Estudando:

Serviço de Rede
x

Camada de Transporte
Matéria: SERVIÇOS DE REDE
Prof: Bruno Roberto V. Castro
150206
Entendendo o funcionamento de um
Serviço de Rede

Demonstrações e Estudos de Caso
Utilizando:

 NETSTAT (LINUX e Windows)

 FPORT (Windows)

 FUSER (Linux)
CASO 1 - Acesso que iremos ilustrar:
Cliente acessando Servidor

A B

Cliente: Windows XP
ip: 10.0.0.154 Servidor: Windows XP
Aplicação: VNC Viewer ip: 10.0.0.37
Porta: ????? Aplicação: VNC Server
Porta: 5900
 Comando: netstat –na
Executado na máquina B (Servidor VNC)

Serviço de REDE (Servidor VNC esta ativo, esperando por conexões

Cliente A, conecta em B

A B
Comando: netstat –na
Executado na máquina B (Servidor VNC)
Comando: netstat –na
Executado na máquina A (Cliente VNC)
 Comando: netstat –na ?
Executado na máquina B (Servidor VNC)

Serviço de REDE não esta mais ativo, não há “escuta” na porta

O comando NETSTAT

Disponível praticamente em todas as distribuições

GNU/Linux

Disponível em qualquer MS Windows com a pilha
de protocolos Tcp/Ip instalada

Para que serve ?

 Mostra em uma máquina local, quais são as conexões
TCP ativas (ou em outro estado), e também as filas UDP
em uso no momento
 Pode também mostrar tabelas de rotas e estatísticas de
pacotes
Alguns parâmetros do NETSTAT

Exibe todas as conexões TCP e UDP ativas ou em
outros estados (Linux e Windows)
 netstat –na

(windows) Exibe estatísticas de utilização da Rede

 netstat –e
 netstat –e –v5 (de 5 em 5 segundos com refresh)

(windows) Exibe tabela de roteamento (equivale ao

route print)
 netstat -r
Voltando ao caso do VNC....

A B

Cliente: Windows XP
ip: 10.0.0.154 Servidor: Windows XP
Aplicação: VNC Viewer ip: 10.0.0.37
Porta: ????? Aplicação: VNC Server
Porta: 5900
Comando: netstat –na
Executado na máquina B (Servidor VNC)
Porta 5900 LISTENING

Como saber de onde vem ou ainda, qual

serviço de rede esta ocasionando a “escuta”
daquela porta ??

Solução:
 No Linux: Comando “fuser”

Exemplo: fuser 5900/tcp
 No Windows, é necessário programas de
terceiros, como o “fport” (www.foundstone.com)
FUSER (linux) e FPORT (Windows)

São programas que associam a APLICAÇÃO

utilizada, à determinada PORTA TCP ou
UDP
Usando o FPORT para descobrir quem
estava usando a porta 5900

C:\Documents and Settings\Administrator>fport

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

http://www.foundstone.com

Pid Process Port Proto Path

1384 inetinfo -> 21 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe

1304 dns -> 53 TCP C:\WINDOWS\System32\dns.exe

1960 svchost -> 80 TCP C:\WINDOWS\System32\svchost.exe

792 -> 135 TCP

4 System -> 139 TCP

4 System -> 445 TCP

1580 -> 554 TCP

1304 dns -> 1027 TCP C:\WINDOWS\System32\dns.exe

548 lsass -> 1028 TCP C:\WINDOWS\system32\lsass.exe

1384 inetinfo -> 1035 TCP C:\WINDOWS\system32\inetsrv\inetinfo.exe

1712 tcpsvcs -> 1036 TCP C:\WINDOWS\system32\tcpsvcs.exe

460 -> 1037 TCP

4 System -> 1075 TCP

4044 putty -> 1145 TCP C:\Internet\putty.exe

3464 putty -> 1206 TCP C:\Internet\putty.exe

1580 -> 1755 TCP

2716 WinVNC4 -> 5800 TCP C:\Program Files\RealVNC\VNC4\WinVNC4.exe

2716 WinVNC4 -> 5900 TCP C:\Program Files\RealVNC\VNC4\WinVNC4.exe

2448 avgemc -> 10110 TCP C:\PROGRA~2\Grisoft\AVGFRE~1\avgemc.exe
Usando o FPORT para descobrir quem
estava usando a porta 5900
CASO 2 - Cliente Windows acessando
Servidor Linux – Serviço SSH

A B

Cliente: Windows 2003

ip: 10.0.0.37 Servidor: Gnu/Linux
Aplicação: SSH Cliente ip: 10.0.10.33
Porta: ????? Aplicação: SSH Server
Porta: 22
Comando: netstat –na
Executado na máquina B (Servidor SSH)
Comando: netstat –na
Executado na máquina A (Cliente VNC)
Através do FUSER, descobrindo quem é a
Aplicação que esta utilizando ou abrindo a
porta 22 no Gnu/Linux
# vpn:~# fuser 22/tcp
# 22/tcp: 3179 12893 12895
# vpn:~#

Confirmando:

vpn:~# ps aux | grep 3179

root 3179 0.0 0.6 3720 1548 ? Ss Feb14

0:00 /usr/sbin/sshd
Encerrando o Processo

kill 3179

netstat –na
 vpn:~# netstat -na
 Conexões Internet Ativas (servidores e estabelecidas)
 Proto Recv-Q Send-Q Endereço Local Endereço
Remoto Estado
 tcp 0 0 0.0.0.0:686 0.0.0.0:* OUÇA
 tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA
 tcp 0 0 0.0.0.0:113 0.0.0.0:* OUÇA
 tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA
 udp 0 0 0.0.0.0:680 0.0.0.0:*
 udp 0 0 0.0.0.0:683 0.0.0.0:*
 udp 0 0 0.0.0.0:68 0.0.0.0:*
 udp 0 0 0.0.0.0:111 0.0.0.0:*
É possível verificar um PID através de
uma porta, mesmo se ela for CLIENTE ??

vpn:~# netstat -na

Conexões Internet Ativas (servidores e estabelecidas)

Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado

tcp 0 0 0.0.0.0:686 0.0.0.0:* OUÇA

tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA

tcp 0 0 0.0.0.0:113 0.0.0.0:* OUÇA

tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA

tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA

tcp 0 0 10.0.10.33:32782 10.0.30.3:22 ESTABELECIDA

tcp 0 0 10.0.10.33:22 10.0.0.37:1145 ESTABELECIDA

tcp 0 396 10.0.10.33:22 10.0.0.37:1266 ESTABELECIDA

udp 0 0 0.0.0.0:680 0.0.0.0:*

udp 0 0 0.0.0.0:683 0.0.0.0:*

udp 0 0 0.0.0.0:68 0.0.0.0:*

udp 0 0 0.0.0.0:111 0.0.0.0:*

Domain sockets UNIX ativos (servidores e estabelecidas)

Proto CntRef Flags Tipo Estado I-Node Rota Caminho

unix 6 [] DGRAM 791 /dev/log

unix 2 [ ACC ] STREAM OUVINDO 13979 /dev/printer

unix 2 [] DGRAM 14213

unix 2 [] DGRAM 13976

unix 2 [] DGRAM 1194

unix 2 [] DGRAM 828

vpn:~#
Usando o Fuser

vpn:~# fuser 32782/tcp

32782/tcp: 13093

vpn:~# ps aux | grep 13093

root 13093 0.1 0.6 3972 1752 pts/0 S+
15:12 0:00 ssh 10.0.30.3
vpn:~#

fim