O Tempo Agora

Arquivo do blog

Pesquisador:

Google+ Badge

sexta-feira, 12 de junho de 2009

NETSTAT - Network Estatistic (100 postagem!)

por Luís Fernando da Silva Bittencourt

100ª Postagem!
Gostaria inicialmente de agradecer aos colegas e amigos que incentivaram o desenvolvimento deste blog como ele é hoje, principalmente aos leitores pelos quais sempre procurei manter a qualidade dos trabalhos postados neste espaço. Mas antes de continuar devo agradecer a uma pessoa em especial: o Dr. Emerson Wendt, Delegado de Polícia do Estado do Rio Grande do Sul, apesar dele não admitir é uma das principais autoridades do Estado no que tange a investigação de crimes informáticos, mas sobretudo um grande amigo que devo muita coisa.
Pois bem, chegamos a centésima postagem! Uma marca que quando iniciei não pensei que pudesse acontecer. Tenho feito poucas postagens nos últimos tempos em parte a falta de tempo devido ao desenvolvimento de um trabalho de grande monta que venho desenvolvendo e por não saber o que escrever em uma postagem comemorativa como esta. Assim resolvi não fugir do tema que venho desenvolvendo: a segurança da informação.
Como o título deste artigo descreve, o Netstat (Network Estatistic) é uma ferramenta comum tanto no windows, unix e linux para se obter informações sobre as conexões de entrada e saída estabelecidas, bem como tabelas de roteamento e uma gama de informações sobre a utilização da interface de rede de determinada máquina local (host).
Esta ferramenta é utilizada através do painel de comando do respectivo sistema operacional, em linha de comando, digitando-se >netstat [parâmetros escolhidos].
Os parâmetros são instruções auxiliares que servem para direcionar as pesquisas para determinadas informações que queremos obter como resposta, quase como filtros de pesquisas porém com finalidade mais ampla.
Na tabela a seguir estão os principais parâmetros que podem ser utilizados com o Netstat:
-------------------------------------------------------------------------
Parâmetros | Descrição
-------------------------------------------------------------------------
-a | Mostra todas as conexões e as portas em “escuta”;
-e |Mostra estatísticas da rede local. Pode ser combinado com a opção –s;
-n |Mostra endereços e portas de forma numérica;
-o |Mostra o dono do processo com cada conexão;
-p |Filtra a lista por protocolo: tcp ou udp;
-r | Mostra a tabela de roteamento;
-s |Mostra estatísticas dos protocolos;
[intervalo] |Atualiza as estatísticas pedidas em um intervalo de tempo.
--------------------------------------------------------------------------
Para exemplificar, o Netstat é muito bom para verificar se existem acessos ou tentativas de acessos não autorizados, pois ficam registradas todas as conexões de entrada e saída, bem como os tipos dos pacotes (TCP ou UDP) e a situação de cada uma, principalmente o endereço IP (internet protocol) onde tal conexão foi estabelecida ou originada. Assim, se em determinado momento desconfiarmos se estamos sendo alvo de algum tipo de ataque, quer seja por invasão ou por termos instalado nas nossas máquinas artefatos (vírus, trojan, malware spyware etc ) destinados a capturas de dados basta digitarmos no prompt de comando do Windows, por exemplo, “netstat –a” e as conexões de entrada e saída são mostradas.
Mas poderiam me perguntar os mais perspicazes “como seria possível armazenar rapidamente tais informações se nos depararmos com alguma invasão ocorrendo ou atividade suspeita já que se não agirmos logo tais atividades suspeitas podem ter suas conexões encerradas e a prova necessária para embasar qualquer processo de ordem judicial pode ser perdida”. Existem muitos métodos que podem ser empregados, desde um simples print screen para se copiar a tela do computador até a instalação de softwares para a detecção de intrusão.
Entretanto, como este é um artigo comemorativo, vamos criar um pequeno arquivo em lote para matar a saudade um pouco do nosso velho e bom DOS ou Sistema Operacional em Disco, os arquivos também conhecidos por “.BAT”.
Para tanto, inicialmente, vamos abrir o bloco de notas do Windows e vamos digitar o seguinte:
cls
netstat -a>C:\auditacon.txt
cls
start C:\auditacon.txt
exit
cls
Explicando a finalidade do que foi escrito, “cls” serve para limpar a tela do respectivo prompt de comando; em seguida o próprio comando “netstat –a” seguido da indicação onde o arquivo de nome auditacon.txt (de auditar conexões) deve ser criado, no caso de nosso exemplo na raiz do drive “C:\” (podendo ser alterado o local conforme o gosto ou necessidade do usuário; em seguida novamente uma limpeza de tela e a instrução para que o arquivo de texto seja aberto logo após a execução; por fim, “exit” para encerrar os processos iniciados.
Para finalizar nosso arquivo em lote, devemos salvá-lo com a extensão “.bat”, ou seja, quando solicitarmos o salvamento do mesmo, na linha onde solicita o nome do arquivo que estamos criando, devemos colocar o nome desejado, no caso deste exemplo auditacon.bat entre aspas, ficando assim “auditacon.bat”. Se tudo for feito corretamente, deve surgir um arquivo no formato de uma caixa de programa do DOS com uma engrenagem no meio.
Assim, com nosso arquivo BAT pronto, basta executarmos o mesmo que surgirá na tela um arquivo no formato do bloco de notas do Windows com todas as referências do netstat gravadas, sendo que caso necessitarmos de alguma informação ali contida basta copiar o mesmo. Porém, devemos nos atentar para o fato de que cada vez que nosso “programinha” for executado ele limpará o arquivo “auditacon.txt” e salvará nele as conexões, ou pedidos de conexões que estiverem ocorrendo no momento de sua execução, então, para evitarmos perder dados importantes, sempre que nos depararmos com algo suspeito devemos salvar com outro nome o arquivo gerado.
Outra coisa que pode ser feita para armazenar tais informações é ativando o registro de logs do firewall do Windows XP, para quem utiliza tal sistema operacional é claro, conforme já foi postado anteriormente, para acessar o referido artigo clique aqui.
Bem, espero que tenham gostado e estou sempre aberto para criticas e sugestões, então não deixem de comentar mais esta postagem e até a próxima!

2 comentários:

Blog do Emerson disse...

Grande Bittencourt,

Demorei um pouco para fazer este comentário, mas a tua 100ª postagem é muito boa!! Não só pela referência à minha pessoa, mas pelo conteúdo e dica referente ao Netstat. Sugiro que possas, nas seguintes, postar algo sobre os programas que fazem, de uma maneira mais amigável, a mesma coisa e melhor que no Netstat, como o TCP view e o Autoruns.
O sucesso do curso de crimes praticados pela internet, pela Acadepol, e que temos "tocado" só tem seu mérito em razão da tua participação e da parceria feita desde a primeira edição. Continue assim, um fissurado por aprender e apreender cada vez mais!

Abraço. Emerson

Bittencourt disse...

Valeu Delegado Emerson,
Obrigado pelas palavras de incentivo!Vou trabalhar nas suas sugestões sobre aplicativos específicos a função proposta.
Um abraço!