<<< volver
Útiles monitorización TCP y UDP
Nmap  es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP, podemos ver que puertos de nuestra máquina se ven abiertos desde la red, red interna,internet .... El paso siguiente es ver que proceso de la máquina esta escuchando en ese puerto. Además es muy importante monitorizar quien se conecta a nuestra máquina y por donde, en busca de posibles agujeros.

 

Por diferentes motivos nos puede interesar saber en que puerto escucha una aplicación, o al revés, una vez que hemos visto los puertos abiertos en nuestra máquina debemos asegurarno de que procesos están escuchando en esos puerto. 

TCPview es un programa que muestra información detallada de los protocolos TCP y UDP del sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP.

Es un ejecutable muy pequeño que no requiere instalación. Lo descargamos. Descomprimimos el fichero .zip que nos hemos descargado y ejecutamos directamente el tcpview.exe.

Automáticamente nos saldrá una pantalla con todas las conexiones de nuestra máquina.

TcpView 

Tenemos 5 columnas:

1.- Procesos - donde se muestra lista de los procesos que se conecta o permiten  conectarse a nuestra máquina.
2.- Protocolo - Si es UDP o TCP.
3.- Local Adress - la dirección local en la que esta escuchando, esto es importante cuando tenemos una máquina con varios interfaces de red, para saber donde esta escuchando la aplicación.
4.- Remote Address - la máquina remota con la que estamos conectados.
5.- Estado - si es un puerto en escucha, si tenemos una comunicación ....

Lo primero que haremos cuando ejecutemos TCPview es ir a "Options" en el menú superior, y marcaremos la opción "Show unconnected endpoints" con esto lo que hacemos es ver que puertos tenemos a la escucha. Si no lo marcamos sólo veremos las conexiones establecidas.

En "File" podremos guardar en fichero de texto las conexiones que tenemos en un momento determinado.

En "Process" tenemos dos opciones, "Process Properties" que nos da información del proceso y nos dice la ruta donde esta instalado, y la segunda "End Process" que nos permite terminar el proceso seleccionado.

Casos Prácticos

1.- Comprobar las aplicaciones que hay detrás de nuestros puertos abiertos además de permitirnos cortar aplicaciones que no sepamos quien las ha arrancado.

2.- Monitorizar que procesos de la máquina están abiertos y permite conexiones. Aquí veriamos inmediatamente si tenemos un troyano instalado o spyware ....

3.- Monitorizar que equipos están conectados a nuestra máquina, y que aplicación están utilizando para conectarse

4.- Comprobar el puerto que utiliza una aplicación para hacerle un NAT en el router si necesitamos que este accesible desde internet. Por ejemplo tenemos el edonkey funcionando si no hacemos NAT, el resto de usuarios no se pueden conectar a nuestra máquina y tendremos un lowid, en la configuración del edonkey podemos ver el puerto en el que escucha pero si no lo encontramos, podemos ejecutarlo y ver con el TCPview en que puerto esta escuchando.

<<< volver