Neste artigo, mostrarei os passos basicos, sem o uso de ferramentas
de terceiros para analizar sua própria conexão, para evitar quem sabe
uma utilização indevida de sua conexão por meio de um invasor. Tanto
utilizando malwares, trojans e keyloggers, mais como são passos básicos
para uma analize, recomendo que sempre use um bom anti-virús, e de
grande ajuda um bom firewall, o que mostrarei é uma análize manual
usando somente o Netstat.
1° passo: Essa vai para você que usa o windows 7, e não sabe usa-lo para esses meios.
Conhece a Ferramenta "netstat"? Qual sua função?
A função do netstat é Exibir estatísticas de protocolo e conexões de rede TCP/IP ou UDP/IP atuais.
Mais como isso? Ele monitora toda a rede, é possível camuflar um arquivo indesejado ou deixar uma invasão
passar despercebido por seu firewall, mais em todo caso, este pode ser um recurso de grande ajuda
caso o seu antivirus falhe, e seu firewall também falhe, na questão de localizar um arquivo
indesejado.
Vamos a Lista de comandos do Netstat:
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval]
-a Exibe todas as conexões e portas de escuta.
-b Exibe o executável envolvido na criação de cada conexão ou
a porta de escuta. Em alguns casos, executáveis bastante
conhecidos hospedam vários componentes independentes e,
nesses casos, a sequência de componentes envolvidos na
criação da conexão ou porta de escuta é exibida. Nessa
situação, o nome do executável fica entre [] na parte
inferior, na parte superior fica o componente que ele
chamou e assim por diante até o TCP/IP ser alcançado.
Observe que essa opção pode ser demorada e falhará, a
menos que você tenha as permissões suficientes.
-e Exibe estatísticas de Ethernet. Pode ser combinada com a
opção -s.
-f Exibe Nomes de Domínio Totalmente Qualificados para endereços
externos.
-n Exibe endereços e números de porta no formato numérico.
-o Exibe a identificação do processo proprietário associado a
cada conexão.
-p proto Mostra as conexões do protocolo especificado por proto; proto
pode ser: TCP, UDP, TCPv6 ou UDPv6. Se usado com a opção -s
para exibir estatísticas por protocolo, proto pode ser:
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP ou UDPv6.
-r Exibe a tabela de roteamento.
-s Exibe estatísticas por protocolo. Por padrão, são mostradas
estatísticas para IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e
UDPv6; a opção -p pode ser usada para especificar um
subconjunto do padrão.
-t Exibe o estado de offload da conexão atual.
interval Re-exibe as estatísticas selecionadas, fazendo intervalos
de segundos entre cada exibição. Pressione CTRL+C para
interromper a re-exibição de estatísticas. Se omitido,
netstat imprimirá as informações de configuração atuais
uma vez.
Ou Simplesmente abra o prompt de comando indo no seguinte caminho:
Iniciar>Todos os Programas>Acessórios>Clique em "Prompt de comando">Depois de aberto
Digite "netstat help"
Nota: Digite o Comando netstat help, sem as Aspas".
Cada comando acima está junto com a explicação dada pelo padrão da microsoft.
Agora Observe a Pequena demonstração de um analize em uma conexão ativa:
Com o meu prompt de comando aberto no modo root(depois ensino como ser root no windows 7)
Eu digito: netstat -b
Aparece:
C:\Users\Gabriel>netstat -b
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro:1056 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:1056 foro:1055 ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1049 65.55.184.155:https ESTABLISHED
wuauserv
[svchost.exe]
TCP xx.xxx.xx.x:1054 download:http CLOSE_WAIT
[cmdagent.exe]
TCP xx.xxx.xx.x:1057 downloads:http ESTABLISHED
[cmdagent.exe]
TCP xx.xxx.xx.x:1058 gru03s16-in-f24:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x.13:1059 gru03s16-in-f24:http TIME_WAIT
Aparece os processos do windows que estão fazendo conexão com a internet
Não estranhe este processo "wuauserv" pois ele é padrão da microsoft para atualizar o windows.
Este processo "cmdagent.exe" é o meu firewall Comodo Internet Security 2011
Este é o Firefox "firefox.exe" navegador Web.
Este é o servidor de internet do Windows "svchost.exe".
2° passo: Mais como ser mais especifico? Basta seguir o seguinte comando:
Digite "netstat -f"
Aparece:
C:\Users\Gabriel>netstat -f
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro.inexinferis.com.ar:1056 ESTABLISHED
TCP 127.0.0.1:1056 foro.inexinferis.com.ar:1055 ESTABLISHED
TCP xx.xxx.xx.x:1062 gru03s16-in-f24.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1063 gru03s16-in-f24.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1068 download.comodo.com:http CLOSE_WAIT
TCP xx.xxx.xx.x:1069 downloads.comodo.com:http ESTABLISHED
TCP xx.xxx.xx.x:1072 gru03s06-in-f0.1e100.net:https ESTABLISHED
TCP xx.xxx.xx.x:1074 eze03s05-in-f4.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1081 addons-star.zlb.phx.mozilla.net:https FIN_WAIT_
2
TCP xx.xxx.xx.x:1082 89.202.157.196:http ESTABLISHED
TCP xx.xxx.xx.x:1083 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1084 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1085 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1086 eze03s05-in-f15.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1090 eze03s05-in-f15.1e100.net:http TIME_WAIT
TCP xx.xxx.xx.x:1093 eze03s05-in-f12.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1095 eze03s05-in-f12.1e100.net:http TIME_WAIT
TCP xx.xxx.xx.x:1096 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
TCP xx.xxx.xx.x:1097 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
TCP xx.xxx.xx.x:1098 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
O local host( 127.0.0.1:) aparece fazendo conexão com o seguinte link: foro.inexinferis.com.ar
É porque voce tem instalado algum patch em relação a servidor de jogo on line do Counter Striker.
Se tiver duvida em relação a qualquer link só procurar no amigo de todos(google),
O significado do endereço.
3° passo: Agora pra ser mais especifico, façamos o seguinte:
Digite netstat -b -f
O que aparece:
C:\Users\Gabriel>netstat -b -f
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro.inexinferis.com.ar:1056 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:1056 foro.inexinferis.com.ar:1055 ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1074 eze03s05-in-f4.1e100.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1093 eze03s05-in-f12.1e100.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1110 OCSP.MIA1.VERISIGN.COM:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1111 OCSP.FRA1.VERISIGN.COM:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1122 download.comodo.com:http CLOSE_WAIT
[cmdagent.exe]
TCP xx.xxx.xx.x:1124 downloads.comodo.com:http ESTABLISHED
[cmdagent.exe]
TCP xx.xxx.xx.x:1125 bouncer01.zlb.phx.mozilla.net:http FIN_WAIT_1
[firefox.exe]
TCP xx.xxx.xx.x:1126 bouncer01.zlb.phx.mozilla.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1127 iad-agg-n19.panthercdn.com:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1128 iad-agg-n19.panthercdn.com:http SYN_SENT
[firefox.exe]
Neste comando, aparece os processos de aplicativos que estão criando conexão com a internet,
e utilizando os endereços, tanto url como Ip.
4° Passo "Avançado": Mais caso você seja um usuário mais avançado, você pode fazer um roteamento em sua conexão
usando o seguinte comando:
Digite netstat -r
aparece:
C:\Users\Gabriel>netstat -r
===========================================================================
Lista de interfaces
32........................... USB Modem #2 (OTA)
13...00 1d 92 bc 8c da ......NIC Fast Ethernet PCI-E Realtek Família RTL8101E (
NDIS 6.20)
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP
===========================================================================
Tabela de rotas IPv4
===========================================================================
Rotas ativas:
Endereço de rede Máscara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 No vínculo xxx.xxx.xxx.xx 41
127.0.0.0 255.0.0.0 No vínculo 127.0.0.1 4531
127.0.0.1 255.255.255.255 No vínculo 127.0.0.1 4531
127.255.255.255 255.255.255.255 No vínculo 127.0.0.1 4531
xxx.xxx.xxx.xx 255.255.255.255 No vínculo xxx.xxx.xxx.xx 296
224.0.0.0 240.0.0.0 No vínculo 127.0.0.1 4531
224.0.0.0 240.0.0.0 No vínculo xxx.xxx.xxx.xx 41
255.255.255.255 255.255.255.255 No vínculo 127.0.0.1 4531
255.255.255.255 255.255.255.255 No vínculo xxx.xxx.xxx.xx 296
===========================================================================
Rotas persistentes:
Nenhuma
Tabela de rotas IPv6
===========================================================================
Rotas ativas:
Se destino de rede de métrica Gateway
1 306 ::1/128 No vínculo
1 306 ff00::/8 No vínculo
===========================================================================
Rotas persistentes:
Nenhuma
Concluindo, não é dificil para ninguem, analizar a propria conexão. Mais é claro, que todos necessitamos sempre aprender um pouco, para que haja uma segurança nos nossos dados, e que nenhum espertinho, venha roubar e divulgar na internet. Quanto a rede analizada, é possivel concluir que ela não sofre nenhuma alteração(no caso é o diagnotisco, feito após usar a ferramenta do windows "netstat", mais é sempre bom utilizar um firewall para este trabalho).
1° passo: Essa vai para você que usa o windows 7, e não sabe usa-lo para esses meios.
Conhece a Ferramenta "netstat"? Qual sua função?
A função do netstat é Exibir estatísticas de protocolo e conexões de rede TCP/IP ou UDP/IP atuais.
Mais como isso? Ele monitora toda a rede, é possível camuflar um arquivo indesejado ou deixar uma invasão
passar despercebido por seu firewall, mais em todo caso, este pode ser um recurso de grande ajuda
caso o seu antivirus falhe, e seu firewall também falhe, na questão de localizar um arquivo
indesejado.
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval]
-a Exibe todas as conexões e portas de escuta.
-b Exibe o executável envolvido na criação de cada conexão ou
a porta de escuta. Em alguns casos, executáveis bastante
conhecidos hospedam vários componentes independentes e,
nesses casos, a sequência de componentes envolvidos na
criação da conexão ou porta de escuta é exibida. Nessa
situação, o nome do executável fica entre [] na parte
inferior, na parte superior fica o componente que ele
chamou e assim por diante até o TCP/IP ser alcançado.
Observe que essa opção pode ser demorada e falhará, a
menos que você tenha as permissões suficientes.
-e Exibe estatísticas de Ethernet. Pode ser combinada com a
opção -s.
-f Exibe Nomes de Domínio Totalmente Qualificados para endereços
externos.
-n Exibe endereços e números de porta no formato numérico.
-o Exibe a identificação do processo proprietário associado a
cada conexão.
-p proto Mostra as conexões do protocolo especificado por proto; proto
pode ser: TCP, UDP, TCPv6 ou UDPv6. Se usado com a opção -s
para exibir estatísticas por protocolo, proto pode ser:
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP ou UDPv6.
-r Exibe a tabela de roteamento.
-s Exibe estatísticas por protocolo. Por padrão, são mostradas
estatísticas para IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e
UDPv6; a opção -p pode ser usada para especificar um
subconjunto do padrão.
-t Exibe o estado de offload da conexão atual.
interval Re-exibe as estatísticas selecionadas, fazendo intervalos
de segundos entre cada exibição. Pressione CTRL+C para
interromper a re-exibição de estatísticas. Se omitido,
netstat imprimirá as informações de configuração atuais
uma vez.
Ou Simplesmente abra o prompt de comando indo no seguinte caminho:
Iniciar>Todos os Programas>Acessórios>Clique em "Prompt de comando">Depois de aberto
Digite "netstat help"
Nota: Digite o Comando netstat help, sem as Aspas".
Cada comando acima está junto com a explicação dada pelo padrão da microsoft.
Agora Observe a Pequena demonstração de um analize em uma conexão ativa:
Com o meu prompt de comando aberto no modo root(depois ensino como ser root no windows 7)
Eu digito: netstat -b
Aparece:
C:\Users\Gabriel>netstat -b
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro:1056 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:1056 foro:1055 ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1049 65.55.184.155:https ESTABLISHED
wuauserv
[svchost.exe]
TCP xx.xxx.xx.x:1054 download:http CLOSE_WAIT
[cmdagent.exe]
TCP xx.xxx.xx.x:1057 downloads:http ESTABLISHED
[cmdagent.exe]
TCP xx.xxx.xx.x:1058 gru03s16-in-f24:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x.13:1059 gru03s16-in-f24:http TIME_WAIT
Aparece os processos do windows que estão fazendo conexão com a internet
Não estranhe este processo "wuauserv" pois ele é padrão da microsoft para atualizar o windows.
Este processo "cmdagent.exe" é o meu firewall Comodo Internet Security 2011
Este é o Firefox "firefox.exe" navegador Web.
Este é o servidor de internet do Windows "svchost.exe".
2° passo: Mais como ser mais especifico? Basta seguir o seguinte comando:
Digite "netstat -f"
Aparece:
C:\Users\Gabriel>netstat -f
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro.inexinferis.com.ar:1056 ESTABLISHED
TCP 127.0.0.1:1056 foro.inexinferis.com.ar:1055 ESTABLISHED
TCP xx.xxx.xx.x:1062 gru03s16-in-f24.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1063 gru03s16-in-f24.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1068 download.comodo.com:http CLOSE_WAIT
TCP xx.xxx.xx.x:1069 downloads.comodo.com:http ESTABLISHED
TCP xx.xxx.xx.x:1072 gru03s06-in-f0.1e100.net:https ESTABLISHED
TCP xx.xxx.xx.x:1074 eze03s05-in-f4.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1081 addons-star.zlb.phx.mozilla.net:https FIN_WAIT_
2
TCP xx.xxx.xx.x:1082 89.202.157.196:http ESTABLISHED
TCP xx.xxx.xx.x:1083 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1084 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1085 gru03s16-in-f23.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1086 eze03s05-in-f15.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1090 eze03s05-in-f15.1e100.net:http TIME_WAIT
TCP xx.xxx.xx.x:1093 eze03s05-in-f12.1e100.net:http ESTABLISHED
TCP xx.xxx.xx.x:1095 eze03s05-in-f12.1e100.net:http TIME_WAIT
TCP xx.xxx.xx.x:1096 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
TCP xx.xxx.xx.x:1097 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
TCP xx.xxx.xx.x:1098 addons-versioncheck-single1.zlb.phx.mozilla.net:
https ESTABLISHED
O local host( 127.0.0.1:) aparece fazendo conexão com o seguinte link: foro.inexinferis.com.ar
É porque voce tem instalado algum patch em relação a servidor de jogo on line do Counter Striker.
Se tiver duvida em relação a qualquer link só procurar no amigo de todos(google),
O significado do endereço.
3° passo: Agora pra ser mais especifico, façamos o seguinte:
Digite netstat -b -f
O que aparece:
C:\Users\Gabriel>netstat -b -f
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 127.0.0.1:1055 foro.inexinferis.com.ar:1056 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:1056 foro.inexinferis.com.ar:1055 ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1074 eze03s05-in-f4.1e100.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1093 eze03s05-in-f12.1e100.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1110 OCSP.MIA1.VERISIGN.COM:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1111 OCSP.FRA1.VERISIGN.COM:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1122 download.comodo.com:http CLOSE_WAIT
[cmdagent.exe]
TCP xx.xxx.xx.x:1124 downloads.comodo.com:http ESTABLISHED
[cmdagent.exe]
TCP xx.xxx.xx.x:1125 bouncer01.zlb.phx.mozilla.net:http FIN_WAIT_1
[firefox.exe]
TCP xx.xxx.xx.x:1126 bouncer01.zlb.phx.mozilla.net:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1127 iad-agg-n19.panthercdn.com:http ESTABLISHED
[firefox.exe]
TCP xx.xxx.xx.x:1128 iad-agg-n19.panthercdn.com:http SYN_SENT
[firefox.exe]
Neste comando, aparece os processos de aplicativos que estão criando conexão com a internet,
e utilizando os endereços, tanto url como Ip.
4° Passo "Avançado": Mais caso você seja um usuário mais avançado, você pode fazer um roteamento em sua conexão
usando o seguinte comando:
Digite netstat -r
aparece:
C:\Users\Gabriel>netstat -r
===========================================================================
Lista de interfaces
32........................... USB Modem #2 (OTA)
13...00 1d 92 bc 8c da ......NIC Fast Ethernet PCI-E Realtek Família RTL8101E (
NDIS 6.20)
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP
===========================================================================
Tabela de rotas IPv4
===========================================================================
Rotas ativas:
Endereço de rede Máscara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 No vínculo xxx.xxx.xxx.xx 41
127.0.0.0 255.0.0.0 No vínculo 127.0.0.1 4531
127.0.0.1 255.255.255.255 No vínculo 127.0.0.1 4531
127.255.255.255 255.255.255.255 No vínculo 127.0.0.1 4531
xxx.xxx.xxx.xx 255.255.255.255 No vínculo xxx.xxx.xxx.xx 296
224.0.0.0 240.0.0.0 No vínculo 127.0.0.1 4531
224.0.0.0 240.0.0.0 No vínculo xxx.xxx.xxx.xx 41
255.255.255.255 255.255.255.255 No vínculo 127.0.0.1 4531
255.255.255.255 255.255.255.255 No vínculo xxx.xxx.xxx.xx 296
===========================================================================
Rotas persistentes:
Nenhuma
Tabela de rotas IPv6
===========================================================================
Rotas ativas:
Se destino de rede de métrica Gateway
1 306 ::1/128 No vínculo
1 306 ff00::/8 No vínculo
===========================================================================
Rotas persistentes:
Nenhuma
Concluindo, não é dificil para ninguem, analizar a propria conexão. Mais é claro, que todos necessitamos sempre aprender um pouco, para que haja uma segurança nos nossos dados, e que nenhum espertinho, venha roubar e divulgar na internet. Quanto a rede analizada, é possivel concluir que ela não sofre nenhuma alteração(no caso é o diagnotisco, feito após usar a ferramenta do windows "netstat", mais é sempre bom utilizar um firewall para este trabalho).
Divulguem nas redes sociais, espalhem para seus amigos caso este Artigo tenha lhe sido útil.
0 comentários:
Postar um comentário