Netstat (network statistics) es una herramienta de lnea de comandos que muestra un listado de las conexiones activas de una computadora,

tanto entrante como saliente. Existen versiones de este comando en varios sistemas como Unix, GNU/Linux, Mac OS X, Windows y BeOS. La informacin que resulta del uso del comando incluye el protocolo en uso, las tablas de ruteo, las estadsticas de las interfaces y el estado de la conexin. Existen, adems de la versin para lnea de comandos, herramientas con interfaz grfica en casi todos los sistemas operativos desarrollados por terceros.

Utilizacin en Windows y MS-DOS

NETSTAT [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo] -a Visualiza todas las conexiones y puertos TCP y UDP, incluyendo las que estn "en escucha" (listening). -b En los sistemas recientes, visualiza el binario (ejecutable) del programa que ha creado la conexin. -e Estadsticas Ethernet de las visualizaciones, como el nmero de paquetes enviados y recibidos. Se puede combinar con la opcin -s. -n Se muestran los puertos con su identificacin en forma numrica y no de texto. -o En sistemas Windows XP y 2003 Server, muestra los identificadores de proceso (PID) para cada conexin. Se puede verificar los identificadores de proceso en el Administrador de Tareas de Windows (al agregarlo a las columnas de la pestaa procesos) -p Muestra las conexiones para el protocolo especificado; el protocolo puede ser TCP o UDP. Si se utiliza con la opcin de -s para visualizar la estadstica por protocolo; el protocolo (Proto) puede ser TCP, UDP o IP. -r Visualiza la tabla de enrutamiento o encaminamiento. Equivale al comando route print. -s Estadstica por protocolo de las visualizaciones. Por el valor por defecto, la estadstica se muestra para TCP, UDP e IP; la opcin -p se puede utilizar para especificar un subconjunto del valor por defecto. -v En sistemas Windows XP y 2003 Server, y usado en conjunto con -b, muestra la secuencia de componentes usados en la creacin de la conexin por cada uno de los ejecutables. Intervalo: Vuelve a mostrar la informacin cada intervalo (en segundos). Si se presiona CTRL+C se detiene la visualizacin. si se omite este parmetro, netstat muestra la informacin solo una vez. /? Help: aparecern los caracteres y su funcin.

Consulta de la tabla de encaminamiento Si ejecuta netstat usando el indicador r, puede ver la informacin de la tabla de encaminamiento del ncleo igual que hemos venido haciendo hasta ahora con route. Para vstout, tendramos: # netstat -nr Kernel IP routing table Destination Gateway 127.0.0.1 * Genmask Flags MSS Window irtt Iface 00 00 00 0 lo 0 eth0 0 eth0

255.255.255.255 UH 255.255.255.0 U

172.16.1.0 *

172.16.2.0 172.16.1.1 255.255.255.0 UG

La opcin -n hace que netstat imprima las direcciones IP en notacin de cuaterna en vez de usar los nombres simblicos de las mquinas o las redes. Esto es especialmente til si pretende evitar consultas para esos nombres a travs de la red (por ejemplo consultas a un servidor DNS o NIS). La segunda columna de la salida producida por netstat informa sobre las pasarelas a las que apunta la informacin de encaminamiento. Si una ruta no usa pasarela, el programa imprime un asterisco. La tercera columna imprime el nivel de generalizacin de una ruta. Dada una direccin IP para la que encontrar una ruta apropiada, el ncleo recorre la tabla registro a registro haciendo un "AND" lgico de la direccin y la mscara de nivel de generalizacin antes de compararla con el destino que muestra dicho registro. La cuarta columna muestra varios indicadores que describen la ruta: G La ruta utiliza una pasarela. U La interfaz est activa. H Esta interfaz permite el acceso a una sola mquina. Este es el caso de la interfaz de bucle local 127.0.0.1. D Esta ruta es creada dinmicamente. Aparece si la entrada de la tabla ha sido generada por un demonio de encaminamiento como gated o por un mensaje de redireccin ICMP (ver la seccin Seccin 2.5 en el captulo 2). M

Presente cuando este registro ha sido modificado por un mensaje de redireccin ICMP. ! La ruta es una ruta de rechazo, y los datagramas sern descartados. Las siguientes tres columnas muestran el MSS, tamao de ventana y irtt que sern aplicados a las conexiones TCP establecidas a travs de esta ruta. El MSS es el Tamao Mximo de Segmento, y es el tamao del datagrama ms grande que construir el ncleo para transmitir a travs de esta ruta. La Ventana es la cantidad mxima de datos que el sistema aceptar de una sola vez desde una mquina remota. El acrnimo irtt significa tiempo inicial de ida y vuelta, por sus iniciales en ingls. El protocolo TCP se asegura de que los datos han sido transmitidos de forma fiable entre mquinas retransmitiendo un datagrama si ste ha sido perdido. El protocolo TCP mantiene un contador de cunto tarda un datagrama en ser enviado a su destino, y el "recibo" que se recibe, de forma que sabe cunto esperar antes de suponer que un datagrama necesita retrasmitirse. Este proceso se llama tiempo de ida y vuelta. El tiempo de ida y vuelta inicial es el valor que el protocolo TCP usar cuando se establezca una conexin por primera vez. Para la mayora de los tipos de redes, el valor por omisin es vlido, pero para algunas redes lentas, especialmente ciertos tipos de redes de radiopaquetes de aficionados, el tiempo es demasiado pequeo y causa retransmisiones innecesarias. El valor de irtt puede ajustarse usando el comando route. Los campos a 0 significan que se est usando el valor por omisin. Para terminar, el ltimo campo muestra el interfaz de red que usar esta ruta. Consulta de las estadsticas de una interfaz Cuando se invoca con el indicador i netstat presenta las estadsticas para las interfaces de red configuradas en ese momento. Si tambin se pasa la opcin a, mostrar todas las interfaces presentes en el ncleo, y no slo aquellas que hayan sido configuradas. En vstout, la salida para netstat sera algo as: # netstat -i Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags lo 0 0 3185 0 0 17 0 3185 0 0 0 BLRU 0 0 BRU

eth0 1500 0 972633

20 120 628711 217

Los campos MTU y Met muestran los valores actuales de MTU y de mtrica para esa interfaz. Las columnas RX y TX muestran cuntos paquetes han sido recibidos o transmitidos sin errores (RX-OK/TX-OK) o daados (RX-ERR/TX-ERR); cuntos fueron descartados (RX-DRP/TX-DRP); y cuntos se perdieron por un desbordamiento. (RX-OVR/TX-OVR). La ltima columna muestra los indicadores activos para cada interfaz. Son abreviaturas del nombre completo del indicador, que se muestran con la configuracin de la interfaz que ofrece ifconfig:

B Direccin de difusin activa. L La interfaz es un dispositivo de bucle local. M Se reciben todos los paquetes (modo promiscuo). O ARP no funciona para esta interfaz. P Conexin punto a punto. R La interfaz funciona. U La interfaz est activa. Mostrar conexiones Netstat ofrece una serie de opciones para mostrar los puertos activos o pasivos. Las opciones t, u, w, y x muestran conexiones activas a puertos TCP, UDP, RAW, o Unix. Si incluye adems el indicador a, se mostrarn tambin los puertos que estn esperando una conexin (es decir, que estn escuchando). Esto le dar una lista de todos los servidores que estn corriendo actualmente en su sistema. Llamar a netstat -ta en vlager produce esta salida: $ netstat -ta Active Internet Connections Proto Recv-Q Send-Q Local Address Foreign Address (State) tcp tcp tcp tcp tcp 0 0 0 0 0 0 *:domain 0 *:time 0 *:smtp 0 vlager:smtp 0 *:telnet *:* *:* *:* LISTEN LISTEN LISTEN ESTABLISHED

vstout:1040 *:*

LISTEN

tcp tcp tcp tcp tcp tcp tcp

0 0 0 0 0 0 0

0 localhost:1046 vbardolino:telnet ESTABLISHED 0 *:chargen 0 *:daytime 0 *:discard 0 *:echo 0 *:shell 0 *:login *:* *:* *:* *:* *:* *:* LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN

Esta salida muestra que la mayora de los servidores estn simplemente esperando una conexin externa. Sin embargo, la cuarta lnea muestra una conexin SMTP desde vstout, y la sexta lnea le indica que usted est haciendo una conexin telnet a vbardolino. El indicador a por s slo indicar todos los sockets de todo tipo. Para saber si una conexin es saliente por los nmeros de puerto. El nmero de puerto mostrado por una mquina que llama siempre ser un entero simple. En el caso de llamar a una mquina, usaremos un puerto correspondiente a un servicio conocido, por lo que netstat usar el nombre simblico, como smtp, que encuentre en /etc/services.