario identificarla con el nombre del
programa que está en ejecucion en maquina. Esto es relativamente sencillo en
XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist")
y buscando uno por uno, cada numero de proceso (PID), con el programa
asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso
y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos
van a servir para identificar los proceos o incluso los modulos incorporados
en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas
adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha
lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas
que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico
desistemas o a un usuario avanzado. No solo da el programa, sino todos los
modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas
fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante
un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente
no lo veremos en la lista de procesos pero lo veremos, con nombre, o con
un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi
punto de vista, una de las herramientas mas potentes en este momento acaba
de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas",
pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya
existente. Por ejemplo, para ver programas y tambien modulos de los procesos
en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

A efectos practicos, lo es.

Alejandro Curquejo
Microsoft MVP
Windows Shell/User
Andalucia (Spain)


-Microsoft, Your Potential. Our Passion:
http://www.microsoft.com/mscorp/inn.../main.html
-The computer is your friend; trust the computer
-NewsGroup Windows XP: Inspired community; inspiring people

*Este mensaje se proporciona "tal cual" sin garantia de ninguna clase y no
otorga ningun derecho de reclamo*

-Tips y Articulos XP- http://www.multingles.net/tutdescargas.htm#ALE
-DTS-L.Org- http://www.dts-l.org/

Que es el Programa MVP (Most Valuable Professional)
http://mvp.support.microsoft.com/de...pr=mvpfaqs



"Daniel Martín" escribió en el mensaje
news:
Dado su peso casi puede ser considerado un SO nuevo. ;-)

Un saludo,
Daniel Martín
E-Mail:


"Waldin" wrote in message
news:

Peni used his keyboard to write :

Pues parece que se están esperando a base de bien con el SP2 ... anda que

no

tengo ganas de que salga :-)

Jejeje... yo tambien tengo ganas :D
¿Pero es una actualización... o un sistema operativo nuevo? (a este
paso... poco quedará del XP original :D)

Si quieres escribirme, Recuerda: NO soporto el PUTO-SPAM... :-P

Ya sería la releche poder estrenar la nueva velocidad del ADSL de la
Timo bajando el SP2 :D

Gracias, como siempre.

JM Tella Llop [MVP Windows] has brought this to us :

TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es
un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los
sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica
informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en
nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos que
en nuestra maquina tienen en un momento determinado una conexion
"ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard,
podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que
tienen conexion establecida como el ejemplo anterior, sino los que están "a
la escucha" (LISTENING) como se puede ver en la salida anterior. Estos
puertos son potencialmente peligrosos porque pueden provenir, o estar
abiertos en escucha, por un proceso malicioso: por un troyano. podemos filtar
la informacion anterior para ver los que están en escucha, dando el comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso
del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al final
de la salida anterior, es necesario identificarla con el nombre del programa
que está en ejecucion en maquina. Esto es relativamente sencillo en XP
Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist")
y buscando uno por uno, cada numero de proceso (PID), con el programa
asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso
y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos
van a servir para identificar los proceos o incluso los modulos incorporados
en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas
adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha
lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984 [msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas
que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
1640 K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984 K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico
desistemas o a un usuario avanzado. No solo da el programa, sino todos los
modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas
fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante
un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente
no lo veremos en la lista de procesos pero lo veremos, con nombre, o con
un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi
punto de vista, una de las herramientas mas potentes en este momento acaba de
ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas",
pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya
existente. Por ejemplo, para ver programas y tambien modulos de los procesos
en escucha, sin mas que hacer:

netsat -nab

Un saludo.

"Nada hay en el mundo tan común como la ignorancia y los charlatanes."
Cleóbulo

Dedicated to crow

Master a pesar que podamos tener alguna diferencia, eres el mejor con
diferencia, ademas de misma quinta, jejejejejejeje.Gracias por tus
post,conocimientos y como persona.
Gracias y saludos.

PD.Aunque muchos se confunde conmigo, jejjejejeeje, a veces me gusta
provocarles, jajajajajajaaja.


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es
un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los
sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica
informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en
nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos
que en nuestra maquina tienen en un momento determinado una conexion
"ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard,
podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que
tienen conexion establecida como el ejemplo anterior, sino los que están "a
la escucha" (LISTENING) como se puede ver en la salida anterior. Estos
puertos son potencialmente peligrosos porque pueden provenir, o estar
abiertos en escucha, por un proceso malicioso: por un troyano. podemos
filtar la informacion anterior para ver los que están en escucha, dando el
comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso
del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al
final de la salida anterior, es necesario identificarla con el nombre del
programa que está en ejecucion en maquina. Esto es relativamente sencillo en
XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist")
y buscando uno por uno, cada numero de proceso (PID), con el programa
asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso
y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos
van a servir para identificar los proceos o incluso los modulos incorporados
en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas
adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha
lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas
que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico
desistemas o a un usuario avanzado. No solo da el programa, sino todos los
modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas
fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante
un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente
no lo veremos en la lista de procesos pero lo veremos, con nombre, o con
un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi
punto de vista, una de las herramientas mas potentes en este momento acaba
de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas",
pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya
existente. Por ejemplo, para ver programas y tambien modulos de los procesos
en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Master a pesar que podamos tener alguna diferencia, eres el mejor con
diferencia, ademas de misma quinta, jejejejejejeje.Gracias por tus
post,conocimientos y como persona.
Gracias y saludos.

PD.Aunque muchos se confunde conmigo, jejjejejeeje, a veces me gusta
provocarles, jajajajajajaaja.


"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:%
TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es
un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los
sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica
informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en
nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos
que en nuestra maquina tienen en un momento determinado una conexion
"ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard,
podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que
tienen conexion establecida como el ejemplo anterior, sino los que están "a
la escucha" (LISTENING) como se puede ver en la salida anterior. Estos
puertos son potencialmente peligrosos porque pueden provenir, o estar
abiertos en escucha, por un proceso malicioso: por un troyano. podemos
filtar la informacion anterior para ver los que están en escucha, dando el
comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso
del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al
final de la salida anterior, es necesario identificarla con el nombre del
programa que está en ejecucion en maquina. Esto es relativamente sencillo en
XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist")
y buscando uno por uno, cada numero de proceso (PID), con el programa
asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso
y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos
van a servir para identificar los proceos o incluso los modulos incorporados
en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas
adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha
lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas
que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED
5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico
desistemas o a un usuario avanzado. No solo da el programa, sino todos los
modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas
fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante
un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente
no lo veremos en la lista de procesos pero lo veremos, con nombre, o con
un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi
punto de vista, una de las herramientas mas potentes en este momento acaba
de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas",
pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya
existente. Por ejemplo, para ver programas y tambien modulos de los procesos
en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.