Monitorización de conexiones de red

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votos cast)

Cada vez con más frecuencia, los equipos informáticos llevan a cabo procesos de comunicación sin intervención del usuario. Entre las tareas más habituales se encuentran la descarga de actualizaciones del sistema operativo y la descarga de actualizaciones para el software antivirus.

En redes LAN donde hay pocos equipos conectados a la misma, por ejemplo, en entornos residenciales, esto no supone un gran problema, pero en entornos con un número de equipos más elevado, estos procesos de comunicación deben ser tenidos en cuenta ya que pueden llegar a consumir todo el ancho de banda disponible en la conexión a Internet.

En este artículo veremos cómo realizar un seguimiento de las conexiones de red de nuestro equipo utilizando estos dos ejemplos de conexiones sin intervención del usuario.

Actualización de antivirus

En la actualidad, todos los sistemas informáticos llevan a cabo ciertas tareas que implican la descarga de datos de Internet. Estas tareas están asociadas principalmente a la actualización de software, incluido el propio sistema operativo. La mayor parte de las veces, estas actividades pasan desapercibidas para el usuario.

Para llevar a cabo este análisis se ha utilizado un equipo con Windows XP conectado a una red LAN mediante Wi-Fi. Uno de los momentos en los que es más probable que se produzcan dichas actividades es justo después de iniciar el equipo. Así que, después de arrancar hemos ejecutado el monitor de red de Windows sin tener ninguna aplicación abierta, por tanto, no debería haber prácticamente actividad de red. Sin embargo, podemos ver que sí la hay.

Vamos a averiguar qué proceso está generando dicha actividad de red. Para ello, el siguiente paso es ejecutar Wireshark para tomar una muestra del tráfico de red. En este caso se ha tomado una muestra de unos 40 segundos. Una vez hecha la captura se utiliza la opción de Statitstics -> Conversation para analizar su contenido.

En la ventana Conversations de Wireshark se puede ver como una “conversación” (la primera de la lista) es la que está consumiendo más ancho de banda durante el tiempo de captura. Esta conversación se produce entre la dirección IP del equipo que está siendo evaluado, la 192.168.1.101, y una IP pública, la 90.84.53.32.

El siguiente paso es utilizar el comando netstat para obtener el identificador del proceso que está generando la comunicación con la IP 90.84.53.32. Para ello accedemos a la ventana de Símbolo de sistema y ejecutamos el comando netstat –aon:

El comando netstat nos mostrará una lista de todas las conexiones de red activas en el sistema. Buscamos la IP citada en dicha lista. El último campo de la lista es el identificador del proceso que está generando esa comunicación, en nuestro caso el 6392.

Por último, ejecutamos en una ventana de Símbolo de sistema el comando tasklist:

Buscamos en el listado generado por tasklist el identificador de proceso 6392 y comprobamos que está asociado al proceso avgmfapx.exe.

Buscando en Internet información sobre ese proceso, comprobamos que está asociado al software antivirus AVG. Efectivamente, en este equipo tenemos instalado dicho software. Si ejecutamos el panel de control de AVG podemos comprobar que se estaba produciendo esa comunicación “en la sombra”:

La velocidad de descarga que indica AVG es de 79,4 KB/seg, que equivale a unos 635 Kbps. Este dato más o menos coincide con la medida de velocidad que marca el gráfico del monitor de red mostrado anteriormente. Como decíamos al principio, en entornos con pocos equipos este consumo de ancho de banda no es un problema, pero en redes con un número elevado de equipos puede ocurrir que este proceso se inicie al mismo tiempo en varios de ellos, por ejemplo, a primera hora de la mañana, cuando los equipos se encienden, y esto puede llegar a consumir mucho ancho de banda de la conexión a Internet.

Actualizaciones de Windows

Periódicamente, se publican actualizaciones, parches y mejoras de los sistemas operativos. Este es el segundo ejemplo de comunicaciones sin intervención del usuario. En la actualidad todos los sistemas operativos en mayor o menor medida utilizan estos mecanismos de actualización.

En todos los casos se puede configurar el equipo para que dichas actualizaciones se descarguen e instalen de forma automática, sin intervención del usuario. Al igual que en el caso anterior, en un entorno de red LAN con un número de equipos elevado, este proceso puede ser lanzado simultáneamente en muchos equipos pudiendo llegar a consumir mucho ancho de banda de la conexión a Internet.

En este caso se ha monitorizado la actualización de un equipo con Windows 7 y conectado a la red LAN mediante una conexión Ethernet a 100 Mbps.

Al igual que en el caso anterior, sospechamos que se está llevando a cabo algún tipo de comunicación y para comprobarlo ejecutamos el monitor de red de Windows 7 con todas las aplicaciones cerradas. Se puede observar que efectivamente hay actividad de red. La figura anterior muestra el monitor de red de un equipo con dos tarjetas de red. Una de ellas es la que tiene actividad. De hecho en este caso, viendo los valores de la gráfica, el ancho de banda consumido por dicha actividad es bastante alto, de unos 7 Mbps.

El siguiente paso es capturar el tráfico con Wireshark para obtener información sobre las conexiones activas.

Claramente, la conversación que más ancho de banda consume es la primera de la lista entre nuestro equipo (192.168.1.2) y el equipo cuya dirección IP es 2.20.181.33.

El siguiente paso es comprobar el proceso asociado a esa dirección IP. Primero ejecutamos netstat:

El proceso tiene el identificador 880. Con este número ejecutamos tasklist:

Vemos, que el proceso que está realizando la comunicación es el svchost.exe. Este es un proceso utilizado por Windows para ejecutar servicios de red. Se puede ver una descripción de dicho proceso en el siguiente enlace. Uno de los servicios de red de Windows es el servicio de actualizaciones.

En este caso, debido al alto consumo de ancho de banda por este proceso “en la sombra” si dicho proceso se lanzara simultáneamente en varios equipos dentro de una red LAN podrían fácilmente ocupar todo el ancho de banda disponible para la conexión a Internet. La consecuencia es que mientras durara la comunicación los usuarios percibirían que la conexión a Internet iría lenta.

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votos cast)
Monitorización de conexiones de red, 5.0 out of 5 based on 3 ratings

2 pensamientos en “Monitorización de conexiones de red

  1. Excelente ejemplo de análisis, era justo lo que andaba buscando, en mi trabajo se puso lentísimo el internet, y no sabemos por que, lo pondré en práctica, gracias por compartirlo. :D

Deja un comentario

Tu dirección de correo electrónico no será publicada.

* Copy This Password *

* Type Or Paste Password Here *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>