Tal vez te has preguntado una que otra vez...para que es netstat y como sabe la IP de la persona con la que estoy chateando????...bueno...la verdad que por arte de magia!!...jeje...no en cerio...por este comando puedes ver todas las conecciones de tu ordenador a otros...pero como??...facil...por medio de puertos...por ahi mandas y recibes informacion..pero esos puertos que te pueden poner tan contento al averiguar una IP...te pueden fastidiar y mucho ya que por ahi comunmente te atacan a ti...algunos son necesarios como...
El puerto 21 se utiliza para hacer FTP
El puerto 80 se utiliza para que nos entren las páginas web.
El puerto 25 se utiliza para mandar correo (SMTP)
El puerto 110 se utiliza para recibir correo (POP3)
El puerto 23 se utiliza para hacer telnet
El puerto 4662 lo utiliza el emule para realizar su conexión
Los demás puertos es conveniente que estén cerrados
es dificil controlarlos todos ya que hay 65.526 puertos de los cuales los primeros 1.024 los controla el sistema. ;D
Para saber que puertos tienes abiertos puedes descargarte el PortScan o para hacerlo mas simple puedes vicitar esta paginahttp://www.upseros.net/portscan/portscan.php (http://www.upseros.net/portscan/portscan.php)
¿Cómo puedo saber si alguien entra en mi ordenador a través de un puerto?
descargate el PortBlocker.exe http://www.ib-hafner.de/download.html (http://www.ib-hafner.de/download.html)(en la parte de Security)
Éste programa tiene que funcionar antes de conectarte a Internet.
Para que se active en el arranque, lo puedes colocar (o hacerle un acceso directo) en:
Inicio/ Programa/Inicio
O bien lo activas antes de conectarte.
¿Por qué puerto entran los troyanos?
Cada uno entra por un puerto distinto.
http://www.blackcode.com/trojans/ports.php (http://www.blackcode.com/trojans/ports.php)
¿Qué es ipconfig?
Es una utilidad que te muestra datos sobre tu conexión de Internet: IP, máscara, Puerta de enlace, DNS, DHCP,...
Inicio/Ejecutar/cmd
ipconfig /all
¿Qué es netstat?
Es una aplicación que nos informa de las conexiones que tenemos de red.
Nos dice los puertos que tenemos a la escucha (LISTENING)
Podemos comprobar qué IP está conectada a nuestro ordenador.
Si tenemos abiertas páginas web, nos saldrán las IP de sus Servidores.
Inicio/Ejecutar/cmd
netstat -a
netstat -an
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
Si ves algo asÃ, es que están intentando entrar (o han entrado) por el puerto 5000:
Proto Dirección local Dirección remota Estado
TCP 217.127.45.32:5000 123.111.123.212:5000 ESTABLISHED
Hacer un ping es mandarle automáticamente información a un ordenador para ver si tenemos conexión con él.
Después de los dos puntos: se indica el número de puerto por el que se realiza la conexión.
Si te ha salido algún IP con el netstat, hazle un ping.
ping 217.127.19.134
Continuamos con el netstat. ¿ Has probado con el ano ?
Pues no creas... con el ano puedes arreglar algunas cosas.... vamos a ver...
FÃjate que la opción o nos muestra los PID, esto es, el número que identifica a la aplicación que nos ha abierto el puerto...
- Vamos a ver que aplicaciones están conectada a través de internet a nuestro ordenador y cómo cerrarlas.
netstat -ano
Conexiones activas
Proto Dirección local Dirección remota Estado PID TCP 127.217.19.35:135 0.0.0.0:0 LISTENING 734
TCP 127.217.19.35:3198 207.46.107.95:1863 ESTABLISHED 1435
TCP 127.217.19.35:3867 66.102.11.99:80 LISTENING 235
TCP 127.217.19.35:27374 80.63.132.12:7000 ESTABLISHED 431
- 127.217.19.35 es la IP de mi ordenador, puedes ver el tuyo mediante ipconfig /all
- 135, 3198, 1863, 80, 27374 son puertos que tiene abierto mi ordenador
- 207.46.107.95 es al IP del ordenador que está conectado al mÃo.
- 1863 es el puerto por donde está conectado (1863 es el puerto del Messenger)
- 734, 1435, 235, 431 es el PID (el número) de la aplicación que ha abierto ese puerto.
- 66.102.11.99 es la página web del Google, que entra por mi ordenador por el puerto 80
Escribe en el Internet Explorer el número 66.102.11.99 verás como entras en Google.
- LISTENING, el puerto está en escucha, que si la aplicación quiere puede mandar/recibir información.
- ESTABLISHED, la aplicación está conectada a nuestro ordenador.
- 135 Cuidado pueden entrar en nuestro ordenador por éste puerto.
- 1863 es el puerto del Messenger.
- 27374 es uno de los puertos que abre el troyano Subseven, lo tengo abierto,
el IP 80.63.132.12 está conectado a mi ordenador, me está "troyanizando", la aplicación del servidor del Subseven tiene en mi caso el PID 431
¿Qué hago?
Pulsa Ctrl + Alt + Supr para ir al Administrador de tareas de Windows.
(https://hackpr.net/foro/proxy.php?request=http%3A%2F%2Fpio9.com%2F13virus4.jpg&hash=397dfdd173fbecc33974f35cc984ed91b85a8f89)
Pulsamos sobre la pestaña PID, para ordenar los números. (Process IDentifier)
Ahora podemos relacionar el número del PID que obtuvimos mediante el netstat -ano
con la aplicación que se muestra en "Nombre de imagen"
Supongamos que obtenemos esto:
SERVER.EXE 431 nombre X 05 3.243 KB
Nos indicarÃa que la aplicación 431 es SERVER.EXE, el servidor del troyano que nos está atacando.
Lo cerramos, Botón derecho sobre SERVER.EXE Terminar Proceso.
Una vez que esté cancelado, vamos a Inicio / Ejecutar / msconfig .... pestaña Inicio y observamos si está marcado como aplicación que arranca en el momento de entrar Windows.
Miramos también en la pestaña Servicios, porque hay troyanos que arrancan como Servicio.
Vamos tambÃen a Registro de Windows: Inicio / Ejecutar / regedit y miramos las claves:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
en ellas están los programas que arrancan (Run) en el inicio, si ves algo que crees sospechoso lo Eliminas.
Ve también a Inicio / Buscar y localiza en qué carpeta está el SERVER.EXE, en este caso serÃa el servidor del troyano, cuando lo encuentres lo eliminas o le cambias el nombre (XSERVER.ABC)
- mira ésta página y ejecuta los tres mosqueteros (Three Musketeers):
http://grc.com/default.htm (http://grc.com/default.htm)
- uno es para cerrar el puerto 5000
- otro para cerrar el 135
- y otro para que no nos salgan los molestos mensajes de Messenger Service.
¿Qué es el puerto 5000?
Es un puerto que utiliza Windows XP para analizar los dispositivos Plug and Play de red, está abierto y por aquà algunos troyanos nos pueden sacar información.
Muchos organismos, incluso el FBI le ha recomendado a Microsoft que lo cierre.
Como he comentado Windows XP y Me utilizan el puerto 5000 para detectar automáticamente otros dispositivos de red con los que puede conectar
¿Cómo puedo cerrar el puerto 5000?
http://grc.com/files/UnPnP.exe (http://grc.com/files/UnPnP.exe)
Aquà tienes más información sobre el citado puerto y un parche de Microsoft
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp)
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=D17CBEB5-7478-4147-B4BA-E6CF686A352B (http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=D17CBEB5-7478-4147-B4BA-E6CF686A352B)
http://www.vsantivirus.com/vulms01-059b.htm (http://www.vsantivirus.com/vulms01-059b.htm)
¿Cómo puedo cerrar un puerto?
Pues no es tan sencillo, NO hay ninguna orden directa que pongas ClosePort 5000.
Para cerrar un puerto tienes que cerrar la aplicación o el servicio que lo ha abierto.
La mejor forma de cerrar puertos es mediante los cortafuegos o mediante otras aplicaciones tales como el PortBlocker que no es ni más ni menos que un sencillo cortafuego.
Puerto 135
También por el puerto 135 pueden sacarnos información alguien con ciertos conocimientos técnicos.
Para cerrarlo,
http://grc.com/dcom/ (http://grc.com/dcom/)
(gentileza de http://pio9.com/ (http://pio9.com/))
viejo gracias por esta valiosa información
muy buena informacion si alguien te kiere joder ke mas ke aser un netstat en msdos para ver kien es el hijo de puta ke kiere jodernos jeje perdon por las grocerias
muy weno..
gracias Xelit..
Salduso..
Deyabu
Si buscan un scanner con muchas mas funciones usen Nmap funciona en Windows y Linux www.insecure.org/nmap
nada de eso man no ai problema es un simplemente era comentario nada personal man
jejej vuenisima informacion gracias :D
Antes que nada felicidades a el web master y su equipo tremenda colaboracion!!!
Me tope con esta web y de aqui no salgo ya que en lo poco que eh leido hay de todo por conocer, nadamas era un pequeno saludin a esos fajones cibernetico de cada dia y gracias a Xelit de verda muy buena info de el netstat... ;D
ke buna informacion ;D oye....... conoces la forma o algun soft... ke pueda cambiar el puerto del MSN por el puerto 80......
La informacion es amplia, estos temas si bien no son dificiles, si uno entiende la base entiende el resto.
El netstat recuerden que solo muestra las conexiones establecidas, es decir, que para saber la IP de alguien del msn no solo alcanza con abrir su ventana, sino que deberian establecer algun tipo de comunicacion, como por ejemplo el envio de un archivo. Al enviarlo la comunicacion entre ambas direcciones IP se establece y con eso haciendo un netstat se podra ver.
Vale aclarar como vi algunas dudas, los puertos pueden ser redireccionados, si bien por ejemplo para la navegacion se utiliza el puerto 80 hay quienes utilizan el 8080. El eMule por defecto utiliza los puertos 4662 y 4672, pero esto puede ser modificado siempre y cuando el puerto que le asignen este abierto, sino deberan darle la orden de apertura desde el firewall o desde el router (en el caso que tengan una red).
El hecho de entender todo esto es sencillo, una aplicacion (o servicio de esa aplicacion) necesita de un determinado puerto. Si ese puerto esta cerrado la aplicacion no funcionara como debe. Si ustedes tienen un puerto abierto pero ningun servicio que utilice ese puerto, mas alla de que este abierto, es como si no existiera, ya que no hay ninguna aplicacion o servicio que lo utilice, concluyendo en que nadie podra usar ese puerto para aprovecharse y entrar en una pc.
Como bien dijo elecboy, nmap es un scanner muy potente, originario de linux pero que tambien esta disponible para windows. El scanner obviamente detecta puertos abiertos o filtrados con servicios corriendo. Te indica que servicio corre en determinado puerto y cuenta con muchas funciones de escaneo, realmente es excelente y es muy rapido al lado de otras aplicaciones que hacen lo mismo.
Saludos!!!!