Existen un gran numero de herramientas que permiten monitorear el trafico de red en Windows, en algunos casos no hace falta ninguna porque el firewall lo hace (este es el caso por ejemplo del Agnitum Outpost Firewall ).
Para los que usen firewalls de segunda como el Zonealarm (o peor aun ningún firewall) podría ser de mucho interés hacerse con alguna herramienta que les permita visualizar sus conexiones sin mucho esfuerzo.
Me decido por TCPView Pro porque me pareció entre las mas sencillas de usar y no requiere de ningún conocimiento profundo sobre TCP/IP (mas bien no requiere casi de ningún conocimiento)
TCPView Pro es un programilla muy útil a la hora de monitorear el trafico TCP/IP en cualquier sistema operativo Windows suministrándonos información vital sobre todas las conexiones activas así como sobre los programas o servicios que son responsables de esas conexiones y la cantidad de información enviada o recibida.
Empezamos entonces a ver como conseguir TCPView y como usarlo.
Nombre del Programa: TCPView Pro
Desde la Web oficial podemos descargarnos un tutorial del programa en Ingles, para los que hablen ingles está de sobra decir que mucho mejor léanse el tutorial oficial en lugar de este, para los que no hablen Ingles describiré aquí (y ampliaré cuando lo considere necesario) las características mas importantes del programa según aparecen en el tutorial oficial y según las he probado.
Instalamos el programa, reiniciamos el ordenador tal como nos lo pide, y después de conectarnos a la red lanzamos el programa, se nos mostrará así:
Como podemos apreciar la pantalla está dividida en dos ventanas:
La ventana superior nos suministra una vista estática de nuestras conexiones: si por ejemplo algún programa abre una conexión UDP en el puerto 3200 especificando 0.0.0.0 como dirección local podremos ver esta conexión en la ventana superior con el nombre del proceso, el protocolo (en este caso UDP) y 0.0.0.0:3200 como dirección local.
En la dirección remota tendremos *.* en cuanto este protocolo no soporta conexiones.(en el caso que el protocolo sea TCP y la conexión no esté establecida con ninguna dirección remota en ese momento tendremos LISTENING).
Sent y Received
En las columnas Sent y Received podremos ver el número de mensajes/bytes enviados y recibidos respectivamente.
La ventana inferior nos muestra una vista dinámica de nuestras conexiones: cada línea representa un evento separado y nos muestra los detalles de ese evento (si por ejemplo en nuestra ventana estática tenemos que el programa X ha enviado 5 mensajes a través de las conexión Y, en la ventana dinámica podremos localizar cada uno de estos 5 eventos y verlos en los detalles).
Algunos podrían pensar que tantas conexiones terminarían por confundir y que no necesitan ver las que no estén establecidas. Esto se puede hacer fácilmente desde el menú Opciones>>Show all endpoints para que se nos muestren únicamente las conexiones activas.
Otros parámetro que podríamos desear cambiar son:
1- Cada cuanto tiempo se actualizan nuestras ventanas (por defecto cada segundo): Podemos hacerlo a través del menú Configure>>Refresh Rate colocando el valor en segundos que más nos agrade.
2- Cuantos registros se nos deben mostrar en la ventana inferior:
Podemos hacerlo a través del menú Configure>>History Depht.
Así mismo podemos ordenar las filas de nuestras ventanas según la columna que deseemos con tal solo repicar en el nombre de esa columna.
Por defecto el programa no resolverá las IP ni mostrará la descripción de los puertos, este comportamiento es configurable.
Si deseamos que se nos muestren los nombres en lugar de las IP (cuando sea posible obviamente) y la descripción del puerto en lugar de su numero (por ejemplo http en lugar de 80) le indicamos al programa que lo haga a través del menú: Options>>Resolve Addresses o mas simplemente pisamos CTRL+R.
Otra característica interesante del programa es la posibilidad que nos brinda de filtrar la salida en pantalla. Podemos hacerlo a través del menú Configure>>Filter/HighLight o tecleando CTRL+L.
Supongamos por ejemplo que queremos excluir de la salida todas aquellas conexiones que pertenezcan a scvhost o a iinfoinfo.
Simplemente colocaremos svchost;inetinfo (separados por punto y coma en Exclude Filter y ya no se nos mostrarán.
Podríamos decidir que mas bien queremos ver solamente la conexiones causadas por determinados programas, en este caso colocamos lo nombres de estos programas en el Include Filter separados por ; y aceptamos para que el programa nos muestre únicamente esas conexiones.
Si nos pasamos a la pestaña Dynamic Filtres, podremos decidir si queremos ver únicamente las conexión exitosas o también los errores así como decidir cuales eventos deseamos monitorear marcando/desmarcando las casillas correspondientes
HighLight
Desde la pestaña HighLight podemos estableces el HighLight Filter de la misma manera que hemos visto por el Include Filter, pero en este caso el resultado será que veremos los registros deseados resaltados en otro color para hacernos mas fácil su visualización.
Supongamos por ejemplo que queremos resaltar las conexiones http: en este caso colocaremos el filtro http y el resultado será el siguiente:
Esto suponiendo que hayamos cambiado la configuración por defecto para que el programa nos resulta las IP y nos muestre los puertos por nombre, en el caso no lo hayamos hecho obtendremos el mismo resultado filtrando por 80 en lugar de http.
Esta opción es particularmente útil si sospechamos que nos hayan colado algún troyano y no somos muy expertos en materia. Podremos entonces conseguir en internet un listado de los puertos de troyanos y filtrar por esos puertos, de esta manera se nos hará mas fácil orientarnos.
Creo que ya hemos casi visto todas las opciones mas importantes y útiles del programa, no hablaré de cómo usar los menú buscar, cambiar fuente, personalizar, etc. etc. porque funcionan de la misma manera que en todos los programas de Windows, vamos entonces a terminar esta vista del programa diciendo que existe una versión del mismo que se ejecuta desde la línea de comandos (para los amantes del infostat) y que funciona de manera similar al infostat pero a diferencia de este muestra el nombre del programa que está detrás de la conexión.
La pueden encontrar en la carpeta de instalación del programa y se llama: tcpvstat
Espero que esta información les pueda ser de alguna utilidad.