Es ist eine ge­fühl­te Ewig­keit her, daß ich hier etwas über Win­dows schrei­be (ab­ge­se­hen von einem Rant viel­leicht ;-) Die Ent­de­ckung des Mor­gens war die In­for­ma­ti­on, daß man mit Win­dows-Bord­mit­teln Netz­werk-Traf­fic mit­schnei­den kann. Das ganze funk­tio­niert ab Win­dows 7 bzw. Win­dows Ser­ver 2008.

Der Charme des gan­zen ist, daß man keine se­pa­ra­te Soft­ware für die Auf­zeich­nung in­stal­lie­ren muß, ins­be­son­de­re bei Pro­duk­tiv­sys­te­men sieht man das nicht gern ;-) Und selbst Wireshark Por­ta­ble muß den In­stal­ler von win­pcap aus­füh­ren, auch wenn die In­stal­la­ti­on di­rekt nach dem Be­en­den wie­der rück­gä­nig ge­macht wird.

Der Schlüs­sel ist der Be­fehl netsh trace. Mit­tels netsh trace start capture=yes star­tet man den Mit­schnitt, mit netsh trace stop fi­na­li­siert man den Mit­schnitt. Es gibt eine Menge Op­tio­nen (zy­kli­scher Puf­fer, Fil­tern auf be­stimm­te Kri­te­ri­en, etc.), diese kann man sich mit netsh trace show capturefilterhelp an­zei­gen las­sen.

Das ganze lan­det lei­der nicht in einem Wireshark-les­ba­ren For­mat, zum Öff­nen be­nö­tigt man den Mi­cro­soft Mes­sa­ge Ana­ly­zer. Das Pro­gramm macht zwar einen lah­men Ein­druck, gibt sich dann aber er­staun­lich po­tent. Wer aber trotz­dem lie­ber auf Wireshark zu­rück­grei­fen möch­te, kann mit dem Mes­sa­ge Ana­ly­zer die Daten in eine pcap-Da­tei ex­por­tie­ren.

Eben­falls in­ter­es­sant für den Dia­gno­se­e­in­satz: Zu­sam­men mit dem Pa­ket­da­ten wird eine cab-Da­tei er­zeugt, wel­che eine Viel­zahl von Sys­temin­for­ma­tio­nen sam­melt - so fin­det man darin bei­spiels­wei­se Infos über die ver­wen­de­ten Netz­werk­trei­ber, die ex­ak­te Netz­werk­kon­fi­gu­ra­ti­on und die ak­tu­el­len Fire­wall­re­geln nebst einer Liste der blo­ckier­ten/frei­ge­schal­te­ten An­wen­dun­gen.