¿Qué es netstat y cómo funciona?

netstat, término derivado de “network” (red) y “statistics”, es un programa dirigido con órdenes ejecutadas en la línea de comandos que entrega estadísticas básicas sobre la totalidad de las actividades de red. También puede entregar información acerca de los puertos y direcciones a través de los cuales se ejecutan las conexiones (TCP, UDP) y los puertos abiertos para solicitudes. netstat se implementó por primera vez en 1983 en la BSD (Berkeley Software Distribution), uno de los derivados del sistema UNIX, cuya versión 4.2 fue la primera en soportar la familia de protocolos de Internet TCO/IP.

Desde 1991, netstat está integrado de forma estándar en Linux, del mismo modo que en Windows desde la versión 3.11 (1993), que también podía conectarse por TCP/IP utilizando una extensión. Las diversas implementaciones son muy similares en cuanto a funcionalidad, aunque los parámetros de los comandos de netstat y las salidas presentan ligeras diferencias.

Fundamentalmente, netstat es un programa de líneas de comandos y, por lo tanto, no tiene una interfaz gráfica de usuario. Programas como TCPView, desarrollado por Sysinternals para el sistema operativo de Windows, hacen posible representar estadísticas gráficamente.

Cómo se utiliza netstat

En los sistemas operativos Windows los servicios de netstat se utilizan en la línea de comandos (cmd.exe). Esta se encuentra en el menú de inicio bajo “Accesorios” como “Símbolo de sistema” (Windows 8 y 10). De manera alternativa, se puede buscar como cmd en la función de búsqueda del menú de inicio o abrir la línea de comandos haciendo clic en “Ejecutar” (tecla de Windows + R + “cmd”).

La sintaxis de los comandos de netstat sigue el siguiente patrón:

netstat [-a] [-b] [-e] [-f] [-n] [-o] [-p Protocolo] [-r] [-s] [-t] [-x] [-y] [Intervalo]

La combinación de las opciones funciona encadenando los parámetros en una secuencia, separados por un espacio:

netstat [-OPTION1] [-OPTION2] [-OPTION3] …

Los parámetros suelen ir precedidos de un guión (-), pero si deseas combinar varias opciones, solo tienes que colocar este guión delante del primer elemento. En lugar de la variante que se muestra anteriormente, también se pueden enlazar diferentes parámetros como se indica a continuación:

netstat [-OPTION1][OPTION2][OPTION3] …

En este caso, es importante que no dejes ningún espacio entre las opciones.

Los comandos de terminal de netstat para Windows

[OPCIÓN] Comando Descripción del modo
  netstat Modo estándar que informa sobre todas las conexiones de red activas
-a netstat -a Enumera también los puertos abiertos
-b netstat -b Muestra el archivo ejecutable de una conexión o de un puerto de escucha (requiere permisos de administrador).
-e netstat -e Estadísticas de interfaz (paquetes de datos recibidos y enviados, etc.)
-f netstat -f Devuelve el nombre de dominio cualificado (FQDN) de las direcciones remotas
-i netstat -i Abre el menú general de netstat
-n netstat -n Visualización numérica de direcciones y números de puerto
-o netstat -o Añade el ID de proceso correspondiente a cada conexión
-p Protocol netstat -p TCP Muestra las conexiones para el protocolo especificado, en este caso TCP (también posible: UDP, TCPv6 o UDPv6)
-q netstat -q Lista todas las conexiones, todos los puertos TCP en escucha y todos los puertos TCP abiertos que no están en escucha
-r netstat -r Muestra la tabla de enrutamiento
-s netstat -s Recupera estadísticas sobre los protocolos de red importantes como TCP, IP o UDP
-t netstat -t Muestra el estado de descarga (descarga TCP para liberar al procesador principal) de las conexiones activas
-x netstat -x Informa sobre todas las conexiones, los oyentes y los puntos finales compartidos para NetworkDirect
-y netstat -y Muestra qué plantillas de conexión se utilizaron para las conexiones TCP activas
Interval netstat -p 10 Muestra de nuevo las estadísticas respectivas después de un número seleccionado de segundos (aquí 10); puede combinarse según sea necesario (aquí con -p),[CTRL] +[C] finaliza la visualización de intervalos

Netstat: ejemplos

Para que el uso de los comandos de netstat listados para Windows sea más fácil de entender, te mostraremos ahora algunos comandos de ejemplo.

Lista de todas las conexiones para el protocolo IPv4

Si no deseas recuperar todas las conexiones activas, sino solo las conexiones IPv4, puedes hacerlo con este comando netstat:

netstat -p IP

Acceder a la estadística del protocolo ICMPv6

Si deseas obtener estadísticas sobre el protocolo ICMPv6, introduce el siguiente comando en la línea de comandos:

netstat -s -p icmpv6

El comando entrega esta salida:

Consulta repetitiva de las estadísticas de la interfaz (cada 20 segundos)

Utiliza el siguiente comando netstat para una consulta repetida de las estadísticas de la interfaz, que devuelve nuevos valores sobre los paquetes de datos recibidos y enviados cada 20 segundos:

netstat -e 20

Visualizar todos los puertos abiertos y las conexiones activas (por números y con ID de proceso)

Entre los comandos de netstat más populares se encuentra sin duda la consulta de todos los puertos abiertos y de las conexiones activas en formato numérico:

netstat -ano

¿Por qué es importante la utilización de netstat?

En la lucha contra el tráfico desproporcionado y el software dañino, se está en posesión de una importante ventaja cuando se conocen las conexiones entrantes y salientes del ordenador o el servidor. Estas se establecen a través de la correspondiente dirección de red, que indica, entre otras cosas, qué puerto se abrió para el intercambio de datos. Cuando un puerto se abre, este recibe el estado de “LISTEN” (en español “escucha”) y espera a que se detecte una conexión. El problema principal de estos puertos abiertos es que, de esta manera, se le da la oportunidad a terceros de introducir malware en tu sistema. También existe la posibilidad de que un troyano que ya reside en tu sistema instale una backdoor (puerta trasera) y abra un puerto. Por ello, es recomendable comprobar regularmente los puertos abiertos del sistema, tarea en la que destaca especialmente netstat. Gracias a que la herramienta de diagnóstico se encuentra en todos los sistemas Windows, representa una solución única para todos tus ordenadores y servidores.

Un indicio de infección se encuentra en los puertos desconocidos abiertos y en las direcciones IP desconocidas. Para obtener resultados significativos, es imprescindible cerrar antes el resto de programas, como, por ejemplo el navegador, ya que estos se conectan a menudo con ordenadores con direcciones IP desconocidas. Gracias a las estadísticas pormenorizadas, puedes obtener información sobre los paquetes transferidos desde la última vez que el sistema se puso en marcha y también sobre los errores que se hayan producido. Además, la tabla de enrutamiento, que ofrece datos sobre el camino que sigue el paquete de datos por la red, puede mostrarse por medio de los comandos de netstat específicos del sistema.


¡No te vayas! ¡Tenemos algo para ti!
Consigue tu dominio .mx un año gratis.

Introduce el dominio que deseas en la barra de búsqueda para comprobar su disponibilidad.
12 meses desde $0/año
después $700/año