Abierto
Cerca

Comando NETSTAT: muestra estadísticas de conexión de red. Consejos para usar Netstat para administradores de Windows Server Lista de sockets que están en estado de escucha

10.10.2023 -
Unidades

El comando Netstat muestra diversos datos de la red, como conexiones de red, tabla de enrutamiento, estadísticas de interfaz, conexiones enmascaradas, espacio de multidifusión, etc.

En este artículo, veamos 10 ejemplos prácticos de comandos. NetStat en Unix.

1. Lista de todos los puertos (tanto de escucha como de no escucha)

Enumere todos los puertos usando el comando Netstat -a

#netstat -a | más Conexiones a Internet activas (servidores y establecidas) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado tcp 0 0 localhost:30037 *:* LISTEN udp 0 0 *:bootpc *:* Sockets de dominio UNIX activos (servidores y establecidos) Proto RefCnt Banderas Tipo Estado Ruta del nodo I unix 2 [ ACC ] STREAM LISTENING 6135 /tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 5140 /var/run/acpid.socket

Enumere todos los puertos TCP usando netstat -at

# netstat -at Conexiones activas a Internet (servidores y establecidas) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN tcp 0 0 localhost:webcache 0.0.0..0.0 .0:* ESCUCHAR tcp 0 0 localhost:dominio 0.0.0.0:* ESCUCHAR

Listado de todos los puertos UDP usando netstat -au

# netstat -au Conexiones activas a Internet (servidores y establecidas) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado udp 0 0 andreyex..ru:50053 google-public-dn:dominio ESTABLECIDO

2. Lista de enchufes que están en estado de escucha.

Enumere solo los puertos de escucha usando netstat -l

# netstat -l Conexiones activas a Internet (solo servidores) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado tcp 0 0 0.0.0.0:http 0.0.0.0:* LISTEN tcp 0 0 localhost:webcache 0.0.0..0.0. 0:* ESCUCHAR tcp 0 0 localhost:dominio 0.0.0.0:* ESCUCHAR

Enumere solo los puertos de escucha TCP usando netstat -lt

# netstat -lt Conexiones activas a Internet (solo servidores) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado tcp 0 0 0.0.0.0:http 0.0.0.0:* ESCUCHA tcp 0 0 localhost:webcache 0.0.0..0.0. 0:* ESCUCHAR tcp 0 0 localhost:dominio 0.0.0.0:* ESCUCHAR

Enumere solo los puertos UDP de escucha usando netstat -lu

# netstat -lu Conexiones activas a Internet (solo servidores) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado udp 0 0 sitio:dominio 0.0.0.0:* udp 0 0 localhost:dominio 0.0.0..0.0.0:*

Enumere solo los puertos de escucha UNIX usando netstat -lx

# netstat -lx Sockets de dominio UNIX activos (solo servidores) Proto RefCnt Banderas Tipo Estado Ruta del nodo I unix 2 [ ACC ] STREAM LISTENING 19693 tmp/core.adm.internal unix 2 [ ACC ] SEQPACKET LISTENING 8723 /run/udev/control unix 2 [ ACC ] ESCUCHA DE TRANSMISIÓN 12566 /var/run/dbus/system_bus_socket unix 2 [ ACC ] ESCUCHA DE TRANSMISIÓN 16948 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] ESCUCHA DE TRANSMISIÓN 19702 tmp/core.sock

Trabajo de laboratorio No. 03-005

Utilidad de red Netstat. Principios de funcionamiento y uso.

La utilidad muestra puertos TCP activos y de escucha, estadísticas de Ethernet, tablas de enrutamiento IP, estadísticas de IPv4 (para protocolos IP, ICMP, TCP y UDP) e IPv6 (para protocolos IPv6, ICMPv6, TCP sobre IPv6 y UDP sobre IPv6). Ejecución de comando sin parámetros netstat muestra conexiones TCP activas.

Sintaxis:

netstat [-a] [-mi] [-norte] [-o] [-pag protocolo] [-r] [-s] [intervalo].

Opciones:

-a muestra todas las conexiones TCP activas y los puertos TCP y UDP que escuchan en la computadora;

- b visualización de archivos ejecutables involucrados en la creación de conexiones activas. Si se utilizan componentes de software independientes para crear el socket, también se muestran.

-mi Muestra estadísticas de Ethernet, como la cantidad de bytes y paquetes enviados y recibidos. Este parámetro se puede combinar con la tecla -s;

-norte muestra conexiones TCP activas, mostrando direcciones y números de puerto en formato numérico sin intentar resolver nombres;

-o Enumera las conexiones TCP activas e incluye un ID de proceso (PID) para cada conexión. El código de proceso le permite encontrar la aplicación en la pestaña Procesos Administrador de tareas de Windows. Este parámetro se puede combinar con las teclas -a, -norte Y -pag;

-pag protocolo conexiones de salida para el protocolo especificado por el parámetro protocolo. En este caso el parámetro protocolo puede tomar valores TCP, udp, tcpv6 o udpv6. Si este parámetro se utiliza con la tecla -s para mostrar estadísticas de protocolo, parámetro protocolo puede importar TCP, udp, ICMP, IP, tcpv6, udpv6, icmpv6 o ipv6;

-r Muestra el contenido de la tabla de enrutamiento IP. Este comando es equivalente al comando impresión de ruta;

-s salida de estadísticas de protocolo. De forma predeterminada, se muestran estadísticas para los protocolos TCP, UDP, ICMP e IP. Si IPv6 está instalado para Windows XP, se muestran estadísticas para TCP sobre IPv6, UDP sobre IPv6, ICMPv6 e IPv6. Parámetro -pag se puede utilizar para especificar un conjunto de protocolos;

- v utilizado junto con el parámetro b para mostrar la secuencia de componentes de software involucrados en la creación de un socket

intervalo establece que los datos seleccionados se actualizarán en un intervalo especificado por el parámetro intervalo(en segundos). Al presionar CTRL+C se detiene la actualización. Si se omite este parámetro, netstat muestra los datos seleccionados sólo una vez.

/? oh Mostrar ayuda en la línea de comando.

A nivel de red en la pila del protocolo TCP/IP, el direccionamiento se realiza mediante direcciones IP. Pero después de que el paquete se entrega a través del protocolo IP a la computadora del destinatario con la dirección IP proporcionada, los datos deben enviarse a un proceso de solicitud del destinatario específico. Cada computadora puede ejecutar múltiples procesos y un proceso de aplicación puede tener múltiples puntos de entrada que actúan simultáneamente como destinatarios de datos.

Las necesidades de comunicación de los procesos de aplicación son atendidas por la capa de transporte de la pila de protocolos, implementada en software en el núcleo del sistema operativo, en forma de un proceso de usuario separado o en forma de un módulo de biblioteca cargado por una aplicación de red. El sistema operativo organiza los paquetes que llegan a la capa de transporte en forma de muchas colas hasta los puntos de entrada de varios procesos de aplicación. En la terminología TCP/IP, estas colas del sistema se denominan puertos . Un puerto es un concepto de software que utiliza un cliente o servidor para enviar o recibir mensajes; el puerto se identifica mediante un número de 16 bits. Por lo tanto, la dirección de destino que utiliza la entidad de transporte es el identificador (número) del puerto del servicio de aplicación. El número de puerto, junto con el número de red y el número de nodo final, identifica de forma única el proceso de solicitud en la red. Este conjunto de parámetros de identificación se llama enchufe .

Los números de puerto se asignan a los procesos de aplicación. centralmente, si estos procesos son servicios públicos populares (por ejemplo, el número 21 está asignado al servicio de acceso remoto a archivos FTP y el 23 al servicio de control remoto telnet), o localmente para aquellos servicios que aún no se han generalizado lo suficiente como para ser se les asignan habitaciones estándar (reservadas). La organización realiza la asignación centralizada de números de puerto a los servicios. Autoridad de Números Asignados de Internet (IANA). Estos números luego se fijan y publican en los estándares de Internet.

Local La asignación de número de puerto es donde el desarrollador de la aplicación simplemente asocia cualquier identificador numérico disponible elegido al azar, asegurándose de que no sea uno de los números de puerto reservados. En el futuro, todas las solicitudes remotas a esta aplicación desde otras aplicaciones deberán abordarse utilizando el número de puerto que se le haya asignado.

El cliente que inicia la conexión, antes de intentar establecer una conexión con el servidor de aplicaciones remoto, solicita un número de puerto libre a su sistema operativo. Los puertos con números 0 -1023 generalmente se denominan privilegiados; casi todos están reservados y no están asignados a procesos de cliente. Esto no significa que no haya números de puerto asignados con números grandes, pero se usan con mucha menos frecuencia y, al ser gratuitos en un host determinado, es posible que estén disponibles para el programa cliente.

UDP (Protocolo de datagramas de usuario) es un protocolo de capa de transporte simple orientado a datagramas: un proceso emite un datagrama UDP a la vez, lo que da como resultado la transmisión de un datagrama IP. El protocolo no establece una conexión y no confirma al remitente que el mensaje ha sido entregado.

TCP (Protocolo de control de transmisión) proporciona un servicio de flujo de bytes confiable y basado en conexión. Se utiliza en los casos en que se requiere la entrega garantizada de mensajes. Utiliza sumas de verificación de paquetes para verificar la integridad de los paquetes y libera a los procesos de aplicación de la necesidad de tiempos de espera y retransmisiones para garantizar la confiabilidad.

El término orientado a la conexión significa que dos aplicaciones que utilizan TCP (normalmente un cliente y un servidor) deben establecer una conexión TCP entre sí antes de poder intercambiar datos.

Siempre hay dos puntos finales que se comunican entre sí mediante una conexión TCP. TCP no realiza transmisiones ni multidifusiones.

Los pasos necesarios para establecer y finalizar una conexión TCP se pueden representar mediante:

lena en forma de modelo con 11 estados posibles:

Descripción de condición

CERRADO Cerrado. La conexión no está activa y no está en proceso de establecerse.

ESCUCHA Esperando. El servidor está esperando una solicitud entrante.

SYN RCVD Ha llegado una solicitud de conexión. esperando confirmación

SYN SENT Solicitud de conexión enviada. La aplicación comenzó a abrir una conexión.

ESTABLECIDO Instalado. Estado normal de transmisión de datos

FINWAIT 1 La aplicación informó que no tiene nada más que transferir

FINWAIT 2 La otra parte acepta terminar la conexión

ESPERA TIEMPO Esperar hasta que todos los paquetes desaparezcan de la red.

CIERRE Ambas partes intentaron cerrar la conexión al mismo tiempo

CERRAR ESPERA La otra parte ha iniciado una desconexión

LAST ACK Espere hasta que todos los paquetes desaparezcan de la red.

En cada uno de estos estados, pueden ocurrir eventos permitidos y prohibidos. En respuesta a cualquier evento permitido, se puede tomar una acción específica. Cuando ocurren eventos prohibidos, se informa un error.

Cada conexión comienza en el estado. CERRADO(cerrado). Puede salir de este estado realizando un intento activo (CONNECT) o pasivo (LISTEN) para abrir una conexión. Si el lado opuesto hace lo contrario, se establece la conexión y entra en el ESTABLECIDO. Cualquiera de las partes puede iniciar la terminación de la conexión. Una vez completado el proceso de desconexión, la conexión vuelve al CERRADO.

Preguntas de autoevaluación

    Puerto como elemento de direccionamiento de la capa de transporte. Enchufe.

    Puertos asignados local y centralmente.

    Protocolos básicos de la capa de transporte de la pila TCP/IP. Su breve descripción.

    Mapear conexiones de red a procesos que se ejecutan en una computadora.

    Parámetros de la utilidad Netstat.

Equipo necesario

IBM PC es una computadora compatible con un sistema operativo Windows con licencia, conexión a una red local y acceso a Internet.

Tareas

Antes de comenzar las tareas, reinicie su computadora y no inicie ninguna aplicación.

1. Usando el comando netstat, vea las estadísticas de la conexión Ethernet.

2. Usando el comando netstat, vea las estadísticas de los protocolos de red.

3. Usando el comando netstat, vea las estadísticas del protocolo ICMP (la salida debe contener datos solo para este protocolo).

4. Utilice el comando netstat para ver una lista de todas las conexiones TCP y puertos UDP que escuchan.

5. Inicie su navegador y establezca una conexión a cualquier sitio. Repite la tarea anterior y comenta el resultado.

6. Utilizando el comando netstat, identifique 5 procesos cualesquiera que escuchen en los puertos UDP. Especifique el nombre de los procesos y el número de puertos de escucha.

6. Usando el comando netstat, determine las conexiones TCP activas, sus números de puerto y los nombres de los archivos ejecutables de las aplicaciones que usan estas conexiones.

Presentar un informe de finalización del trabajo en formato impreso o electrónico con copias de las pantallas de operación de la utilidad.

Netstat Esta es una utilidad muy útil que algunos administradores de sistemas utilizan todos los días, mientras que otros sólo la utilizan para diagnosticar problemas. Pero en cualquier caso entender esta utilidad y poder utilizarla es de gran utilidad.

El comando tiene sólo 10 parámetros, de los cuales probablemente el más utilizado sea el parámetro -a, que muestra todas las conexiones y puertos en uso. Sin embargo, incluso especificando parámetros netstat desde muestra información bastante útil.

Consideremos ahora los parámetros útiles de la utilidad. netstat

Nombre de dominio completo: Cuando se utiliza el parámetro -F Se mostrarán los nombres de dominio completos de los hosts remotos conectados. Los nombres se resolverán por cualquier medio disponible. En la siguiente figura puedes ver un ejemplo de esta acción:

¿Qué proceso utiliza el puerto abierto? Usando una combinación de parámetros -a -n -o Puede rastrear qué proceso está utilizando el puerto abierto. De la salida del comando encontramos el identificador de proceso (PID), con el que podemos encontrar el proceso deseado en el administrador de tareas.

Puede utilizar otra opción útil para hacer que la visualización sea más amigable. Parámetro -b mostrará el nombre de cada proceso, sin embargo requiere derechos de administrador.

Mostrando la tabla de enrutamiento: Al utilizar el parámetro -r puede ver la tabla de enrutamiento actual.

Utilizo con mayor frecuencia estos 4 parámetros para diagnosticar problemas de Windows. ¿De qué otra manera se usa netstat y por qué?

Informacion util

¿Te gusta vestirte a la moda y bellamente? Acude a una tienda de ropa online de Corea y cómprate artículos de excelente calidad a un precio asequible.

Regularmente, algunos, sólo para diagnóstico. Pertenezco a la última categoría: prefiero utilizar esta utilidad para identificar las causas de problemas y problemas del sistema.

El comando netstat tiene diez parámetros que proporcionan información detallada para una variedad de tareas. Sin embargo, no se puede obtener información menos útil sin ningún parámetro.

El uso más común de netstat es con la opción -a para enumerar todas las conexiones y puertos de escucha. A continuación se enumeran algunas otras opciones que pueden resultar útiles al utilizar esta utilidad.

Nombre de dominio completo. El parámetro -f le permite averiguar el FQDN de la dirección externa. Cuando se utiliza netstat con esta opción, los nombres se resuelven tanto en la red interna como en la externa. En la Fig. A muestra el resultado del comando.

Figura A

Qué proceso está utilizando qué puerto. La combinación de las opciones -a -n -o le permite averiguar a qué identificador de proceso (PID) corresponde un puerto en particular. (Ver) La salida del comando se muestra en la Fig. B.


Figura B

Y si agrega la opción -b a esta combinación, se usarán nombres descriptivos para cada proceso, como se muestra en la Fig. C. Sin embargo, esto requerirá derechos de administrador.


Figura C

Nota: Las direcciones remotas que apuntan a 192.168.1.220:3261 pertenecen al servicio Iniciador iSCSI de Windows y están etiquetadas de manera diferente a otras direcciones de servicio.

Salida de la tabla de enrutamiento. Cuando desee descubrir por qué una conexión de red funciona de manera diferente en una computadora que en otras en la misma red, puede usar la opción -r, que imprime la ruta para ese sistema, como se muestra en la Figura 1. D. Tenga en cuenta la sección Rutas persistentes: enumera todas las rutas estáticas configuradas para Windows Server.


Figura D

Estas cuatro variaciones del comando netstat lo hacen mucho más fácil

Un comando útil y una utilidad al mismo tiempo, llamado netstat, le permite ver información sobre las conexiones del sistema utilizando los protocolos UDP y TCP.

El comando se puede ejecutar cada n segundos y producir la siguiente información en formato tabular:

  • Nombre del protocolo (TCP o UDP)
  • Dirección IP local y número de puerto que utiliza la conexión de socket
  • Dirección IP remota (dirección de destino) y número de puerto que utiliza la conexión de socket
  • Estado de conexión ( Escuchando), Establecido) etc.)

Estudiar el estado de los puertos de conexión entre ambos sistemas nos permite excluir el protocolo TCP/IP como una de las causas del problema. Para comprender completamente la información proporcionada por este comando, es necesario comprender los principios de establecimiento de conexión en el protocolo TCP/IP. Estos son los pasos principales en el proceso de establecimiento de una conexión TCP/IP:

1. Al intentar establecer una conexión, el cliente envía un mensaje SYN al servidor.

2. El servidor responde con su propio mensaje SYN y un reconocimiento (ACK).

3. Luego, el cliente envía un mensaje ACK al servidor, completando el proceso de configuración de la conexión.

El proceso de desconexión consta de los siguientes pasos:

1. El cliente dice "Ya terminé" enviando un mensaje FIN al servidor. En esta etapa, el cliente solo recibe datos del servidor, pero no envía nada por sí mismo.

2. Luego, el servidor envía un mensaje ACK y envía su propio mensaje FIN al cliente.

3. Luego, el cliente envía un mensaje ACK al servidor, confirmando la solicitud del servidor FIN.

4. Cuando el servidor recibe un mensaje ACK del cliente, cierra la conexión.

Comprender los pasos del proceso de configuración y terminación de la conexión le permite interpretar de forma más transparente los estados de la conexión en la salida del comando netstat. Las conexiones en la lista pueden estar en los siguientes estados:

  • CLOSE_WAIT- indica la fase pasiva de cierre de la conexión, que comienza después de que el servidor recibe un mensaje FIN del cliente.
  • CERRADO- la conexión fue interrumpida y cerrada por el servidor.
  • ESTABLECIDO- el cliente estableció una conexión con el servidor al recibir un mensaje SYN del servidor.
  • FIN_WAIT_1- el cliente inició el cierre de la conexión (envió un mensaje FIN).
  • FIN_WAIT_2- el cliente recibió mensajes ACK y FIN del servidor.
  • ÚLTIMO_ACK- el servidor envió un mensaje FIN al cliente.
  • ESCUCHAR- el servidor está listo para aceptar conexiones entrantes.
  • SYN_RECEIVED- el servidor recibió un mensaje SYN del cliente y le envió una respuesta.
  • TIMED_WAIT- el cliente envió un mensaje FIN al servidor y está esperando una respuesta a este mensaje.
  • YN_ENVIAR- la conexión especificada está activa y abierta.

Ahora todo lo que necesitas saber sobre el comando netstat es la sintaxis para llamarlo:

Netstat [-a] [-e] [-n] [-o] [-p<протокол>] [-r] [-s] [intervalo]

opciones del comando netstat

Parámetro

Uso

Muestra todas las conexiones y puertos de escucha.

Muestra estadísticas de Ethernet

Muestra direcciones y puertos en formato digital (direcciones IP en lugar de nombres de interfaz

Muestra el ID del proceso propietario para cada conexión.

PAG<протокол>

Muestra conexiones para el protocolo especificado. Puede seleccionar uno de los siguientes protocolos: TCP, TCPv6, UDP y UDPv6. Cuando especifica la opción -s, puede especificar IP, IPv6, ICMP e ICMPv6.

Muestra la tabla de enrutamiento del sistema.

Muestra estadísticas para cada protocolo por separado; De forma predeterminada, se muestran estadísticas para los protocolos TCP, TCPv6, UDP y UDPv6, IP, IPv6, ICMP e ICMPv6. Se puede especificar un subconjunto de protocolos utilizando la opción -p.

intervalo

El intervalo en segundos en el que el comando actualiza su salida. Al especificar un intervalo, el comando se puede interrumpir con una combinación de teclas .
Redes y comunicaciones
Servicios en línea