Laboratório 4.

3
Utilizando os Comandos Netstat e
Nbtstat

tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

ÍNDICE

1 Introdução ...............................................................................................................3
2 Comando Netstat – Exibindo Informações da Camada 4 ................................................3
2.1 Atividade Prática com Netstat ...............................................................................8
2.2 Utilizando um Programa de “Visual Netstat” ......................................................... 10
3 Comando Nbtstat – Utilizando o Netbios para Obter Informações.................................. 11
3.1 Introdução sobre o Netbios ................................................................................ 11
3.2 O comando Nbtstat ........................................................................................... 11
3.3 Atividade Prática com Nbtstat ............................................................................. 12

Pág. 2 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

1 Introdução
O objetivo desse laboratório é o estudo do uso dos comandos Netstat e Nbtstat.

O comando Netstat é muito útil para verificar informações da camada 4 (transporte), tais como
portas TCP e UDP em uso, estado de conexões, conexões ativas, portas TCP e UDP abertas e
assim por diante. Vamos nesse laboratório estudar o comando via prompt de comando e
também utilizando um programa que permite visualizar mais facilmente as informações
chamado “Visual Netstat”.

O comando Nbtstat é uma ferramenta útil para a solução de problemas de resolução de nomes
NetBIOS e também para a visualização ou busca de informações sobre outros computadores de
rede, por isso vamos estudar mais essa ferramenta que pode nos ajudar a resolver problemas
ou coletar informações úteis sobre computadores que podem estar tentando acessar
indevidamente outra máquina.

Bons estudos!

2 Comando Netstat – Exibindo Informações da Camada 4

O comando Netstat (Network statistic – Estatísticas de Rede) é uma ferramenta comum ao
Windows, Unix e Linux, a qual é utilizada para se obter informações sobre as conexões de rede
tanto de saída como de entrada, tabelas de roteamento e uma gama de informações sobre as
estatísticas da utilização da interface na rede. O comando netstat pode exibir as seguintes
informações:
 Conexões TCP ativas
 Portas nas quais um computador está escutando
 Estatísticas da Ethernet
 Tabela de roteamento IP
 Estatísticas IPv4
 Estatísticas IPv6

A seguir apresentamos alguns exemplos de utilização do comando netstat e das opções de linha
de comando disponíveis.

 netstat –a: O comando netstat com a opção –a é utilizado na prática para exibir todas
as portas de conexões e de escuta (listening). No exemplo a seguir mostramos um
exemplo do resultado da execução do comando netstat –a em um computador com o
nome micro01. O estado LISTENING significa esperando ou “na escuta”, ou seja,
aceitando conexões na referida porta TCP. O estado ESTABLISHED (estabelecido)
significa que existe uma conexão ativa na respectiva porta TCP.

Conexões ativas

Proto Endereço local Endereço externo Estado

TCP MICRO01:epmap MICRO01.abc.com:0 LISTENING
TCP MICRO01:microsoft-ds MICRO01.abc.com:0 LISTENING
TCP MICRO01:1046 MICRO01.abc.com:0 LISTENING
TCP MICRO01:1051 MICRO01.abc.com:0 LISTENING
TCP MICRO01:1058 MICRO01.abc.com:0 LISTENING
TCP MICRO01:1097 MICRO01.abc.com:0 LISTENING
TCP MICRO01:1595 MICRO01.abc.com:0 LISTENING
TCP MICRO01:2176 MICRO01.abc.com:0 LISTENING
TCP MICRO01:2178 MICRO01.abc.com:0 LISTENING
TCP MICRO01:2216 MICRO01.abc.com:0 LISTENING
TCP MICRO01:2694 MICRO01.abc.com:0 LISTENING

Pág. 3 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

TCP MICRO01:2706 MICRO01.abc.com:0 LISTENING

TCP MICRO01:3236 MICRO01.abc.com:0 LISTENING
TCP MICRO01:netbios-ssn MICRO01.abc.com:0 LISTENING
TCP MICRO01:microsoft-ds MICRO02:1352 ESTABLISHED
TCP MICRO01:1595 SERVIDOR02:microsoft-ds ESTABLISHED
TCP MICRO01:2694 SERVIDOR02:microsoft-ds ESTABLISHED
TCP MICRO01:2706 SERVIDOR03:1352 ESTABLISHED
TCP MICRO01:3323 DRFSTMSRV22:1352 TIME_WAIT
TCP MICRO01:3335 66.139.77.16:http CLOSE_WAIT
TCP MICRO01:3336 66.139.77.16:http CLOSE_WAIT
TCP MICRO01:3691 SRV01:microsoft-ds ESTABLISHED
TCP MICRO01:4200 MICRO01.abc.com:0 LISTENING
TCP MICRO01:4829 a209-249-123-
UDP MICRO01:microsoft-ds *:*
UDP MICRO01:1027 *:*
UDP MICRO01:1042 *:*
UDP MICRO01:1403 *:*
UDP MICRO01:3632 *:*
UDP MICRO01:3636 *:*
UDP MICRO01:38037 *:*
UDP MICRO01:38293 *:*
UDP MICRO01:netbios-ns *:*
UDP MICRO01:netbios-dgm *:*
UDP MICRO01:isakmp *:*
UDP MICRO01:42508 *:*
UDP MICRO01:1186 *:*
UDP MICRO01:3212 *:*
UDP MICRO01:3221 *:*
UDP MICRO01:3555 *:*

Perceba que outros estados apareceram para as portas TCP, como CLOSE_WAIT e TIME_WAIT,
assim como se o computador estivesse recebendo uma solicitação de outro micro para acessar
um serviço como servidor apareceria o SYN_RCVD, ao passo que se você estivesse tentando
abrir conexão apareceria um SYN_SENT. Segue abaixo uma listagem com os estados que você
pode encontrar as portas TCP utilizando o comando Netstat:

o LISTENING: esse é o estado verdadeiro de uma conexão TCP, ele ocorre quando
um host está esperando um pedido para iniciar uma conexão. São programas,
rotinas ou aplicações que fazem seu computador atuar como um servidor, ou
seja, possibilitando que outros computadores utilizem esses serviços.
o SYN-SENT: esse estado indica que o host enviou um SYN para iniciar a conexão
e está aguardando a resposta SYN-ACK adequada.
o SYN-RCVD: esse estado indica que o host enviou a resposta SYN-ACK depois de
ter recebido o SYN.
o ESTABLISHED: esse estado indica que a conexão foi estabelecida. O host que
iniciou a conexão entra nesse estado depois de receber o SYN-ACK e o host que
responde depois que recebe o ACK. Neste estado está havendo a troca de
informações.
o FIN-WAIT-1: O estado que um host se encontra após ter enviado um pacote
FIN inicial pedindo um fechamento correto da conexão TCP.
o CLOSE-WAIT: O estado da conexão do host que recebeu um FIN inicial e envia
de volta um ACK para confirmar o FIN.
o FIN-WAIT-2: O estado da conexão do host que recebeu a resposta ACK para
seu FIN inicial, e indica que agora está esperando um FIN final.
o LAST-ACK: Esse estado indica que o host acabou de enviar seu segundo FIN,
que é necessário para encerramento correto da conexão TCP, e está aguardando
uma confirmação.

Pág. 4 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

o TIME-WAIT: Nesse estado encontra-se o host iniciador que recebeu um FIN

final e enviou um ACK para fechar a conexão. Nesse momento ele não irá mais
receber nenhuma confirmação do ACK que acabou de enviar, portanto espera um
período de tempo para fechar a conexão.
o CLOSED: pode-se considerar como “sem estado”. Esse estado existe antes que
uma conexão seja iniciada ou quando ela é finalizada.

Para o protocolo UDP não há essa designação de estados de porta, pois ele não é orientado a
conexão, por isso se existe um serviço instalado como servidor em UDP a porta está aberta e
aparece na saída do comando com um *:*. Os serviços UDP são complexos de serem tratados
em termos de segurança, pois uma vez disponibilizado não há como verificar os estados da
conexão assim como para o TCP, por isso eles são tratados com muita cautela por
administradores de segurança.

 netstat –e: Esta opção exibe estatísticas sobre a interface Ethernet do computador. A
interface Ethernet é, normalmente, a placa de rede local, que conecta o computador a
rede da empresa. Esta opção pode ser combinada com a opção –s, que será descrita
mais adiante. A seguir um exemplo da execução do comando.

 netstat –n: Exibe endereços e números de porta em forma numérica (em vez de tentar
pesquisar o nome), porém não mostram portas abertas ou inativas, somente as
conexões ativas, em fase de estabelecimento ou em fase de finalização. Este comando é
útil quando se quer descobrir os IPs que estão conectados a um determinado
computador. A seguir um exemplo da execução do comando.

 netstat –s: Exibe estatística por protocolo. Por padrão, são mostradas estatísticas para
TCP, UDP, ICMP e IP. A opção -p pode ser utilizada para especificar um ou mais
protocolos para os quais devem ser exibidas estatísticas. A seguir um exemplo da
execução do comando.

Pág. 5 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

Estatísticas de IP

Pacotes recebidos = 1847793

Erros de cabeçalho recebidos = 0
Erros de endereço recebidos = 772
Datagramas encaminhados = 0
Protocolos desconhecidos recebidos = 0
Pacotes recebidos descartados = 0
Pacotes recebidos entregues = 1847244
Solicitações de saída = 2702298
Descartes de roteamento = 0
Pacotes de saída descartados = 0
Pacote de saída sem rota = 0
Reagrupamento necessário = 82
Reagrupamento bem-sucedido = 41
Falhas de reagrupamento = 0
Datagramas fragmentados c/êxito = 15
Falhas/ fragmentação de datagramas = 0
Fragmentos criados = 30

Estatísticas de ICMP

Recebidos Enviados
Mensagens 2767 4037
Erros 0 0
Destino inatingível 18 1280
Tempo excedido 0 0
Problemas de parâmetro 0 0
Retardamentos de origem 4 0
Redirecionamentos 0 0
Echos 1134 1623
Respostas de eco 1611 1134
Carimbos de data/hora 0 0
Respostas de carimbos de data/hora 0 0
Máscaras de endereço 0 0
Respostas máscaras end. 0 0

Estatísticas de TCP

Abertos ativos = 14052

Abertos passivos = 175
Falha em tentativas de conexão = 493
Conexões redefinidas = 3563
Conexões atuais = 5
Segmentos recebidos = 1679289
Segmentos enviados = 2576364
Segmentos retransmitidos = 2841

Estatísticas de UDP

Datagramas recebidos = 159044

Nenhuma porta = 7777
Erros de recebimento = 0
Datagramas enviados = 119031

Pág. 6 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

 netstat –p: Mostra conexões para o protocolo especificado por protocolo, que pode ser
tcp ou udp. Se utilizado com a opção -s para exibir estatísticas por protocolo, protocolo
pode ser tcp, udp, icmp ou ip. . A seguir um exemplo da execução do comando onde são
exibidas informações somente sobre o protocolo ip: netstat –s –p ip.

 netstat –r: Exibe o conteúdo da tabela de roteamento do computador. Exibe os

mesmos resultados do comando route print.

 A opção intervalo: Você pode definir um intervalo, dentro do qual as estatísticas

geradas pelo comando netstat serão atualizadas. Por exemplo, você pode definir que
sejam exibidas as estatísticas do protocolo ICMP e que estas sejam atualizadas de cinco
em cinco segundos. Ao especificar um intervalo, o comando ficará executando,
indefinidamente e atualizando as estatísticas, dentro do intervalo definido. Para
suspender a execução do comando, basta pressionar Ctrl+C. O comando a seguir irá
exibir as estatísticas do protocolo IP e irá atualizá-las a cada 10 segundos:
o netstat –s –p ip 10

 Opção –o: Quando você usa o comando netstat junto com o parâmetro -o , o comando
exibe o PID (Process ID – identificação do processo) associado a cada conexão. Ele
pode ser utilizado para identificar qual o processo ou programa está utilizando
determinada conexão. Com esse número você pode identificar o processo indo no
gerenciador de tarefas do Windows (Task Manager) e clicando na aba processos. Existe
também a opção –b que pode ser utilizada para mostrar o executável que está
envolvido com aquela conexão, porém esse comando exige privilégios e você deve
executar o prompt de comandos como administrador. Veja o exemplo abaixo do
comando netstat -o.

Pág. 7 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

2.1 Atividade Prática com Netstat

O objetivo dessa prática é primeiro você visualizar que portas estão abertas no seu
computador, ou seja, as portas TCP em estado de escuta (LISTENING) e as portas UDP com
“*:*”. Vamos também aproveitar e utilizar a opção “-ao” para listar as portas abertas e mostrar
o PID do processo ou programa “dono” daquela porta ou conexão. Siga os passos abaixo:
1. Abra o prompt de comandos;
2. Digite: netstat –ao;
3. Agora procure as portas com estado de LISTENING e veja quantos programas ou
processos estão no seu computador com portas TCP abertas, ou seja, que podem atuar
como servidor;
4. Você consegue confirmar o programa ou processo associado à conexão ou porta indo no
task manager (gerenciador de tarefas) e na aba Processos procure o PID mostrado na
saída do comando.

Para abrir o task manager ou gerenciador de tarefas pressione as teclas

“Control+Alt+Delete” simultaneamente e clique na opção “Start Task Manager” ou “Iniciar
Gerenciador de Tarefas”. Além disso, se o PID não aparecer com uma das colunas clique em
Exibir > Selecionar Colunas > clique no Checkbox correspondente ao PID e em OK.

Mesmo assim, caso o PID que você procura não apareça clique em “Mostrar Processos de Todos
os Usuários” que está em um checkbox na canto inferior esquerdo dessa tela.

Não se assuste ou se preocupe com as portas abertas, pois vários programas instalados como
os peer-to-peer ou até mesmo o Windows possuem vários processos internos que utilizam o
TCP/IP para funcionar, na dúvida procure na Internet informações sobre o processo ou
programa que você tem dúvidas ou suspeita ser algo malicioso, como um vírus, trojan, spyware
e assim por diante.

Outra pesquisa com o resultado do Netstat que você pode realizar é através dos números de
porta TCP ou UDP, por exemplo, se você verificar que a porta 80 do TCP está aberta, em estado
de LISTENING, significa que provavelmente você tem um programa HTTP Server (servidor de
web) instalado no seu computador.

Aproveite o comando realizado o procure quais portas bem conhecidas estão abertas em seu
computador (LISTENING ou Escuta) e verifique no link abaixo o serviço associado a cada uma
delas:

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Pág. 8 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

Para facilitar, veja a execução dos comandos que você deve utilizar nessa prática nas telas
abaixo.

Agora vamos procurar que processo ou programa gerou a porta no estado de escuta através do
protocolo TCP, porta 49152 e ID de processo 588. Vamos ao gerenciador de tarefas procurar
esse PID.

Portanto, essa porta pertence ao serviço de inicialização do Windows.

Outra maneira também de procurar é verificar a porta TCP ou UDP através do seu número,
porém nem sempre o programa que está utilizando a porta pode ser legítimo, por isso esse
método ensina permite que você verifique se realmente a porta pertence a um programa
confiável.

Agora pratique o comando, analise os processos que estão sendo utilizados no seu computador
e na dúvida procure o que significa utilizando uma ferramenta de pesquisa como o Google ou o
Bing.

Pág. 9 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

2.2 Utilizando um Programa de “Visual Netstat”

Na biblioteca da área do aluno você consegue baixar o programa “VisualNetstat”, o qual é

gratuito e mostra em uma tela o que fizemos através da linha de comando com um nível de
detalhes maior e visualização mais simples. Veja a tela do programa abaixo.

Perceba que todas as informações que tivemos que procurar utilizando o task manager estão
disponíveis de maneira mais fácil e o programa faz uma atualização do comando por padrão de
30 em 30 segundos.

Pág. 10 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

3 Comando Nbtstat – Utilizando o Netbios para Obter Informações

3.1 Introdução sobre o Netbios

NetBIOS-over-TCP/IP (NetBT ou NBT), ou simplesmente NetBIOS, é um protocolo legado e um

sistema de nomeação utilizado para a compatibilidade com serviços de rede Windows mais
antigos.

O NetBIOS fornece a única resolução de nomes (tradução de endereço IP para nome) no

Windows e funciona por padrão em uma rede IPv4 sem DNS. Por exemplo, não há necessidade
de criar uma zona DNS para uma rede doméstica, pois com esse serviço você pode acessar
determinadas máquinas através de um nome UNC (como \\Computador), portanto o
NetBIOS oferece um sistema de tradução de nomes dos hosts para um endereço IP sem a
necessidade de um servidor DNS na rede.

O TCP/IP oferece muitas opções para resolução de nome NetBIOS, inclusive pesquisa de cache
local, consulta ao servidor WINS, difusão, consulta ao servidor DNS e pesquisa aos arquivos
Lmhosts e Hosts, porém nas redes atuais esses serviço caiu em desuso, mas mesmo assim
podemos utilizá-lo para obter informações úteis sobre outros computadores na rede.

Para visualizar as informações ou alterá-las no Windows utiliza-se o comando Nbtstat, porém o

Netbios está disponível apenas para o IPv4, no IPv6 o Windows não disponibiliza esse serviço.

3.2 O comando Nbtstat

Vamos utilizar nessa prática apenas duas sintaxes do comando Nbtstat, conforme abaixo:
 nbtstat -a nome-do-computador-remoto
 nbtstat -A endereço-IP-remoto

Portanto, para fazer a consulta NetBIOS das informações de um computador remoto podemos
utilizar a opção “-a” e o nome do computador ou “-A” e o endereço IP do computador. Vamos
ver dois exemplos e verificar as informações que o nbtstat é capaz de fornecer.

Note que ele testa via todas as interfaces e o computador de laboratório com IP 192.168.1.11
foi encontrado na rede sem fio do computador. Além disso, o comando traz o nome do

Pág. 11 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat

 tel (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

computador, grupo de trabalho ou domínio que ele pertence, informações sobre o usuário se
você estiver em uma rede com domínio e também o endereço MAC do computador remoto.

Agora vamos fazer a busca pelo nome do computador de laboratório chamado DLTEC09, porém
o resultado a ser mostrado será o mesmo.

O nome do computador mostrado no comando é aquele configurado na instalação do Windows

e que utilizamos para fazer acesso à pastas compartilhadas digitando o “\\” na frente, por
exemplo, \\DLTEC09.

3.3 Atividade Prática com Nbtstat

Esta prática depende de ter mais de um computador na sua rede LAN com sistema operacional
Windows ou com um sistema operacional que tenha o serviço de NetBIOS habilitado.

Vamos utilizar a tabela ARP para pesquisar informações de IPs aprendidos dinamicamente por
ela e verificar se pertence a um computador com NetBIOS ativo. Siga os passos abaixo.

1. Abra o prompt de comando

2. Utilize o comando “arp – a”
3. Procure IPs do tip dinâmico para pesquisar
4. Digite agora no prompt “nbtstat –A” seguido do IP a ser pesquisado
5. Qual o resultado das pesquisas?

Se você está tentando realizar o comando em sua empresa e ele não funcionar pode ser que o
serviço esteja bloqueado nas máquinas, nesse caso tente verificar com seu administrador de
redes.

Com isso finalizamos essa prática e até a próxima!

Em caso de dúvidas ou dificuldades utilize o fórum do capítulo para que possamos ajudar.

Equipe DlteC do Brasil

Pág. 12 Laboratório 4.3 - Utilizando os Comandos Netstat e Nbtstat