c:\>nestat -ano
- -a
- Muestra todas las conexiones TCP activas y los puertos TCP y UDP en el que está escuchando el equipo.
- -n
- Muestra las conexiones TCP activas, sin embargo, direcciones y números de puerto se expresan numéricamente y se realiza ningún intento para determinar los nombres.
- -o
- Muestra las conexiones TCP activas e incluye el identificador de proceso (PID) para cada conexión.
Puede encontrar la aplicación basada en el PID en la ficha de procesos en el Administrador de tareas de Windows. Este parámetro se puede combinar con - a-n -n y -p.
Esto mostrar una lista conteniendo todos las conexiones establecidas, notamos que nos muestra mucha información, para filtrar y solo mostrar las conexiones establecidas podemos utilizar el siguiente comando:
c:\>netstat -ano | findstr ESTABLISHED
192.168.10
Por ejemplo en mi equipo encontré las siguientes direcciones sospechosos
Proto Dirección local Dirección remota Estado PID
TCP 192.168.10.155:50164 192.168.10.25:445 ESTABLISHED 4
TCP 192.168.10.155:50170 74.125.141.188:5228 ESTABLISHED 12756
TCP 192.168.10.155:51016 38.99.185.103:443 ESTABLISHED 2632
TCP 192.168.10.155:53434 52.200.182.11:443 ESTABLISHED 14212
TCP 192.168.10.155:54672 192.168.10.20:49166 ESTABLISHED 5720
Ahora lo que podemos hacer es verificar que aplicación esta consumiendo este servicio y que servicio esta siendo consumido.
Para verificar el servicio que esta siendo consumido, podemos obtener esa información del campo dirección remota, después del : viene el puerto. En la segunda entrada de la tabla el puerto es 5228, este lo podemos verificar en la pagina http://es.adminsub.net/tcp-udp-port-finder
Por ejemplo este puerto no proporciona mucha información que esta haciendo, es por eso que vamos a verificar la dirección, una pagina que recomiendo es: https://www.abuseipdb.com/check/ otra pagina útil es http://www.webyield.net/ip/
Ahora si nos da indicios de que es esa conexión, si buscamos un poco eso lo utiliza los buscadores para mejorar sus búsquedas, si no estamos muy convencidos podríamos verificar que aplicación esta enlazado a ese servicio, la aplicación se muestra en el campo PID del primer comando ejecutado. Para este caso el PID de la aplicación es 12756, para consultar a que aplicación pertenece ese PID, ejecutamos el siguiente comando:
C:\>tasklist /fi "PID eq 12756"
Nombre de imagen PID Nombre de sesión Núm. de ses Uso de memor
============== ===== ============ ========= =============
chrome.exe 12756 Console 2 227,328 KB
En la salida del anterior comando, se puede observar que la sesión esta conectada a la aplicación google chrome, otro comando que nos podría dar mayor indicio de que esta haciendo podemos utilizar el comando pero con los siguiente parámetros:
C:\>tasklist /svc /fi "PID eq 12756"
Nombre de imagen PID Servicios
================== ======== ============================
chrome.exe 12756 N/D
Bueno si no queremos que este activa esa conexión, podemos matar ese proceso con el siguiente comando:
C:\>taskkill /F /IM 12756