💾 Archived View for c3po.aljadra.xyz › conexionesypuertos.gmi captured on 2021-12-06 at 14:29:53. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2021-11-30)

-=-=-=-=-=-=-

Analizando un poco tus conexiones y puertos

Hay muchas formas de analizar los puertos que tienes abiertos localmente o hacia internet en tu GNU/Linux, o las conexiones que se están haciendo.

Siempre es mejor usar "sudo" para no perderse nada de lo que está ocurriendo al ser como administrador. Pero algunos comandos no lo necesitan. Usalos sin sudo y con sudo para ver si hay alguna diferencia.

Un comando principal para saber tus interfaces de red es abrir un Terminal y poner simplemente:

ifconfig

A partir de ahí puedes actuar para saber qué interfaz quieres analizar.

Pero a modo general, para conocer las conexiones abiertas puedes usar cualquiera de estos comandos (instalalos si no los tienes):

sockstat
netstat -aounpt
lsof -i4` / lsof -i6 (para conexiones ipv4 o ipv6)

o incluso con protocolos, como por ejemplo tcp o udp:

lsof -i tcp / lsof -i udp

Para saber los puertos que tienes abiertos no hay nada como un rápido "nmap":

nmap localhost

o si lo quieres más "profundo":

nmap -p 0-65535 localhost

De esta manera, sabrás si hay alguna conexión "extraña" en tu ordenador y buscar información sobre ella, o algún puerto de algún programa que te sorprenda.

Una forma mucho más profunda y aconsejable es usar "tcpdump" (os recomiendo aprender sobre tcpdump a fondo). Puedes usar muchos filtros con él, pero por ahora únicamente te muestro una forma sencilla de ver las conexiones que se dan en una determinada interfaz de red.

Si por ejemplo estás usando una VPN con Openvpn seguramente la interfaz de red será "tun0"(comprueba cual es con "ifconfig"). Por lo que para analizar qué se cuece en esa interfaz puedes poner (como root):

sudo tcpdump -i tun0

Pones tu contraseña y vas viendo en "tiempo real" las conexiones.

Si tu wifi es "wlp12s0" pues sería entonces:

sudo tcpdump -i wlp12s0

Analiza un poco lo que ves, al principio te puede resultar difícil pero aprende un poco y verás que es más sencillo de lo que creías. Es muy poderoso y te recomiendo leer un manual sobre este comando y sus opciones.

Es cierto que hay herramientas gráficas más sencillas para eso (Wireshark y otras) pero yo siempre he usado tcpdump y no me arrepiento.

Recuerda que también puedes pasar la salida a un archivo de texto para analizarlo tranquilamente después:

sudo tcpdump -i tun0 > red.txt

A veces puedes encontrar conexiones extrañas o no muy normales que conviene analizar. O algún servicio que usa tu GNU/Linux que te convendría encontrar y desactivar (sobre todo por ejemplo en Ubuntu).

Siempre es muy útil echar un ojo a lo que ocurre a tus espaldas y analizar el sistema también, como por ejemplo con "lynis":

Escaneo rápido:

sudo lynis -Q

o escaneo completo:

sudo lynis -c

Analiza los resultados y sus consejos.

Mi Blog