Buenas tengo una duda sobre un netstat -a que realicé ya que me aparecen algunas sospechozas, como puedo saber bien cuales son seguras y si hay alguna insegura?
Hola @x3rn0b0k y bienvenido al foro
Te dejo algunos temas de interés y utilidad:
Como tal no hay forma de saber a ciencia cierta lo que muestre el comando netstat es algo peligroso o no puesto que no es usado para eso. Hoy en día difícilmente podrás ver una infección o intrusión. De querer identificar actividad rara es mejor buscar en otro lado. Independientemente te explico un poco como funciona.
Con netstat -a lo que podrías es investigar la IP a donde apuntan cada entrada. Omitiendo la tuya, de tu router, la local (127.0.0.1) o la de metadirección (0.0.0.0)pues con estas no haría falta ni que busques. Usando el siguiente ejemplo:
TCP 192.168.1.65:19623 38.113.165.142:https TIME_WAIT
Donde
- TCP - Protocolo usado
- 192.168.1.65:19623 - Es la IP local (solo accesible desde tu red) y puerto (separados por el “:”) desde donde se realiza la petición
- 38.113.165.142:https Es la IP destino y protocolo usado (en este caso https o protocolo seguro). Si buscamos en la red encontraremos que en este caso es una dirección de canada y aunque no es raro este tipo de conexiones, no dirá mucho.
- TIME_WAIT - En este caso indica que la conexión esta cerrada del lado local
De igual forma puedes usar el comanto netstat -naob para información adicional, como los puertos o el proceso que lo usa (no siempre se puede obtener la aplicación pero no es raro).
Nos comentas.
Saludos