Entradas estranhas na saída do Netstat

Você pode obter informações mais úteis do comando Netstat adicionando o -f e -b parâmetros, como este:

netstat -f -b

De acordo com a ajuda ( netstat -? ), a opção -f :

Displays Fully Qualified Domain Names (FQDN) for foreign addresses.

E a opção -b :

Displays the executable involved in creating each connection or listening port. In some cases well-known executables host multiple independent components, and in these cases the sequence of components involved in creating the connection or listening port is displayed. In this case the executable name is in [] at the bottom, on top is the component it called, and so forth until TCP/IP was reached. Note that this option can be time-consuming and will fail unless you have sufficient permissions.

Coloque os dois juntos e você verá quais processos estão criando cada conexão e o nome completo do host remoto.

Para ajudar a investigar os executáveis (e as conexões que eles estão fazendo), use o Explorador de Processos da Microsoft . Quando você executar o programa, será apresentada uma lista de tudo que está sendo executado no seu sistema, assim:

Emseguida,paraverasconexõesfeitasporumexecutável,cliqueduasvezesneleedêumaolhadanaguiaTCP/IP:

Você observou que "ec2-52-86-85-106 acabou sendo 52.86.85.106, que é a Amazon, apesar de eu não estar conectado a ela." Uma pesquisa reversa de DNS no endereço IP retorna ec2-52-86-85-106.compute-1.amazonaws.com , ou seja, esse é o nome de domínio totalmente qualificado (FQDN) que será retornado, porque há um registro DNS PTR que associa esse FQDN com esse endereço IP. Mas você poderia ter acessado www.example.com em seu navegador da Web e o nome de domínio example.com poderia ter um registro de recurso DNS que associa esse FQDN ao endereço IP 52.86.85.106. O bloco de endereços 52.84.0.0 a 52.95.255.255 é atribuído à Amazon pelo Registro americano para números da Internet . A Amazon o utiliza para seus Amazon Web Services (AWS) .

Digamos que eu compre o nome de domínio example.com de um registro de nomes de domínio . Agora, quero hospedar meu website em www.example.com e decidir usar a AWS para hospedar meu site. Eu configuro servidores DNS para que meu nome de domínio aponte para o endereço IP que a AWS forneceu para mim para o servidor que hospeda meu site. Digamos que o endereço seja 52.86.85.106. Portanto, se você colocar www.example.com no seu navegador da Web, seu sistema se conectará a 52.86.85.106. Mas agora você emite um comando netstat no seu sistema. Você vê uma conexão para 52.86.85.106, se você usa netstat -an ou você vê ec2-52-86-85-106 se você omitir o argumento n para o comando. Por isso, pode não ser óbvio para você, a menos que você emita um comando nslookup em www.example.com, que a conexão do seu navegador para o meu site é porque você vê ec2-52-86-85-106 nos resultados do comando netstat que você emitiu.

Com relação ao nome do domínio 1e100.net mencionado em outro comentário, como você descobriu, o domínio 1e100.net pertence ao Google. 1e100 é uma notação científica para 1 googol , ou seja, 1 elevado à potência de 100, que é 1 seguido por cem zeros. O Google usa o nome de domínio para seus servidores. Se você acessou recentemente uma conta do Gmail ou realizou uma pesquisa usando o google.com com um navegador no sistema, é possível ver esse nome de domínio retornado em seus resultados.

Outra opção de comando netstat é -o , que mostrará o ID do processo (PID) do processo que estabeleceu a conexão. Você pode então usar o Gerenciador de Tarefas do Windows para vincular o PID a um aplicativo que você está executando, por exemplo, Chrome, Firefox, Microsoft Edge, etc., por clicando na guia detalhes no Gerenciador de Tarefas para ver o PID .