Tanto Windows como Linux nos ofrece una herramienta que nos va a permitir ver conexiones de red tenemos en cada momento.
Esa herramienta es el programa netstat, y para ejecutarla, en ambos casos, necesitamos abrir una Consola.
En Windows abrimos Símbolo del sistema y escribimos: netstat -an
Para entender mejor que conexiones tenemos abiertas, lo mejor es que antes de ejecutar esta orden cerremos TODOS los programas a excepción de Símbolo del sistema e ir desde el principio comprobando que conexiones tenemos y cuales se van abriendo.
Una vez ejecutada la orden, nos aparecerá una pantalla de tipo en MSDOS
Si queremos que se actualice automáticamente la información, podemos escribir netstat -an 5 (poner el número en segundos del intervalo que queramos que actualice la información)
La información que nos muestra esta pantalla básicamente es una tabla con 4 Columnas para MSDOS o 6 Columnas para Linux y diversas filas que contienen la información:
- Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las conexiones activas (TCP/UDP)
- Dirección Local (Local Address): Nos indica la dirección origen de la conexión y el puerto.
- Dirección Remota: (Foreign Address): Nos indica la dirección de destino y el puerto.
- Estado (State): Nos indica el estado de dicha conexión en cada momento. Los principales estados son:
- Listening (Listen): El puerto está escuchando en espera de una conexión
- Established: La conexión ha sido establecida
- Close_Wait: La conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más.
- Time_Wait: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
- Last_ACK: La conexión se está cerrando.
- Closed: La conexión ha sido cerrada definitivamente.
La columna de Dirección Local nos muestra la IP de la conexión de nuestro ordenador:
Además de la IP asociada a nuestra conexión a Internet, los ordenadores utilizan una dirección IP interna, denominada loopback, que es utilizada para pruebas y para la comunicación entre diversos procesos en la misma máquina. Usualmente tiene la dirección IP 127.0.0.1 y que también se le suele asignar el nombre localhost.
Ahora sólo nos queda ir comprobando todas las conexiones que tenemos, que están haciendo y por supuesto el porqué.
Para ello podemos servirnos de los listados de puertos.
Esto es muy útil para detectar la actividad de troyanos en nuestro ordenador.