SEGURIDAD DE REDES I

Laboratorio N 03
Uso del Netstat y manejo de puertos

Objetivos de aprendizaje
Aprender la utilizacin del comando Netstat_para Seguridad Informtica

1.- Informacin Bsica

Netstat (network statistics) es una herramienta de lnea de comandos que muestra unos listados
de las conexiones activas de un ordenador, tanto entrantes como salientes. Existen versiones de
este comando en varios sistemas como Unix, GNU/Linux, Mac OS X, Windows, etc.
La informacin que resulta del uso del comando incluye el protocolo en uso, las direcciones IP
tanto locales como remotas, los puertos locales y remotos utilizados y el estado de la conexin.

Tarea 1: Explicar parmetros y resultados de comandos netstat comunes.

(5 puntos)
Abra una ventana terminal haciendo clic en Inicio | Ejecutar. Escriba cmd y presione Aceptar.

Para mostrar informacin de ayuda sobre el comando netstat, utilice las opciones /?, como se muestra:

C:\> netstat /? <INTRO>

Utilice el comando de salida netstat /? Como referencia para completar la opcin que mejor se ajuste
a la descripcin:

Opcin Descripcin
-a Muestra todas las conexiones y puertos que escuchan.
-n Muestra direcciones y nmeros de puerto en forma
numrica.
interval Vuelve a mostrar estadsticas cada cinco segundos.
Presione CONTROL+C para detener la nueva visualizacin
de las estadsticas.
-p proto Muestra conexiones para el protocolo especificadas por
protocolo. El protocolo puede ser cualquiera de los
siguientes: TCP, UDP, TCPv6, o UDPv6. Si se usa con
la opcin s para mostrar estadsticas por protocolo,
el protocolo puede ser cualquiera de los siguientes:
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, o UDPv6.

-q Vuelve a mostrar todas las conexiones y puertos que

escuchan cada 10 segundos.
Muestra slo las conexiones abiertas.

Ing. Taylor Barrenechea

Cuando se muestran estadsticas netstat para conexiones TCP, tambin se muestra el estado TCP.
Durante la conexin TCP, la conexin atraviesa por una serie de estados. La siguiente tabla es un
resumen de los estados TCP desde RFC 793, Transmission Control Protocol, septiembre de 1981, tal
como lo inform netstat:

Estado Descripcin de la conexin

ESCUCHAR La conexin local est a la espera de un pedido de conexin de parte de
cualquier dispositivo remoto.
ESTABLECIDA La conexin est abierta y se pueden intercambiar datos a travs de la
conexin. ste es el estado normal para la fase de transferencia de datos
de la conexin.
TIEMPO-ESPERA La conexin local est esperando un perodo de tiempo predeterminado
despus de enviar un pedido de finalizacin de conexin antes de cerrar la
conexin. sta es una condicin normal y generalmente dura entre 30 y 120
segundos.
CERRAR- La conexin se cerr pero sigue esperando un pedido de finalizacin por
ESPERAR parte del usuario local.
SYN-ENVIADA La conexin local espera una respuesta despus de enviar un pedido de
conexin. La conexin debe transitar rpidamente por este estado.
SYN_RECIBIDA La conexin local espera un acuse de recibo que confirme su pedido de
conexin. La conexin debe transitar rpidamente por este estado.
Conexiones mltiples en el estado SYN_RECIBIDO pueden indicar un
ataque TCP SYN.

Las direcciones IP mostradas por netstat entran en varias categoras:

Direccin IP Descripcin
127.0.0.1 Esta direccin se refiere al host local o a este equipo.
0.0.0.0 Una direccin global, lo que significa CUALQUIERA.
Direccin La direccin del dispositivo remoto que tiene una conexin con este equipo.
remota

Tarea 2: Utilizar netstat para examinar la informacin del protocolo en un

equipo host del mdulo.
(5 puntos)

Paso 1: Utilice netstat para ver conexiones existentes.

Desde la ventana Terminal en Tarea 1, arriba, ejecute el comando netstat a:

C:\> netstat a <INTRO>

Se mostrar una tabla que lista el protocolo (TCP y UDP), direccin local, direccin remota e informacin
sobre el estado. All tambin figuran las direcciones y los protocolos que se pueden traducir a nombres.

La opcin n obliga a netstat a mostrar el resultado en formato bruto. Desde la ventana Terminal, ejecute
el comando netstat an:

C:\> netstat an <INTRO>

Utilice la barra de desplazamiento vertical de la ventana para desplazarse hacia atrs y adelante entre los
resultados de los dos comandos. Compare los resultados, note cmo los nmeros de puertos bien
conocidos cambiaron por nombres.
Ing. Taylor Barrenechea
1.- Anote dos conexiones TCP y dos UDP del resultado de netstat a y netstat an. De tal forma
que visualicemos las representaciones, la primera en letras a continuacin, su correspondiente en
nmeros, de manera similar a lo mostrado a continuacin:

TCP nb : 1301 gw-in-f104.1e100.net : http ESTABLISHED

TCP 10.21.36.94 : 1301 74.125.67.104 : 80 ESTABLISHED

Protocolo Direccin Local Direccin extranjera Estado

1 TCP -an 10.40.33.136:1633 65.52.108.227:443 ESTABLISHED
127.0.0.1:1110 127.0.0.1:2686 ESTABLISHED
2 TCP-a 10.40.33:5139 179.6.253.19:http ESTABLISHED
127.0.0.1:1110 SOE404-ST07:5130 TIME-WAIT
1 UDP -an 192.168.150.1:65532 *:*
[fe80::9855:fac7:d2ed:cd6a%20]:65526 *:*
2 UDP-a [::]:500 *:*
192.168.163.1:65531 *:*

Ing. Taylor Barrenechea

 2.- Consulte el siguiente resultado netstat. Un ingeniero de red nuevo sospecha que su equipo host ha
sufrido un ataque exterior a los puertos 1070 y 1071.

C:\> netstat n
Conexiones activas
Protocolo Direccin Local Direccin extranjera Estado
TCP 127.0.0.1:1070 127.0.0.1:1071 ESTABLISHED
TCP 127.0.0.1:1071 127.0.0.1:1070 ESTABLISHED
C:\>

Es realmente un ataque? Responda justificando su respuesta:

Tarea 3: Responder lo siguiente:

(10 puntos)

1. Usando netstat /?, indique qu es lo que se muestra con el siguiente comando: C:\netstat b

Ing. Taylor Barrenechea

2. Ingresa a su correo de cibertec y ejecute el comando: C:\netstat b
Determine qu puertos se han abierto:
Nmeros de puerto locales:

Nmeros de puerto remotos:
Aplicacin local utilizada

3. Realice una actividad para que se visualice los sockets con nmero de puerto 443 y mediante el
comando netstat lo podamos visualizar de manera similar a la siguiente figura:

Indique la actividad realizada:

Indique el comando usado:

Imagen capturada:

4. Ejecute C:\netstat r para ver la tabla de ruteo de la computadora.

Ing. Taylor Barrenechea

 Capture y pegue la tabla mostrada. (solo la Tabla de enrutamiento IPv4)

Indique cuntas rutas tiene:

31 rutas

Tome nota de la primera ruta, indicando el nombre de cada uno de los cinco componentes.

La rurta por defecto es una ruta que acepta cualquier direccin de red y responde a 0.0.0.0
0.0.0.0, donde la direccin IP de la red es 0.0.0.0 (cualquiera) y su mscara es 0.0.0.0 (cualquier).

Determine a donde se envan los paquetes cuando se usa la ruta por defecto (la puerta de
enlace).

R:puerta de enlace interfaz

10.40.32.1 10.40.33.136

5. Ingrese a entorno de red, cambie la configuracin de la red eliminando la puerta de enlace y

vuelva a capturar la tabla de ruteo de la PC con el comando netstat -r.

Indique que cambios se han generado en la tabla:

Ing. Taylor Barrenechea

Ya no sale la ruta por defecto(0.0.0.0)

En qu le afecta a la PC dicho cambio? (pruebe conectarse a una pgina web)

No se puede conectar a una pagina de internet

Ing. Taylor Barrenechea

 Qu respuesta da el comando ping al DNS? Justifique la respuesta.

Reponga la puerta de enlace en la configuracin de la red.

Ing. Taylor Barrenechea