1 2 3 4 5 6

Últimas Noticias

Port Reporter 1.0 : Herramienta que registra la actividad que se presenta en los puertos

DSC/UNAM-CERT 24-Ago-2004

La herramienta Port Reporter registra la actividad que se presenta en los puertos con TCP y UDP. Esta herramienta es un pequeño programa que corre como un servicio en la computadora con sistema operativo Windows 2003 Server, Windows XP y Windows 2000.

Sobre Windows 2003 Server y Windows XP, la herramienta puede obtener lo siguiente:

  • Los puertos que se están usando.
  • El proceso que usa el puerto.
  • Si el proceso es un servicio.
  • El modulo que el proceso carga.
  • La cuenta de usuario que esta corriendo el proceso.

Sobre SO basados en Windows 2000:

  • Los puertos que son usados.
  • Cuando los puertos son usados.

Para empezar a usar Port Reporter se debe iniciar este en los Servicios de las Herramientas Administrativas. La configuración por omisión para este servicio es manual si se desea que inicie cada vez que iniciemos nuestra computadora se deberá poner la opción de automático.

Port Reporter crea crea los siguientes registros:

  • PR-INITIAL-*.log Contiene datos acerca de los puertos, procesos y módulos que están corriendo.
  • PR-PORTS-*.log Contiene un resumen de los datos acerca de la actividad de los puertos con TCP y UDP.
  • PR-PIDS-*.log Contiene los detalles de los puertos, procesos, módulos y cuentas de usuario de los procesos que están corriendo.

En resumen que es lo interesante de Port Report

  • Reporta los cambios ocurridos en los puertos, estos pueden incluir el incremento o decremento del número de conexiones sobre un puerto.
  • Reporta una nueva conexión a un puerto y cuando se cierra la conexión.
  • Reporta si el estado de la conexión cambia.
  • Reporta el modulo que el proceso de un puerto carga.

Port Reporter coloca los registros en un archivo .txt. Hay un herramienta que lee estos reportes y los muestra como en Excel, esta herramienta es Port Reporter Parser (PR-Parser) la cual es un GUI y de esta manera los datos pueden ser ordenados por fecha, protocolo, Puerto Local, IP Local, Puerto Remoto, PID, Modulo ó Cuenta de usuario, además se puede obtener mas información de un evento dando doble clic sobre el evento.

PR-Parser puede filtrar datos de interés, resolver las ips, mostrar estadísticas del uso de los puertos entre otras cosas.

La combinación de estas dos herramientas nos puede ser de gran utilidad para analizar el tráfico entrante y saliente de nuestra computadora. Así como la detección de posibles anomalías en nuestro sistema.

Una de las desventajas de la herramienta es que muestran los resultados de manera dinámica.

Se puede obtener Port Reporter 1.0 y PR-Parser 1.0 en las siguiente direcciones:

Port Reporter 1.0

http://www.microsoft.com/downloads/details.aspx-familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en

PR-Parser

http://download.microsoft.com/download/2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe

Fuente: DSC/UNAM-CERT  JAG/

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT

r) {}