Por que o netstat não exibe sites abertos?

Primeiro, o netstat não conhece o nome de domínio original nem mesmo os cnames - ele só conhece o endereço IP e precisa usar o "DNS reverso" para traduzi-lo de volta para algum nome de domínio.

As informações de DNS reverso de um endereço IP podem, na verdade, ser completamente diferentes do nome DNS "direcionado" normal. Isso é especialmente verdadeiro para webhosts compartilhados ou CDNs com centenas de sites por endereço, mas também pode ocorrer mesmo para hosts dedicados.

Por exemplo, o DNS reverso do servidor da Wikipedia é text-lb.esams.wikimedia.orgo que você deve procurar. Muitos sites do Google usam "1e100.net". Qualquer site hospedado pelo CloudFlare aparecerá apenas como "cloudflare" e assim por diante.

Em segundo lugar, as páginas da web não são fluxos de vídeo – são documentos. Isso significa que, no momento em que uma página da Web é exibida na tela, a maior parte dela já foi baixada e, em alguns segundos, a conexão HTTP é fechada e, portanto, não é mais exibida no netstat. Seu navegador apenas mantém a página na memória a partir desse ponto.

O navegador apenas abrirá uma nova conexão sempre que você clicar em um link e, assim que a nova página for baixada e a conexão ficar ociosa, ela será fechada novamente. Algumas conexões (especialmente aquelas usadas para HTTP/2) podem demorar alguns minutos, mas raramente para sempre.

Portanto, você deve verificar o netstat rapidamente enquanto a página da Web ainda está carregando ou usar outras ferramentas (como o Process Hacker) que fornecem uma lista de atualização automática.

No entanto, os navegadores permitem que aplicativos da web – por exemplo, aplicativos de bate-papo, sites de notícias – mantenham uma conexão aberta para transmissão contínua de dados (normalmente usando Websockets), se necessário. E, claro, fluxos de vídeo reais e coisas semelhantes manterão a conexão aberta pelo tempo que for necessário. Mas a maioria das páginas da web são documentos baixados comuns.