Erweiterte Netzwerkdiagnose: arp, route, netsh

Mit den Befehlen aus L4 löst du die meisten Alltags-Probleme – aber wenn es um tiefere Netzwerk-Analyse geht (Routing-Probleme, ARP-Konflikte, Firewall-Diagnose, WLAN-Profile), brauchst du die nächste Stufe. arp, route, netstat und vor allem netsh sind die Werkzeuge dafür.

Diese Befehle sind älter und teilweise zugunsten der PowerShell-Cmdlets als „deprecated" markiert. Aber: sie funktionieren überall, in jedem Windows, ohne Module nachladen zu müssen. Auf einem fremden System ist CMD oft das Einzige was sofort verfügbar ist. netsh insbesondere ist immer noch das mächtigste Tool für die Firewall-Konfiguration und WLAN-Verwaltung.

1) arp – die IP-MAC-Tabelle verstehen

Im lokalen Netzwerk reden Geräte nicht direkt über IP-Adressen, sondern über MAC-Adressen – die Hardware-Identitäten der Netzwerkkarten. Damit deine Pakete die richtige MAC erreichen, hat dein Computer eine Tabelle: IP-Adresse → MAC-Adresse. Das ist die ARP-Tabelle. arp -a zeigt sie:

CMD – arp -a

C:\> arp -a Schnittstelle: 192.168.1.100 --- 0xb Internetadresse Physische Adresse Typ 192.168.1.1 a4-2b-b0-ff-12-34 dynamisch 192.168.1.5 d8-cb-8a-aa-bb-cc dynamisch 192.168.1.10 78-2b-cb-00-11-22 dynamisch 192.168.1.20 54-bf-64-11-22-33 dynamisch 192.168.1.255 ff-ff-ff-ff-ff-ff statisch 224.0.0.22 01-00-5e-00-00-16 statisch 239.255.255.250 01-00-5e-7f-ff-fa statisch

Spalten:

Internetadresse – die IP eines Geräts in deinem Subnetz
Physische Adresse – dessen MAC-Adresse
Typ – „dynamisch" (per ARP gelernt, läuft nach Sekunden ab) oder „statisch" (Broadcast-/Multicast-Adressen)

Analogie: stell dir die ARP-Tabelle wie ein Telefonbuch für die Hausnummern deiner Straße vor. Wenn du was zu „Haus Nummer 10" willst (IP), brauchst du die genaue Adresse (MAC). Dein Computer fragt einmalig per ARP-Broadcast „Wer hat IP 192.168.1.10?" und merkt sich die Antwort.

2) Interaktive ARP-Tabelle

Klick auf eine Zeile um zu sehen wofür sie da ist. Beachte die markierte Zeile:

ARP-Tabelle erkunden (Klick die Zeilen!)

Internetadresse

Physische Adresse

Typ

192.168.1.1

a4-2b-b0-ff-12-34

dynamisch

192.168.1.5

d8-cb-8a-aa-bb-cc

dynamisch

192.168.1.10

78-2b-cb-00-11-22

dynamisch

192.168.1.1

aa-bb-cc-dd-ee-ff

dynamisch

← verdächtig?

192.168.1.255

ff-ff-ff-ff-ff-ff

statisch

224.0.0.22

01-00-5e-00-00-16

statisch

Die rote Zeile zeigt einen möglichen ARP-Spoofing-Angriff: zwei verschiedene MAC-Adressen für die gleiche IP (192.168.1.1, das Gateway). Ein Angreifer versucht sich als Gateway auszugeben, um den Datenverkehr abzufangen (Man-in-the-Middle-Angriff). Solche Anomalien im ARP-Cache sind wichtige Frühwarnzeichen!

3) ARP-Befehle: anzeigen, löschen, hinzufügen

arp-Befehle

REM Alle ARP-Einträge anzeigen C:\> arp -a REM Nur eine bestimmte Schnittstelle C:\> arp -a -N 192.168.1.100 REM ARP-Cache komplett leeren (braucht Admin!) C:\> arp -d * REM Einen Eintrag löschen C:\> arp -d 192.168.1.10 REM Statischen Eintrag hinzufügen (selten) C:\> arp -s 192.168.1.10 78-2b-cb-00-11-22

Wann nützlich: Wenn du in einem schlecht konfigurierten Netz ein Gerät ansprechen willst, aber ARP nicht funktioniert. Oder wenn ein Gerät umgezogen ist und der Cache noch die alte MAC hat – dann arp -d ZIEL-IP erzwingt eine Neuauflösung. Mehr zu ARP und Layer 2 in K20.

4) route print – die Routing-Tabelle

Wenn dein Computer ein Paket sendet, fragt er die Routing-Tabelle: „Wohin damit?". Das ist ein Regelwerk mit IP-Bereichen → Gateways → Schnittstellen. route print zeigt sie:

CMD – route print (gekürzt)

C:\> route print =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.100 25 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331 192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.100 281 192.168.1.100 255.255.255.255 Auf Verbindung 192.168.1.100 281 192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.100 281 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.100 281

Das Wichtigste: die Default-Route in der ersten Zeile: 0.0.0.0 mit Gateway 192.168.1.1. Das bedeutet: „alles wofür ich keine speziellere Regel habe, schicke an 192.168.1.1". Das ist dein Router. Die anderen Zeilen sind Routen fürs lokale Subnetz, Loopback (127.x), und Multicast (224.x).

Probier den interaktiven Routing-Editor – füg eine statische Route hinzu und sieh den Befehl:

Routing-Tabelle interaktiv

Neue Route: Ziel Maske Gateway

Eine zusätzliche Route brauchst du typischerweise wenn du ein VPN nutzt das nicht alle Traffic durchroutet, oder wenn ein zweites Netz über einen anderen Router erreichbar ist. Beispiel: 10.0.0.0/8 ist die interne Firma, dorthin geht's über VPN-Gateway. Mit route -p add wird die Route auch nach Reboot beibehalten.

5) route add, change, delete

route-Befehle

REM Routing-Tabelle anzeigen C:\> route print REM Nur IPv4-Routen C:\> route print -4 REM Route hinzufügen (NUR temporär, verschwindet bei Reboot) C:\> route add 10.0.0.0 mask 255.0.0.0 192.168.1.254 REM Persistent: -p macht sie reboot-fest C:\> route -p add 10.0.0.0 mask 255.0.0.0 192.168.1.254 REM Mit Metrik (Priorität - niedriger = wichtiger) C:\> route add 10.0.0.0 mask 255.0.0.0 192.168.1.254 metric 100 REM Route ändern C:\> route change 10.0.0.0 mask 255.0.0.0 192.168.1.253 REM Route löschen C:\> route delete 10.0.0.0

Alle modifizierenden route-Befehle brauchen Admin-Rechte. Persistente Routen (-p) werden in der Registry gespeichert und beim Boot wieder hergestellt. Mehr zu Routing-Konzepten findest du in K22.

6) netstat – wer redet mit wem?

netstat zeigt alle aktiven Netzwerk-Verbindungen und offenen Ports. Klassisch für Sicherheits-Audits und um zu finden welcher Prozess welchen Port belegt:

CMD – netstat

C:\> netstat -an Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN TCP 192.168.1.100:5432 142.250.185.78:443 HERGESTELLT TCP 192.168.1.100:5520 20.236.44.162:443 HERGESTELLT TCP 192.168.1.100:5670 192.168.1.10:445 HERGESTELLT UDP 0.0.0.0:53 *:* UDP 192.168.1.100:138 *:*

Wichtige Optionen:

-a: alle Verbindungen, auch lauschende Ports
-n: numerische IPs/Ports, keine DNS-Auflösung (schneller!)
-o: zeigt PID des Prozesses pro Verbindung
-b: zeigt sogar den Programm-Namen (braucht Admin!)
-p tcp / -p udp: filtert auf Protokoll
-r: zeigt Routing-Tabelle (wie route print)
-s: Statistik

Klassischer Use-Case: „warum kann ich keinen Webserver auf Port 80 starten – wer blockiert den?":

netstat: Port-Blocker finden

C:\> netstat -ano | findstr :80 TCP 0.0.0.0:80 0.0.0.0:0 ABHÖREN 4716 REM PID 4716 belegt Port 80 - welcher Prozess ist das? C:\> tasklist /fi "pid eq 4716" Abbildname PID Sitzungsname Speichernutzung ================ ==== ============ =============== httpd.exe 4716 Services 45.328 KB REM Aha! Apache läuft schon - entweder den stoppen oder anderen Port nutzen

Diese Kombination aus netstat -ano + tasklist /fi ist DAS Werkzeug für Port-Konflikte. Mehr zu Prozessen in L5.

7) netsh – das Universal-Werkzeug

netsh (Network Shell) ist der mächtigste Netzwerk-Befehl in Windows. Eigentlich ist es eine eigene Mini-Shell mit „Kontexten" – jedes Kontext hat eigene Unterbefehle. Das ist anfangs verwirrend, aber sehr mächtig:

CMD – netsh interaktiv

C:\> netsh netsh> ? advfirewall Wechselt in den Kontext "netsh advfirewall". interface Wechselt in den Kontext "netsh interface". ipsec Wechselt in den Kontext "netsh ipsec". http Wechselt in den Kontext "netsh http". wlan Wechselt in den Kontext "netsh wlan". ... netsh> wlan netsh wlan> ? show profiles Zeigt gespeicherte WLAN-Profile. connect Verbindet mit drahtlosem Netzwerk. disconnect Trennt drahtlose Verbindung. ... netsh wlan> show profiles Profile auf der Schnittstelle WLAN: Gruppenrichtlinienprofile: (kein) Benutzerprofile: Alle Benutzerprofile : FirmaNet Alle Benutzerprofile : Cafe-Hotspot Alle Benutzerprofile : Heim-WLAN netsh wlan> exit

Im Alltag tippst du meistens direkt die volle Form als einzeilen Befehl, ohne interaktiv reinzugehen:

8) netsh: die wichtigsten Kontexte

netsh-Kontexte im Überblick

netsh interface

IP-Konfiguration aller Adapter. netsh interface ip show config

netsh wlan

WLAN-Profile, gespeicherte Passwörter. netsh wlan show profiles

netsh advfirewall

Windows-Firewall. netsh advfirewall firewall add rule ...

netsh http

HTTP-Listener (für IIS, Self-hosted Services).

netsh ipsec

IPSec-Tunnel und -Regeln.

netsh winhttp

Proxy-Konfiguration für WinHTTP (Windows Update, etc.).

netsh dhcpclient

DHCP-Client-Diagnose.

netsh trace

Network-Trace starten (Paket-Capture wie Wireshark, aber im Hintergrund).

Im Alltag wirst du vor allem advfirewall und wlan benutzen. Mit netsh KONTEXT show ? findest du raus was geht. Für tiefer eingehende Firewall-Konfiguration siehe K09 Firewalls.

9) WLAN-Profile mit netsh wlan

Ein extrem nützlicher Trick: gespeicherte WLAN-Passwörter auslesen. Funktioniert mit Admin-Rechten:

netsh wlan

REM Alle gespeicherten WLAN-Profile C:\> netsh wlan show profiles REM Details zu einem Profil - INKLUSIVE Passwort! C:\> netsh wlan show profile name="Heim-WLAN" key=clear ... Sicherheitseinstellungen Authentifizierung : WPA2-Personal Schlüsselinhalt : MeinSuperPasswort123 REM Aktuelle WLAN-Verbindungen C:\> netsh wlan show interfaces REM Mit bekanntem Profil verbinden C:\> netsh wlan connect name="FirmaNet" REM Profil exportieren (zum Mitnehmen auf anderen Rechner) C:\> netsh wlan export profile name="Heim-WLAN" folder=C:\Temp key=clear REM WLAN-Adapter zurücksetzen (Reset bei Problemen) C:\> netsh wlan disconnect C:\> netsh wlan connect name="FirmaNet"

Wichtig zum Thema Datenschutz: das Auslesen von WLAN-Passwörtern braucht zwar Admin-Rechte, ist aber rechtlich nur unproblematisch wenn es dein eigenes Gerät / Netz ist. Auf fremden Geräten könnte das computerstrafrechtlich relevant sein – siehe K06. Mehr zu WLAN-Sicherheit in K23.

10) Firewall mit netsh advfirewall

Die Windows-Firewall steuern. Mehr zu den Konzepten in K09:

Firewall steuern

REM Aktuelle Profile zeigen C:\> netsh advfirewall show allprofiles REM Alle Profile aktivieren (Domain, Privat, Öffentlich) C:\> netsh advfirewall set allprofiles state on REM Regel hinzufügen: Port 8080 von außen erlauben C:\> netsh advfirewall firewall add rule name="WebApp 8080" dir=in action=allow protocol=TCP localport=8080 REM Programm erlauben C:\> netsh advfirewall firewall add rule name="MeinApp" dir=in action=allow program="C:\Pfad\app.exe" REM Alle Regeln auflisten C:\> netsh advfirewall firewall show rule name=all REM Eine Regel löschen C:\> netsh advfirewall firewall delete rule name="WebApp 8080" REM Firewall komplett deaktivieren (im Lab okay, in Produktion NEIN) C:\> netsh advfirewall set publicprofile state off

Die Firewall ohne Not abzuschalten ist eine schlechte Idee – mehr zu Firewall-Best-Practices in K09. Gezielte Regeln für nötige Ports sind besser.

11) IP-Konfiguration mit netsh interface

Statt mit der GUI kannst du IP-Adressen auch per Befehl setzen – wichtig für Server-Setups:

IP-Konfiguration

REM Aktuelle IP-Konfiguration C:\> netsh interface ip show config REM Statische IP setzen C:\> netsh interface ip set address name="Ethernet" static 192.168.1.50 255.255.255.0 192.168.1.1 REM Auf DHCP umschalten C:\> netsh interface ip set address name="Ethernet" dhcp REM DNS-Server setzen C:\> netsh interface ip set dns name="Ethernet" static 8.8.8.8 C:\> netsh interface ip add dns name="Ethernet" 1.1.1.1 index=2 REM DNS auf DHCP zurücksetzen C:\> netsh interface ip set dns name="Ethernet" dhcp

Das sind die Befehle die in Server-Provisioning-Skripten landen: Server bekommen ihre statische IP per CMD-Skript zugewiesen, statt manueller GUI-Klickerei.

12) netsh trace – Packet-Capture eingebaut

Ein vergessenes Feature: netsh trace ist ein eingebauter Packet-Capture, ähnlich zu Wireshark. Praktisch wenn du keine Tools installieren darfst:

netsh trace

REM Trace starten C:\> netsh trace start capture=yes tracefile=C:\trace.etl REM ... Problem reproduzieren ... REM Trace stoppen C:\> netsh trace stop REM Datei C:\trace.etl ist Microsoft-Format. REM Kann mit "Microsoft Message Analyzer" (deprecated) REM oder mit Wireshark+etl2pcapng konvertiert geöffnet werden.

Das ist kein Werkzeug für den Alltag, aber gut zu wissen wenn du in einer eingeschränkten Umgebung ein Netzwerk-Problem debuggen musst und keine externen Tools nutzen darfst.

13) Vergleich zu PowerShell

Aufgabe	CMD/netsh	PowerShell
ARP-Tabelle	`arp -a`	`Get-NetNeighbor`
Routing-Tabelle	`route print`	`Get-NetRoute`
Route hinzufügen	`route add ...`	`New-NetRoute`
Offene Ports	`netstat -ano`	`Get-NetTCPConnection`
IP setzen	`netsh interface ip set address ...`	`New-NetIPAddress`
Firewall-Regel	`netsh advfirewall firewall add rule`	`New-NetFirewallRule`
WLAN-Profile	`netsh wlan show profiles`	(noch via netsh)

Für Skripte und Automation ist PowerShell deutlich besser – siehe K44 L8. Aber: CMD funktioniert überall, auch in alten Windows-Versionen, ohne Module. WLAN ist sogar das einzige wo CMD/netsh noch die einzige sinnvolle Variante ist – PowerShell hat hier keine guten nativen Cmdlets.

Zusammenfassung

arp -a zeigt IP-MAC-Tabelle deines lokalen Subnetzes; arp -d ZIEL löscht Eintrag (Force-Refresh); doppelte MACs deuten auf ARP-Spoofing hin. route print zeigt Routing-Tabelle; die 0.0.0.0-Zeile ist die Default-Route (zum Internet); route -p add ZIEL mask MASKE GATEWAY für persistente Routen. netstat -ano zeigt alle Verbindungen mit Prozess-ID; kombiniert mit tasklist /fi "pid eq N" findest du welcher Prozess einen Port belegt. netsh ist Universal-Werkzeug mit Kontexten: interface (IP-Config), wlan (WLAN-Profile, Passwörter mit key=clear), advfirewall (Firewall-Regeln), trace (Paket-Capture). Alle modifizierenden Befehle brauchen Admin-Rechte. PowerShell-Pendants in K44 L8 sind moderner für Skripte; für WLAN-Verwaltung bleibt netsh aber Standard. Mehr Routing in K22, mehr Firewalls in K09.

Erweiterte Netzwerkdiagnose: arp, route, netsh

1) arp – die IP-MAC-Tabelle verstehen

2) Interaktive ARP-Tabelle

3) ARP-Befehle: anzeigen, löschen, hinzufügen

4) route print – die Routing-Tabelle

5) route add, change, delete

6) netstat – wer redet mit wem?

7) netsh – das Universal-Werkzeug

8) netsh: die wichtigsten Kontexte

9) WLAN-Profile mit netsh wlan

10) Firewall mit netsh advfirewall

11) IP-Konfiguration mit netsh interface

12) netsh trace – Packet-Capture eingebaut

13) Vergleich zu PowerShell

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title