Pular para o conteúdo principal

NETSTAT - Network Estatistic (100 postagem!)

por Luís Fernando da Silva Bittencourt

100ª Postagem!
Gostaria inicialmente de agradecer aos colegas e amigos que incentivaram o desenvolvimento deste blog como ele é hoje, principalmente aos leitores pelos quais sempre procurei manter a qualidade dos trabalhos postados neste espaço. Mas antes de continuar devo agradecer a uma pessoa em especial: o Dr. Emerson Wendt, Delegado de Polícia do Estado do Rio Grande do Sul, apesar dele não admitir é uma das principais autoridades do Estado no que tange a investigação de crimes informáticos, mas sobretudo um grande amigo que devo muita coisa.
Pois bem, chegamos a centésima postagem! Uma marca que quando iniciei não pensei que pudesse acontecer. Tenho feito poucas postagens nos últimos tempos em parte a falta de tempo devido ao desenvolvimento de um trabalho de grande monta que venho desenvolvendo e por não saber o que escrever em uma postagem comemorativa como esta. Assim resolvi não fugir do tema que venho desenvolvendo: a segurança da informação.
Como o título deste artigo descreve, o Netstat (Network Estatistic) é uma ferramenta comum tanto no windows, unix e linux para se obter informações sobre as conexões de entrada e saída estabelecidas, bem como tabelas de roteamento e uma gama de informações sobre a utilização da interface de rede de determinada máquina local (host).
Esta ferramenta é utilizada através do painel de comando do respectivo sistema operacional, em linha de comando, digitando-se >netstat [parâmetros escolhidos].
Os parâmetros são instruções auxiliares que servem para direcionar as pesquisas para determinadas informações que queremos obter como resposta, quase como filtros de pesquisas porém com finalidade mais ampla.
Na tabela a seguir estão os principais parâmetros que podem ser utilizados com o Netstat:
-------------------------------------------------------------------------
Parâmetros | Descrição
-------------------------------------------------------------------------
-a | Mostra todas as conexões e as portas em “escuta”;
-e |Mostra estatísticas da rede local. Pode ser combinado com a opção –s;
-n |Mostra endereços e portas de forma numérica;
-o |Mostra o dono do processo com cada conexão;
-p |Filtra a lista por protocolo: tcp ou udp;
-r | Mostra a tabela de roteamento;
-s |Mostra estatísticas dos protocolos;
[intervalo] |Atualiza as estatísticas pedidas em um intervalo de tempo.
--------------------------------------------------------------------------
Para exemplificar, o Netstat é muito bom para verificar se existem acessos ou tentativas de acessos não autorizados, pois ficam registradas todas as conexões de entrada e saída, bem como os tipos dos pacotes (TCP ou UDP) e a situação de cada uma, principalmente o endereço IP (internet protocol) onde tal conexão foi estabelecida ou originada. Assim, se em determinado momento desconfiarmos se estamos sendo alvo de algum tipo de ataque, quer seja por invasão ou por termos instalado nas nossas máquinas artefatos (vírus, trojan, malware spyware etc ) destinados a capturas de dados basta digitarmos no prompt de comando do Windows, por exemplo, “netstat –a” e as conexões de entrada e saída são mostradas.
Mas poderiam me perguntar os mais perspicazes “como seria possível armazenar rapidamente tais informações se nos depararmos com alguma invasão ocorrendo ou atividade suspeita já que se não agirmos logo tais atividades suspeitas podem ter suas conexões encerradas e a prova necessária para embasar qualquer processo de ordem judicial pode ser perdida”. Existem muitos métodos que podem ser empregados, desde um simples print screen para se copiar a tela do computador até a instalação de softwares para a detecção de intrusão.
Entretanto, como este é um artigo comemorativo, vamos criar um pequeno arquivo em lote para matar a saudade um pouco do nosso velho e bom DOS ou Sistema Operacional em Disco, os arquivos também conhecidos por “.BAT”.
Para tanto, inicialmente, vamos abrir o bloco de notas do Windows e vamos digitar o seguinte:
cls
netstat -a>C:\auditacon.txt
cls
start C:\auditacon.txt
exit
cls
Explicando a finalidade do que foi escrito, “cls” serve para limpar a tela do respectivo prompt de comando; em seguida o próprio comando “netstat –a” seguido da indicação onde o arquivo de nome auditacon.txt (de auditar conexões) deve ser criado, no caso de nosso exemplo na raiz do drive “C:\” (podendo ser alterado o local conforme o gosto ou necessidade do usuário; em seguida novamente uma limpeza de tela e a instrução para que o arquivo de texto seja aberto logo após a execução; por fim, “exit” para encerrar os processos iniciados.
Para finalizar nosso arquivo em lote, devemos salvá-lo com a extensão “.bat”, ou seja, quando solicitarmos o salvamento do mesmo, na linha onde solicita o nome do arquivo que estamos criando, devemos colocar o nome desejado, no caso deste exemplo auditacon.bat entre aspas, ficando assim “auditacon.bat”. Se tudo for feito corretamente, deve surgir um arquivo no formato de uma caixa de programa do DOS com uma engrenagem no meio.
Assim, com nosso arquivo BAT pronto, basta executarmos o mesmo que surgirá na tela um arquivo no formato do bloco de notas do Windows com todas as referências do netstat gravadas, sendo que caso necessitarmos de alguma informação ali contida basta copiar o mesmo. Porém, devemos nos atentar para o fato de que cada vez que nosso “programinha” for executado ele limpará o arquivo “auditacon.txt” e salvará nele as conexões, ou pedidos de conexões que estiverem ocorrendo no momento de sua execução, então, para evitarmos perder dados importantes, sempre que nos depararmos com algo suspeito devemos salvar com outro nome o arquivo gerado.
Outra coisa que pode ser feita para armazenar tais informações é ativando o registro de logs do firewall do Windows XP, para quem utiliza tal sistema operacional é claro, conforme já foi postado anteriormente, para acessar o referido artigo clique aqui.
Bem, espero que tenham gostado e estou sempre aberto para criticas e sugestões, então não deixem de comentar mais esta postagem e até a próxima!

Comentários

Blog do Emerson disse…
Grande Bittencourt,

Demorei um pouco para fazer este comentário, mas a tua 100ª postagem é muito boa!! Não só pela referência à minha pessoa, mas pelo conteúdo e dica referente ao Netstat. Sugiro que possas, nas seguintes, postar algo sobre os programas que fazem, de uma maneira mais amigável, a mesma coisa e melhor que no Netstat, como o TCP view e o Autoruns.
O sucesso do curso de crimes praticados pela internet, pela Acadepol, e que temos "tocado" só tem seu mérito em razão da tua participação e da parceria feita desde a primeira edição. Continue assim, um fissurado por aprender e apreender cada vez mais!

Abraço. Emerson
Bittencourt disse…
Valeu Delegado Emerson,
Obrigado pelas palavras de incentivo!Vou trabalhar nas suas sugestões sobre aplicativos específicos a função proposta.
Um abraço!

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Blogs sobre segurança em português

Hoje, visitando o blog do consultor de segurança da informação Sandro Süffert, achei de muito bom tom a relação que ele postou de blogs em lingua portuguesa que tratam sobre segurança da informação e resposta a incidentes/forense, ficando lisongeado pelo fato do Arquivos Máximus ter sido citado. Tendo em vista a facilidade que tal relação pode gerar à comunidade, concentrando num mesmo espaço ricas fontes de informação, abrangendo várias áreas do espectro criminalístico, vou reproduzir a referida relação, bem como deixar o link no menu lateral "Destaques do Blog", visando facilitar o acesso futuro. Segue a citada relação: Luis Bittencourt - http://arquivosmaximus.blogspot.com
Nelson Brito - http://fnstenv.blogspot.com CrkPortugal - http://www.crkportugal.net (Portugal) Marcelo Souza - http://marcelosouza.com PseudoRandom - http://blog.sapao.net Forense Coputacional - http://forcomp.blogspot.com Think Security First - http://wagnerelias.com Pedro Quintanilha - http://pedroquintanilha…

Destaque: Relação das Portas TCP/IP Mais Usadas!

por Luís Fernando da Silva Bittencourt

Uma das primeiras providências a se fazer quando existe a suspeita de algum tipo de invasão em um microcomputador é a verificação imediata das portas TCP/IP que estão em execução. Normalmente para isso é usado o comando NETSTAT (pretendo postar uma matéria específica futuramente), ou outro método qualquer de preferência do usuário. Entretanto, usuários menos experientes não sabem o tipo de serviço executados pelas portas em questão, para tanto relacionei as principais visado facilitar o entendimento destas, conforme segue: Observação: Para localizar um item específico use "Ctrl + F".
Porta Serviço 1 tcpmux
3
4
5 rje
7 echo
9 discard
11 systat
13 daytime
15 netstat
17 qotd
18 send/rwp
19 chargen
20 ftp-data
21 ftp
22 ssh, pcAnywhere
23 Telnet
25 SMTP
27 ETRN
29 msg-icp
31 msg-auth
33 dsp
37 time
38 RAP
39 rlp
40
41
42 nameserv, WINS
43 whois, nickname
49 TACACS, Login Host Protocol
50 RMCP, re-mail-ck
53 DNS
57 MTP
59 NFILE
63 whois++
66 sql*net
67 bootps
68 bootpd/dhcp
69 Tri…