servredes - aula 4,5 - estudos de casos usando netstat e fuser.pdf
DESCRIPTION
Uploaded from Google DocsTRANSCRIPT
![Page 1: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/1.jpg)
Estudando:Serviço de Rede
x
Camada de TransporteMatéria: SERVIÇOS DE REDE
Prof: Bruno Roberto V. Castro
150206
![Page 2: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/2.jpg)
Entendendo o funcionamento de um Serviço de Rede
� Demonstrações e Estudos de Caso Utilizando:
� NETSTAT (LINUX e Windows)
� FPORT (Windows)
� FUSER (Linux)
![Page 3: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/3.jpg)
CASO 1 - Acesso que iremos ilustrar:Cliente acessando Servidor
Cliente: Windows XPip: 10.0.0.154Aplicação: VNC ViewerPorta: ?????
Servidor: Windows XPip: 10.0.0.37Aplicação: VNC ServerPorta: 5900
A B
![Page 4: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/4.jpg)
Comando: netstat –naExecutado na máquina B (Servidor VNC)
Serviço de REDE (Servidor VNC esta ativo, esperando por conexões
![Page 5: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/5.jpg)
Cliente A, conecta em B
A B
![Page 6: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/6.jpg)
Comando: netstat –naExecutado na máquina B (Servidor VNC)
![Page 7: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/7.jpg)
Comando: netstat –naExecutado na máquina A (Cliente VNC)
![Page 8: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/8.jpg)
![Page 9: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/9.jpg)
Comando: netstat –naExecutado na máquina B (Servidor VNC)
Serviço de REDE não esta mais ativo, não há “escuta” na porta
?
![Page 10: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/10.jpg)
O comando NETSTAT
� Disponível praticamente em todas as distribuições GNU/Linux
� Disponível em qualquer MS Windows com a pilha de protocolos Tcp/Ip instalada
� Para que serve ?� Mostra em uma máquina local, quais são as conexões
TCP ativas (ou em outro estado), e também as filas UDP em uso no momento
� Pode também mostrar tabelas de rotas e estatísticas de pacotes
![Page 11: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/11.jpg)
Alguns parâmetros do NETSTAT
� Exibe todas as conexões TCP e UDP ativas ou em outros estados (Linux e Windows)� netstat –na
� (windows) Exibe estatísticas de utilização da Rede� netstat –e
� netstat –e –v5 (de 5 em 5 segundos com refresh)
� (windows) Exibe tabela de roteamento (equivale ao route print)� netstat -r
![Page 12: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/12.jpg)
Voltando ao caso do VNC....
A B
Cliente: Windows XPip: 10.0.0.154Aplicação: VNC ViewerPorta: ?????
Servidor: Windows XPip: 10.0.0.37Aplicação: VNC ServerPorta: 5900
![Page 13: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/13.jpg)
Comando: netstat –naExecutado na máquina B (Servidor VNC)
![Page 14: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/14.jpg)
Porta 5900 LISTENING
� Como saber de onde vem ou ainda, qual serviço de rede esta ocasionando a “escuta” daquela porta ??
� Solução:� No Linux: Comando “fuser”
� Exemplo: fuser 5900/tcp
� No Windows, é necessário programas de terceiros, como o “fport” (www.foundstone.com)
![Page 15: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/15.jpg)
FUSER (linux) e FPORT (Windows)
� São programas que associam a APLICAÇÃO utilizada, à determinada PORTA TCP ou UDP
![Page 16: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/16.jpg)
Usando o FPORT para descobrir quem estava usando a porta 5900� C:\Documents and Settings\Administrator>fport� FPort v2.0 - TCP/IP Process to Port Mapper� Copyright 2000 by Foundstone, Inc.� http://www.foundstone.com
� Pid Process Port Proto Path� 1384 inetinfo -> 21 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe� 1304 dns -> 53 TCP C:\WINDOWS\System32\dns.exe� 1960 svchost -> 80 TCP C:\WINDOWS\System32\svchost.exe� 792 -> 135 TCP� 4 System -> 139 TCP� 4 System -> 445 TCP� 1580 -> 554 TCP� 1304 dns -> 1027 TCP C:\WINDOWS\System32\dns.exe� 548 lsass -> 1028 TCP C:\WINDOWS\system32\lsass.exe� 1384 inetinfo -> 1035 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe� 1712 tcpsvcs -> 1036 TCP C:\WINDOWS\system32\tcpsvcs.exe� 460 -> 1037 TCP� 4 System -> 1075 TCP� 4044 putty -> 1145 TCP C:\Internet\putty.exe� 3464 putty -> 1206 TCP C:\Internet\putty.exe� 1580 -> 1755 TCP� 2716 WinVNC4 -> 5800 TCP C:\Program Files\RealVNC\VNC4\WinVNC4.exe� 2716 WinVNC4 -> 5900 TCP C:\Program Files\RealVNC\VNC4\WinVNC4.exe� 2448 avgemc -> 10110 TCP C:\PROGRA~2\Grisoft\AVGFRE~1\avgemc.exe
![Page 17: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/17.jpg)
Usando o FPORT para descobrir quem estava usando a porta 5900
![Page 18: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/18.jpg)
CASO 2 - Cliente Windows acessando Servidor Linux – Serviço SSH
Cliente: Windows 2003ip: 10.0.0.37Aplicação: SSH ClientePorta: ?????
Servidor: Gnu/Linuxip: 10.0.10.33Aplicação: SSH ServerPorta: 22
A B
![Page 19: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/19.jpg)
Comando: netstat –naExecutado na máquina B (Servidor SSH)
![Page 20: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/20.jpg)
Comando: netstat –naExecutado na máquina A (Cliente VNC)
![Page 21: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/21.jpg)
Através do FUSER, descobrindo quem é a Aplicação que esta utilizando ou abrindo a porta 22 no Gnu/Linux
# vpn:~# fuser 22/tcp# 22/tcp: 3179 12893 12895# vpn:~#
Confirmando:� vpn:~# ps aux | grep 3179� root 3179 0.0 0.6 3720 1548 ? Ss Feb14
0:00 /usr/sbin/sshd
![Page 22: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/22.jpg)
Encerrando o Processo� kill 3179
� netstat –na� vpn:~# netstat -na� Conexões Internet Ativas (servidores e estabelecidas)� Proto Recv-Q Send-Q Endereço Local Endereço
Remoto Estado� tcp 0 0 0.0.0.0:686 0.0.0.0:* OUÇA� tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA� tcp 0 0 0.0.0.0:113 0.0.0.0:* OUÇA� tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA� udp 0 0 0.0.0.0:680 0.0.0.0:*� udp 0 0 0.0.0.0:683 0.0.0.0:*� udp 0 0 0.0.0.0:68 0.0.0.0:*� udp 0 0 0.0.0.0:111 0.0.0.0:*
![Page 23: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/23.jpg)
É possível verificar um PID através de uma porta, mesmo se ela for CLIENTE ??� vpn:~# netstat -na� Conexões Internet Ativas (servidores e estabelecidas)� Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado� tcp 0 0 0.0.0.0:686 0.0.0.0:* OUÇA� tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA� tcp 0 0 0.0.0.0:113 0.0.0.0:* OUÇA� tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA� tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA� tcp 0 0 10.0.10.33:32782 10.0.30.3:22 ESTABELECIDA� tcp 0 0 10.0.10.33:22 10.0.0.37:1145 ESTABELECIDA� tcp 0 396 10.0.10.33:22 10.0.0.37:1266 ESTABELECIDA� udp 0 0 0.0.0.0:680 0.0.0.0:*� udp 0 0 0.0.0.0:683 0.0.0.0:*� udp 0 0 0.0.0.0:68 0.0.0.0:*� udp 0 0 0.0.0.0:111 0.0.0.0:*� Domain sockets UNIX ativos (servidores e estabelecidas)� Proto CntRef Flags Tipo Estado I-Node Rota Caminho� unix 6 [ ] DGRAM 791 /dev/log� unix 2 [ ACC ] STREAM OUVINDO 13979 /dev/printer� unix 2 [ ] DGRAM 14213� unix 2 [ ] DGRAM 13976� unix 2 [ ] DGRAM 1194� unix 2 [ ] DGRAM 828� vpn:~#
![Page 24: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/24.jpg)
Usando o Fuser
vpn:~# fuser 32782/tcp
32782/tcp: 13093
vpn:~# ps aux | grep 13093
root 13093 0.1 0.6 3972 1752 pts/0 S+ 15:12 0:00 ssh 10.0.30.3
vpn:~#
![Page 25: SERVREDES - Aula 4,5 - Estudos de Casos usando NETSTAT e FUSER.pdf](https://reader033.vdocuments.site/reader033/viewer/2022061120/546c9659b4af9f24468b4601/html5/thumbnails/25.jpg)
� fim