Nestat o network statistics es la herramienta en terminal por excelencia que permite manejar y observar las conexiones entrantes y salientes de nuestro ordenador o servidor. Está configurado con órdenes ejecutadas en la línea de comandos que otorga las estadísticas básicas de la totalidad de los movimientos en la red. También se encarga de entregar información sobre de los puertos y direcciones por medio de la cual se manejan las conexiones (TCP, UDP) y los puertos abiertos para solicitudes.
Se introdujo por primera vez en 1983 en la BSD (Berkeley Software Distribution), se deriva del sistema UNIX, de la versión 4.2 fue unas de las primeras en soportar la familia de protocolos de Internet TCO/IP.
Esta herramienta es importante en la lucha contra el tráfico desproporcionado y la aparición de un software dañino, se puede decir que el usuario recibe un beneficio adicional de esta importante ventaja cuando se conocen las conexiones entrantes y salientes del ordenador o el servidor. Estas están establecidas por la correspondiente dirección de red, que señala, entre otras cosas, que puerto se abrió para el traspaso de datos. Cuando se abrió un puerto. Uno de los problemas principales de estos puertos abiertos es que, de este modo, se le abre la posibilidad a terceros de introducir un malware en el tu sistema. Por eso es recomendable revisar regularmente los puertos abiertos del sistema, tarea que se destaca específicamente Nestat, ya que la herramienta de diagnóstico se encuentra en todos los sistemas Windows. 
Algunos de los estados de conexiones para el protocolo TCP SON:
- ESTABLISHED: El socket tiene una conexión establecida.
- SYN SENT: El socket intenta iniciar una conexión.
- SYN RECV: la red recibió una petición de conexión.
- FIN WAIT1: El socket está cerrado, y la conexión está finalizando.
- FIN WAIT2: la conexión está cerrada, y el socket espera que finalice la conexión remota.
- TIME WAIT: E socket espera después de cerrarse que terminen los paquetes que siguen en la red.
- CLOSED: El socket no se usa.
- CLOSE WAIT: La conexión remota ha terminado, y está a la espera que se cierre el socket.
- LAST ACK: La conexión remota ha finalizado, y se espera que se cierre el socket esperando el acknowledgement.
- LISTEN: El socket está a la espera de posibles conexiones entrantes.
- CLOSING: Ambos sockets han terminado pero aún no se enviaron todos los datos.
- UNKNOWN: El estado del socket es desconocido.
- DELETE_TCB: Se está eliminando el búfer del control de transmisión (TCB) para la conexión TCP.
USO DE NESTAT:
Esta sintaxis y los parámetros de este instrumento varían entre distintos sistemas operativos que la implementan. En sistemas establecidos en unix (esto incluyendo GNU=Linux y Mac OS X, entre otros), se puede utilizar el comando man Neststat para observar la ayuda del comando. Otra manera de ver una lista de parámetros pueden ser con el parámetro –H o también –help (en los sistemas regidos con el protocolo POSIX) o con /? (En los sistemas Windows y MS-DOS).
PARA WINDOWS Y MS-DOS:
NETSTAT [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo]
- –a Visualizar las conexiones y puertos TCP y UDP, agregando las que están “en escucha“(listening)”.
- –b En el sistema reciente, visualizar el binario (ejecutable) del programa que ha creado la conexión.
- -e estadísticas Ethernet de las observaciones, como el número de paquetes enviados y recibidos. Se puede mezclar con la opción -s.
- -n se muestran los puertos con su identificación de manera numérica y no textual.
- -o en sistemas Windows XP y 2003 Server, señala los identificadores de proceso (PID) para cada conexión. Se puede revisar los identificadores del proceso en el Administrador de Tareas de Windows (al integrarlo a las columnas de la pestaña procesos)
- -p muestra las conexiones para de un protocolo en especifico; el protocolo puede ser TCP o UDP. Si se usa con la opción de -s para visualizar la estadística por protocolos; el protocolo (Proto) puede ser TCP, UDP o IP.
- -r visualiza la tabla de enrutamiento o encaminamiento, es igual al comando route print.
- -s estadística por protocolo de las visualizaciones. Por valor o defecto, la estadística se muestra para TCP, UDP e IP; la opción -p se puede usar para especificar un subconjunto del valor por defecto.
- -v en sistemas Windows XP y 2003 Server, y usado en conjunto con -b, muestra una secuencia de componentes utilizados en la elaboración de la conexión por cada uno de los ejecutables.
- Intervalo: vuelve a mostrar la información cada intervalo tan solo en segundos. Si se presiona CTRL+C se detiene la visualización. si se omite este parámetro, netstat muestra la información solo una vez.
- Utilizar netstat -n (segs) donde segs es el número en segundos que esperará antes de mostrar nuevamente la información
- /? Help: aparecerán los caracteres y su función.
En sistemas basados en Unix
netstat [-veenNcCF] [<Af>] -rnetstat {-V|–version|-h|–help}netstat [-vnNcaeol] [<Socket> …]netstat { [-veenNac] -i | [-cnNe] -M | -s }
- -r, –route Muestra la tabla de enrutamiento.
- -i, –interfaces Muestra la tabla de interfaces
- -g, –groups Muestra los miembros del grupo de multidifusión
- -s, –statistics Muestra estadísticas de red (como SNMP)
- -M, –masquerade Muestra conexiones enmascaradas
- -v, –verbose Muestra más información en la salida
- -n, –numeric No resuelve nombres en general
- –numeric-hosts No resuelve el nombre de los hosts
- –numeric-ports No resuelve el nombre de los puertos
- –numeric-users No resuelve los nombres de usuarios
- -N, –symbolic Muestra los nombres del hardware de red
- -e, –extend Muestra otra/mas información.
- -p, –programs Muestra PID o nombre del programa por cada socket
- -c, –continuous Muestra continuamente las estadísticas de red (hasta que se interrumpa el programa)
- -l, –listening Muestra los server sockets que están es modo escucha
- -a, –all, –listening Muestra todos los sockets (por defecto únicamente los que están en modo conectado)
- -o, –timers Muestra los timers
- -F, –fib Muestra el Forwarding Information Base (por defecto)
- -C, –cache Mostrar el cache de enrutamiento en vez del FIB
