Thiago Teixeira
EN | PT

netstat / ss

Comandos nativos de inspeção de sockets e conexões ativas.

Reconhecimento e Monitoramento de Rede Nativo do SO CLI Em Estudo Windows Linux macOS

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

Ferramentas para listar conexões ativas, portas em escuta e processos donos:

  • netstat — universal mas obsoleto no Linux moderno (ainda padrão no Windows, com -anob mostrando PIDs/binários).
  • ss (Linux moderno) — sucessor rápido do netstat, consulta o netlink do kernel diretamente. ss -tulpan é o canônico "mostre tudo em escuta com PIDs".

Em IR revelam listeners suspeitos (backdoors, reverse-shells) e conexões de saída para IPs maliciosos conhecidos. Combine com lsof -i para detalhe por socket.

Casos de uso

  • Encontrar listener de backdoor em host comprometido
  • Mapear processo → conexão de saída C2
  • Auditar serviços expostos em servidor hardened

Exemplo

sudo ss -tulpan
sudo netstat -anob          # Windows (admin)
sudo lsof -i :4444