1) Para ejecutar un netstat es necesario abrir nuestra consola de DOS y allí podremos ver que opciones nos trae netstat:

c:\>netstat -?

Muestra estadísticas del protocolo y conexiones TCP/IP actuales.

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [intervalo]

-a            Muestra todas las conexiones y puertos de escucha.
-b            Muestra el ejecutable que crea cada conexión o puerto
de escucha. En algunos casos, ejecutables muy conocidos alojan
múltiples componentes independientes, y, en algunos casos
se muestra la secuencia de componentes que crearon la conexión
o el puerto de escucha. En este caso, el nombre del ejecutable
está entre [] en la parte inferior, arriba está el componente
que llamó, y así hasta que se alcanza TCP/IP. Tenga en cuenta
que esta opción puede tomar tiempo y no se realizará
correctamente a menos de que tenga los permisos suficientes.
-e            Muestra las estadísticas Ethernet. Se puede combinar con la
opción -s.
-n            Muestra números de puertos y direcciones en formato
numérico.
-o            Muestra la Id. de proceso asociada con cada conexión.
-p proto      Muestra conexiones del protocolo especificado por "proto",
que puede ser TCP, UDP, TCPv6 o UDPv6. Si se usa con la opción
-s para mostrar estadísticas por protocolo, "proto" puede ser
TCP, UDP, TCPv6 o UDPv6.
-r            Muestra el contenido de la tabla de rutas.
-s            Muestra estadísticas por protocolo. De forma predeterminada,
se muestran para IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP y
UDPv; se puede utilizar la opción -p para especificar un
subconjunto de los valores predeterminados.
-v            Usado en conjunto con -b, mostrará la secuencia de los
componentes implicados en la creación de la conexión o puerto
de escucha para todos los ejecutables.
intervalo     Vuelve a mostrar las estadísticas seleccionadas, haciendo
pausas en el intervalo de segundos especificado entre cada
muestra. Presione Ctrl+C para detener la actualización de
estadísticas. Si se omite, netstat imprimirá la información
de configuración una vez.

2) Para poder ver las conexiones activas con formato numérico junto con el proceso o ID asociado al mismo, podemos hacer:

c:\>netstat -ano

Conexiones activas

Proto  Dirección local          Dirección remota        Estado           PID
TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       3888
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1304
TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       3888
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:17500          0.0.0.0:0              LISTENING       796
TCP    0.0.0.0:44613          0.0.0.0:0              LISTENING       3888
TCP    127.0.0.1:843          0.0.0.0:0              LISTENING       796
TCP    127.0.0.1:1065         0.0.0.0:0              LISTENING       1564
TCP    127.0.0.1:1865         127.0.0.1:1866         ESTABLISHED     1804
TCP    127.0.0.1:1866         127.0.0.1:1865         ESTABLISHED     1804
TCP    127.0.0.1:1868         0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:1870         127.0.0.1:1871         ESTABLISHED     1804
TCP    127.0.0.1:1871         127.0.0.1:1870         ESTABLISHED     1804
TCP    127.0.0.1:1873         0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:1910         127.0.0.1:1911         ESTABLISHED     796
TCP    127.0.0.1:1911         127.0.0.1:1910         ESTABLISHED     796
TCP    127.0.0.1:1915         127.0.0.1:1916         ESTABLISHED     796
TCP    127.0.0.1:1916         127.0.0.1:1915         ESTABLISHED     796
TCP    127.0.0.1:1919         127.0.0.1:1920         ESTABLISHED     2372
TCP    127.0.0.1:1920         127.0.0.1:1919         ESTABLISHED     2372
TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING       1244
TCP    127.0.0.1:6342         0.0.0.0:0              LISTENING       2500
TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12465        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12563        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12993        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12995        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:17600        0.0.0.0:0              LISTENING       796
TCP    127.0.0.1:27275        0.0.0.0:0              LISTENING       1804
TCP    192.168.80.166:139     0.0.0.0:0              LISTENING       4
TCP    192.168.80.166:1052    77.234.44.24:80        ESTABLISHED     1804
TCP    192.168.80.166:1174    192.168.80.111:1433    ESTABLISHED     2836
TCP    192.168.80.166:<br />
1175    192.168.80.111:1433    ESTABLISHED     2836
TCP    192.168.80.166:1253    108.160.172.225:443    CLOSE_WAIT      796
TCP    192.168.80.166:1666    5.45.58.147:80         CLOSE_WAIT      1804
TCP    192.168.80.166:1900    108.160.172.236:443    CLOSE_WAIT      796
TCP    192.168.80.166:1933    52.201.78.142:443      CLOSE_WAIT      796
TCP    192.168.80.166:2249    192.168.80.111:1433    ESTABLISHED     2836
TCP    192.168.80.166:2274    77.234.41.92:443       CLOSE_WAIT      2100
TCP    192.168.80.166:2342    209.126.108.61:22      ESTABLISHED     3736
TCP    192.168.80.166:2343    209.126.119.65:22      ESTABLISHED     1688
TCP    192.168.80.166:2344    209.126.119.202:22     ESTABLISHED     2792
TCP    192.168.80.166:2345    95.211.15.152:22       ESTABLISHED     2648
TCP    192.168.80.166:2346    95.211.160.52:22       ESTABLISHED     3064
TCP    192.168.80.166:2347    85.17.183.141:22       ESTABLISHED     1484
TCP    192.168.80.166:2348    95.211.178.222:22      ESTABLISHED     2616
TCP    192.168.80.166:2847    134.170.0.199:443      ESTABLISHED     3888

3) Ahora si queremos filtrar y que solo nos muestre los puertos abiertos, utilizaremos «findstr»

c:\>findstr -?
Busca cadenas en los archivos.FINDSTR [/B] [/E] [/L] [/R] [/S] [/I] [/X] [/V] [/N] [/M] [/O] [/P]
[/F:archivo]
[/C:cadena] [/G:archivo] [/D:lista de directorios] [/A:atributos de color] [/
OFF[LINE]]
[cadenas] [[unidad:][ruta]nombredearchivo[ ...]]/B        Hace coincidir los modelos si están al principio de la línea.
/E        Hace coincidir los modelos si están al final de la línea.
/L        Literalmente utiliza cadenas de búsqueda.
/R        Utiliza cadenas de búsqueda como expresiones regulares.
/S        Busca archivos que coinciden en el directorio actual y en todos
los subdirectorios.
/I        Especifica que la búsqueda no distingue mayúsculas de minúsculas.
/X        Imprime líneas que coinciden con exactitud.
/V        Sólo imprime líneas que no contienen una correspondencia.
/N        Imprime el número de la línea antes de la línea que coincide.
/M        Sólo imprime el nombre de archivo si el archivo contiene una
correspondencia.
/O        Imprime un carácter de desplazamiento antes de las líneas que
coinciden.
/P        Omite archivos con caracteres que no son imprimibles
/OFFLINE  No omite archivos con el atributo "sin conexión" establecido.
/A:attr   Especifica atributos de color con dos dígitos hexadecimales. Ver
"color /?"
/F:archivo  Lee la lista de archivos desde el archivo especificado
(/ significa consola).
/C:cadena   Utiliza una cadena especificada como una búsqueda de cadena
literal.
/G:archivo  Toma la búsqueda de archivos desde el archivo especificado
(/ significa consola).
/D:dir    Busca un signo de punto y coma de la lista delimitada de
directorios
cadenas   Texto que se debe buscar.
[unidad:][ruta]nombredearchivo
Especifica un archivo o  archivos que buscar.
Utiliza espacios para separar múltiples cadenas de búsqueda a no ser que
el argumento lleve un prefijo con /C.  Por ejemplo, 'FINDSTR "qué tal" x.y'
busca "qué" o "tal" en el archivo x.y.  'FINDSTR /C:"qué tal" x.y' busca
"qué tal" en el archivo x.y.

Expresión regular de referencia rápida:
.        Comodín: cualquier carácter
*        Repetir: cero o más ocurrencias de un carácter previo o de clase
^        Posición de línea: comienzo de la línea
$        Posición de línea: fin de línea
[clase]  Clase de carácter: cualquier carácter en la serie
[^class] Clase inversa: cualquier carácter que no esté en la serie
[x-y]    Intervalo: cualquier carácter que esté dentro del intervalo
especificado
\x       Escape: uso literal de un metacarácter x
\<xyz    Posición de palabra: principio de palabra
xyz\>    Posición de palabra: fin de palabra

Para obtener una información más completa sobre expresiones regulares de
FINDSTR referirse al Comando de referencia Command en línea.

4) Uniendo netstat junto con findstr tendremos la salida que necesitamos: Puertos Abiertos, junto con el ID del proceso asociado:

c:\>netstat -ano | findstr LIST
TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       3888
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1304
TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       3888
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:17500          0.0.0.0:0              LISTENING       796
TCP    0.0.0.0:44613          0.0.0.0:0              LISTENING       3888
TCP    127.0.0.1:843          0.0.0.0:0              LISTENING       796
TCP    127.0.0.1:1065         0.0.0.0:0              LISTENING       1564
TCP    127.0.0.1:1868         0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:1873         0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING       1244
TCP    127.0.0.1:6342         0.0.0.0:0              LISTENING       2500
TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12465        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12563        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12993        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:12995        0.0.0.0:0              LISTENING       1804
TCP    127.0.0.1:17600        0.0.0.0:0              LISTENING       796
TCP    127.0.0.1:27275        0.0.0.0:0              LISTENING       1804
TCP    192.168.80.166:139     0.0.0.0:0              LISTENING       4

La entrada Listar puertos abiertos en Windows Server con NetStat y findstr se publicó primero en SoyAdmin.com.

# yum install nmap

Con Nmap podemos verificar que puertos están abiertos, utilizados (escuchados) de manera confiable dado que es un escaner de puertos y lo realiza verificándolos sin pasar por las aplicaciones que los usan, sino que lo hace directamente sobre el mapa de puertos. Esto último garantiza que, si algún atacante se disfraza como aplicación que utiliza un puerto específico, no burle al netstat haciéndose ver como aplicación válida.

Una vez instalado el nmap podemos empezar a «jugar» con sus posibles comandos.

# nmap -sT -O localhost

Esto nos devuelve algo parecido a esto:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-10-01 15:45 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1664 closed portsPORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
26/tcp   open  unknown
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
443/tcp  open  https
465/tcp  open  smtps
993/tcp  open  imaps
995/tcp  open  pop3sNo exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).Uptime 21.313 days (since Tue Sep 10 08:14:51 2013)
Nmap finished: 1 IP address (1 host up) scanned in 9.972 seconds

En esta respuesta vemos un puerto abierto como unknown, si bien sabemos que es el puerto alternativo al SMTP, lo investigaremos como si fuera un posible puerto abierto en duda.

# cat /etc/services | grep 26

Esta búsqueda verificamos que realmente el puerto 26 no esta asignado por defecto a ningún servicio. Como medida extra utilizaremos el netstat el cual nos devolverá la info que queremos

# netstat -anp | grep 26
tcp        0      0 0.0.0.0:26            0.0.0.0:*        TIME_WAIT  

Aquí vemos que existe una conexión hacia el puerto 26 de nuestro server lo cual nos acebera que dicho puerto NO es usado por un atacante y es validado mediante una conexión real.

Por último con lsof veremos a que servicio esta asociado el puerto 26

# lsof -i | grep 26

exim       4368        mailnull    5u  IPv4 1404540465      0t0  TCP *:26 (LISTEN)

Acá nos indica que el Exim (servicio de correos) es el servicio utilizado en el puerto 26, con lo cual nos podemos quedar tranquilos y felices!

Estas herramientas pueden revelar mucha información sobre el estado de los servicios ejecutándose en la máquina. Son flexibles y pueden proporcionar gran cantidad de información sobre los servicios de red y la configuración de estos últimos.

Para más información acerca de Nmap, Netstat y lsof podemos usar el comando man sobre ellos.

La entrada Nmap, Netstat y lsof para detectar puertos abiertos o «bajo escucha» en centOS y RHEL se publicó primero en SoyAdmin.com.