Netzwerkprobleme beheben mit tcpdump in Windows

TcpDump ist ein freies Befehlszeilendienstprogramm um den Netzwerkverkehr zu Überwachung und Auswertung vorzunehmen. Es dient häufig bei der Analyse von Netzwerkprobleme und als Unterstützung zur Fehlerbehebung sowie als Sicherheitstool.

tcpdump ist ein leistungsstarkes und vielseitiges Werkzeug, das viele Optionen und Filter enthält und in einer Vielzahl von Fällen verwendet werden kann. Da es sich um ein Befehlszeilentool handelt, ist es ideal, um es auf virtuellen Servern oder Geräten auszuführen, die ohne Grafische Benutzeroberfläche (GUI) betrieben werden, oder auch um Daten zu sammeln, die später analysiert werden können.

tcpdump ist als BSD-Lizenz verfügbar und ist bei den meisten unixoiden Betriebssysteme wie FreeBSD und Linux bereits im Grundsystem vorinstalliert. Für Windows gibt es anstelle von tcpdump die Portierung mit dem Namen WinDump und ist ebenfalls frei verfügbar.

In diesem Tutorial wird die Installation und Anwendung von WinDump unter Windows 11 gezeigt.

Als Systemvoraussetzung wird WinPcap benötigt, als Freeware vertriebene Programmbibliothek besteht aus einem Treiber, der Zugriff auf die Netzwerkkarte ermöglicht. Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libpcap, die die pcap-Schnittstelle implementiert. Die Netzwerk Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks abgefangen und weitergeleitet.

INSTALLATION

Zu erst wird also WinPcap hier heruntergeladen und installiert.

Der WinPcap Setup Assistent führt mit drei Klicks durch die Installation, dabei kann man die vorgeschlagenen Einstellungen übernehmen.

Nachdem WinPcap installiert ist, kann WinDump hier heruntergeladen werden. WinDump ist ein Kommandozeilentool dieses nicht installiert werden muss, die Datei WinDump.exe kann beispielsweise einfach unter Programme in ein neu erstellten Ordner WinDump kopiert werden, oder man kopiert WinDump.exe direkt in die SystemRoot (C:\Windows), dabei kann hierbei auf den Suchpfad Eintrag verzichtet werden.

WinDump kann nun ausgeführt werden, dazu öffnet man eine Eingabeaufforderung als Administrator, durch drücken der Taste auf der Tastatur und wählen von Als Administrator ausführen.

In der nun geöffneten Eingabeaufforderung wird zuerst die GUID der Netzwerkschnittstelle abgefragt, diese von Windows zugewiesen wurde.

Welche GUID hat nun welcher Netzwerk-Adapter? mit meinem Laptop möchte ich mit WinDump die Pakete vom WLAN-Adapter anzeigen.

Hierzu hilft das Befehlszeilentool netsh dieses die Information liefert.

C:\> netsh wlan show interfaces

Der Befehl zeigt uns folgende GUID in der Eingabeaufforderung.

Die GUID meines WLAN-Adapters ist hier rot eingerahmt. Zur Erinnerung, mit dem Befehl WinDump -D erschient der Adapter hier zum Beispiel in der Zeile 4.

WinDump soll also bei meinem Laptop auf dem Interface 4 hören (WinDump -D). Mit der Option -i gefolgt von \Device\NPF_{GUID}.

WinDump.exe -i "\Device\NPF_{B13697A3-3CD0-4D84-BA5D-179F708500D3}"

So weit so gut, es werden jetzt alle Pakete angezeigt, dann kommt jetzt der Moment wo die Filter zur Anwendung kommen, damit erhöhen sich die Chancen das überhaupt ein Fehler gefunden werden kann.

Registry Jump öffnet Regedit zu einem bestimmten Pfad

Registry-Editor (regedit.exe) ist das bekanntermassen nicht besonders komfortabele Tool an diesem Microsoft kaum Veränderungen vorgenommen hat, der mittlerweile altbacken anmutende Windows Registrierungseditor ist in die Jahre gekommen und scheint nicht mehr wirklich zeitgemäss zu sein.

Neben der Suchfunktion bietet der Registrierungseditor keine direkte Möglichkeit zu einem bestimmten Schlüssel zu springen, was insbesondere dann ärgerlich ist, wenn man sich zu einem besonders langen Registry Key durchhangeln muss.

Jedoch gut ist, dass es auch dafür ein Tool gibt, Microsoft bietet aus der Sysinternals Sammlung ein kostenloses Tool mit dem Namen RegJump, dieses hier heruntergeladen werden kann.

Das kleine Befehlszeilen-Applet nimmt einen Registrierungspfad und öffnet Regedit für diesen Pfad. Es akzeptiert Root Keys in der Standard Form wie zB. HKEY_LOCAL_MACHINE und in Kurzform mit HKLM.

Regjump v1.1
Copyright (C) 2013-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

usage: regjump <<path>|-c>
  -c    Copy path from clipboard.
e.g.: regjump HKLM\Software\Microsoft\Windows

Besonders hilfreich ist dabei die Übergabe eines Schlüsselpfad aus der Zwischenablage mit der Option -c (Copy path from clipboard).

Die mobile Version verlassen