Ingeniera Informtica

Unidad
III
Activida
d
No. Control

14081425

Asignatura: Seguridad Informtica

Profesor: SIC. Lizbeth Hernndez Oln

Directrices de Seguridad Informtica

Fech
a:

Comando NETSTAT

Pgina 1 de 8

Nombre del
Alumno

25-09-2016

MADELEYN GUZMAN MARQUEZ

Qu es el comando NETSTAT?
Netstat.exe es una til aplicacin incluida en todos los sistemas operativos Windows, permite monitorear
y estar al tanto de todas las conexiones establecidas entre nuestra PC y el mundo exterior.
Con el comando NETSTAT se introducen las ordenes que nos permiten ver, conocer, detectar e identificar
las conexiones activas establecidas con el exterior, tanto entrantes como salientes, su origen y direccin
IP de procedencia, saber los puertos que tenemos abiertos a la escucha, ver e identificar las conexiones
entrantes e intrusiones de red en nuestra PC, saber si tenemos programas que establezcan contacto con
un
host
remoto,
etc.
Toda esa informacin y ms, podemos obtenerla usando el comando NETSTAT con distintas opciones o
modificadores.
Que nos permite conocer el comando NETSTAT?
Con NETSTAT podemos monitorear en vivo toda la actividad de nuestra red, acceder a todas las
estadsticas registradas y recogerlas en un archivo de texto para revisarlas posteriormente.
Es posible configurar el intervalo de tiempo en que estas se deben realizar.
Permite estar al tanto de los puertos que se encuentren abiertos en la PC, su estado, si son usados en
alguna conexin desconocida, lo que te permite cerrarlos si no son necesarios para el funcionamiento de
las
aplicaciones
que
usas.
Es la herramienta ideal para detectar conexiones entrantes e intrusiones en un equipo local, saber si
alguna aplicacin instalada establece contacto con algn host remoto en el exterior, monitorear estas
conexiones, conocer su PID o sea la identidad del proceso y detenerlo por medio de la utilidad taskkill, ya
sea manualmente o automticamente con un archivo batch creado para ese fin.
Cmo usar el comando NETSTAT?
NETSTAT al igual que todos otros comandos que incluye Windows, puede invocarse de varias formas:
Escribiendo o insertando en la consola de CMD o smbolo del sistema las instrucciones.
Introducindolo directamente en el cuadro de Inicio o en el comando Ejecutar, antecedido de
CMD.exe /K, esto permite abrir la consola, ejecutar el comando y mantener abierta la ventana con la
informacin.
En la siguiente imagen puedes ver un ejemplo, en este caso con PING otro comando de Windows, con

NETSTAT

el

uso

es

similar.

Por ltimo, usndolo en un archivo batch, que no es ms que un archivo de texto con la extensin
cmd, por lo que Windows abrir y ejecutar las ordenes que contienen dicho archivo en la consola.
Para la mayora de los usuarios, que lgicamente no son diestros en el manejo de la consola, se
aconseja
el
uso
de
la
segunda
y
tercera
opcin.
Ms abajo se ofrece la descarga gratis de varios de estos archivos, solo se necesita descargarlos,
descomprimirlos
y
ejecutarlos.
No obstante a los interesados en el uso de las opciones ms avanzadas de NETSTAT, se recomienda
aprender a ejecutarlo en la consola en la que se obtienen los mejores resultados.
No es nada difcil como se ver a continuacin.

Sintaxis para el uso de NSTAT en la lnea de comandos

-a

Muestra todas las conexiones y puertos a la escucha.

-b

Muestra las aplicaciones y archivos ejecutables involucrados en

crear conexiones en los puertos a la escucha.

-e

Muestra estadsticas de Ethernet.

Opciones
nuevas
de
NETSTAT en Windows 8

-n

Muestra los puertos y las direcciones en formato numrico.

-o

Permite ver la identidad de cada proceso (PID) involucrado.

Windows 8 adiciona otros

modificadores a NETSTAT
para
hacer an
ms
efectivo este comando. Son
las
siguientes:

-r

Muestra la tabla de rutas.

-s

-v

-p

NETSTAT
[opcin]
protocolo] [intervalo]

[-p

-T Muestra el estado de la
carga de la conexin actual.
-X Muestra
conexiones
NetworkDirect, escuchas y
Muestra las estadsticas por protocolos.
los extremos compartidos.
-Y Muestra la plantilla de
conexin TCP para todas
Usado con -b, permite ver secuencias de componentes las conexiones.
involucrados en crear una conexin.
Informacin del estado de
las conexiones
Muestra las conexiones por protocolos: TCP, UDP, TCPv6, o
UDPv6.
NETSTAT devuelve una

serie de parmetros que

indican el estado en que se
Intervalo Intervalo en nmero de segundos que se monitorea las encuentran las conexiones,
conexiones. Continua hasta que se ejecuta Control+C.
son los siguientes:
LISTENING:

El puerto est abierto escuchando en espera de una conexin.

ESTABLISHED: La conexin ha sido establecida.

CLOSE_WAIT:

La conexin sigue abierta, pero el otro extremo nos comunica

que no se continuar enviando informacin.

TIME_WAIT:

La conexin ha sido cerrada, pero no se elimina de la tabla de

conexin por si hay algo pendiente de recibir.

LAST_ACK:

La conexin se est cerrando.

CLOSED:

La conexin ha sido cerrada completamente.

Usos prcticos del comando NETSTAT en Windows

NETSTAT puede emplearse para multitud de propsitos en redes, pero la gran mayora de los usuarios
acude a su ayuda, para obtener informacin principalmente sobre dos aspectos:
1Conocer
los
puertos
abiertos
en
el
equipo
a
la
escucha.
2- Conocer las aplicaciones que se conectan al exterior.
Conocer las aplicaciones que se conectan al exterior
Si tienes sospechas de que en tu sistema tienes aplicaciones spyware (programas informticos que
espan informacin del usuario y la envan a un sitio en la red), puedes usar NETSTAT para detectarlos.
Para eso salo de la siguiente forma inmediatamente despus de conectarte a internet, cualquiera
aplicacin que establezca conexin con un sitio remoto ser detectada y NETSTAT mostrar el PID que
le corresponde (identidad del proceso).
NETSTAT -BO 10
Para

ejecutarlo

desde

el

cuadro

de

Inicio

Ejecutar,

sera

de

la

siguiente

forma:

Cmo conocer la aplicacin que inicia un proceso?

NETSTAT devolver la identidad de un proceso, si necesitas saber el nombre de la aplicacin, inclusive
otros procesos anidados, usa el comando TASKLIST de la siguiente forma.

CMD.EXE /K TASKLIST /SVC /FI "PID eq ID"

Solo

Cmo

sustituye

ID

por

el

nmero

que

detener

devuelve

NETSTAT,

un

por

ejemplo:

proceso?

Para detener de manera forzada cualquier proceso, usa el comando TASKKILL de la siguiente forma:

Tambin puedes usarlo en un archivo batch para detener uno o varios procesos antes de conectarte a la
red, en caso de tareas que causan conflictos a la conexin, por ejemplo:
Uso sencillo de NETSTAT
1. Abre una ventana de la consola de CMD.
En el escritorio con la tecla Shift (Mayus) presionada, da un clic derecho con el ratn.
Escoge: Abrir venta de comandos aqu

2.- En la consola escribe NETSTAT y presiona la tecla Enter.

ningn parmetro, la consola mostrara las conexiones activas existentes.

3.-Para limpiar la pantalla escribe CLS y presione Enter

Sin

4.-Escribe
NETSTAT
y
a
continuacin
AN,
presione
Enter
La consola ahora mostrar todas las conexiones, adems los puertos abiertos. Esta opcin es utilizada
para conocer los puertos abiertos en un equipo.

5.- Escribe NETSTAT y a continuacin O, presiona Enter

La consola muestra adicionalmente la identidad del proceso de cada conexin

6.- puedes conocer cualquier conexin creada en el equpo con el exterior, es decir con un servidor
remoto en internet.
Para eso escribe NETSTAT-B
Se mostrara el nombre del archivo que inicio la conexin ya sea un programa o un virus existente en el
equipo.

En este ejemplo
Chrome.exe es ejecutable de navegador buscando en los servidores de Google si hay una versin ms
reciente.
Otro archivo exe desconocido, deber levantar la alerta.
Para escribir el resultado de cualquiera de los comandos en un archivo de texto, en vez de mostrarlo en
la pantalla escribe:
NETSTAT-AON6>informe.txt
De esta forma cada seis segundos se escribe el resultado en un archivo de texto llamado: informe.txt,
que podrs revisar regularmente.