traceroute / tracert

Während ping nur zeigt ob ein Ziel erreichbar ist, zeigt traceroute (Linux/macOS) bzw. tracert (Windows) auch den Weg dorthin – Router für Router, mit Zeitmessung an jedem Hop. Damit lässt sich erkennen, wo genau im Internet ein Engpass oder Ausfall liegt: Am eigenen Router? Beim ISP? Irgendwo im Transit? Beim Ziel-Provider?

Die Analogie: Stell dir vor, du verschickst einen Brief und möchtest wissen, welche Postzentren er passiert. Pinger ist „kommt der Brief an? Ja/Nein." Traceroute hingegen klebt an jedem Postzentrum eine kleine Karte ans Paket: „Ich war hier um 13:47 Uhr." Am Ende hast du die komplette Route inklusive Bearbeitungszeit jeder Zwischenstation. Eine zweite Bildsprache: Hänsel und Gretel im Wald – traceroute legt an jedem Wegpunkt einen Brotkrumen, damit du die Route nachverfolgen kannst, selbst wenn du das Ziel selbst nie erreichst.

1) Der TTL-Trick – wie traceroute den Weg findet

Traceroute nutzt eine clevere Eigenschaft des IP-Protokolls: das TTL-Feld. Jedes IP-Paket hat eine „Time-to-Live", die an jedem passierenden Router um 1 dekrementiert wird. Fällt TTL auf 0, verwirft der Router das Paket und schickt eine ICMP-Meldung „Time Exceeded" (Typ 11) zurück – mit seiner eigenen IP als Absender. Genau das macht sich traceroute zunutze: Es schickt absichtlich Pakete mit zu kleiner TTL los, um an jedem Hop einen „Verfallszeitpunkt" auszulösen.

TTL-Trick – Schritt für Schritt

💻

Start

🏠

R1
Heim

📡

R2
ISP

🌐

R3
Backbone

☁️

R4
Google

🎯

8.8.8.8
Ziel

Drücke „Nächste Sonde" – traceroute schickt Pakete mit steigender TTL.

Pro Hop schickt traceroute meist 3 Pakete und zeigt 3 RTT-Werte – so erkennt man Schwankungen oder Paketverlust an einer bestimmten Stelle. Sterne (*) bedeuten Timeout: entweder ist der Router stumm (ICMP-Antworten blockiert), oder die Sonde ging unterwegs verloren.

2) Windows tracert vs. Linux traceroute vs. mtr

Auch wenn das Grundprinzip identisch ist, unterscheiden sich die Implementierungen in einem wichtigen Detail: dem verwendeten Protokoll der Sonden-Pakete. Diese Unterscheidung erklärt, warum eine Route unter Windows perfekt durchläuft, unter Linux aber bei Hop 5 plötzlich Sterne zeigt:

Drei Werkzeuge, drei Protokolle

🪟 tracert (Windows)

ProtokollICMP Echo Request (Typ 8)

VorteilWie ping – wenn ping geht, geht tracert

NachteilICMP wird oft komplett geblockt

Aufruftracert 8.8.8.8

🐧 traceroute (Linux)

ProtokollStandard: UDP an hohe Ports (33434+)

VorteilKommt durch viele ICMP-Filter

NachteilManche Firewalls droppen UDP

Optionen-I = ICMP, -T = TCP

📊 mtr (My Traceroute)

WasTraceroute + Ping kontinuierlich

VorteilZeigt Paketverlust pro Hop live

StärkeErkennt sporadische Probleme

Aufrufmtr 8.8.8.8

Profi-Tipp: Wenn tracert auf Windows lauter Sterne zeigt, einfach tracert -d probieren (kein DNS-Lookup pro Hop, viel schneller). Wenn das Ziel auf ICMP gar nicht antwortet, unter Linux mit traceroute -T -p 443 einen TCP-Trace auf den Webserver versuchen – dieser kommt fast immer durch.

3) Eine echte Trace-Ausgabe lesen

Eine vollständige Ausgabe von tracert wirkt auf den ersten Blick unübersichtlich. Wer die Struktur kennt, erkennt aber sofort, was wo passiert. Jede Zeile = ein Hop, drei RTT-Werte = drei Sonden, Hostname (falls auflösbar) plus IP-Adresse:

tracert auf 8.8.8.8 – annotiert

Routenverfolgung zu dns.google [8.8.8.8] über maximal 30 Hops:

1    1 ms    1 ms    1 ms fritz.box [192.168.178.1]
2   15 ms   14 ms   14 ms isp-gw.local [10.50.0.1]
3   *      *      *   Anforderung hat das Zeitlimit überschritten.
4   18 ms   17 ms   18 ms de-fra1.core.telco.net [80.81.x.x]
5   19 ms   20 ms   19 ms peering.google.com [72.14.x.x]
6   21 ms   21 ms   20 ms dns.google [8.8.8.8]

Ablaufverfolgung beendet.

Hop 3 mit drei Sternen ist kein Beweis für ein Problem – viele Provider unterdrücken ICMP-Antworten ihrer Core-Router aus Sicherheits- und Performance-Gründen. Solange die folgenden Hops antworten, ist die Route in Ordnung. Echtes Problem: wenn ab einem bestimmten Hop alle weiteren Hops Sterne zeigen.

4) Typische Trace-Befunde und ihre Bedeutung

Hops und ihre RTT-Werte erzählen eine Geschichte. Ein paar Muster lernt man schnell zu lesen:

Default-Gateway antwortet nicht – Schicht-1/2-Problem oder ICMP am Router gesperrt

Muster	Wahrscheinliche Ursache
Hop 1 schon Sterne
RTT springt an einem Hop drastisch hoch	Überlastung oder geografische Distanz (z. B. Transatlantik-Hop)
Alle Hops antworten, aber Ziel-Hop nicht	Ziel-Firewall blockt ICMP – Erreichbarkeit ist trotzdem oft gegeben (Test mit Port-Probe)
Plötzlich anderer IP-Bereich auf dem Rückweg	Asymmetrisches Routing – Hin- und Rückweg laufen über verschiedene Provider
Hop x → Hop y → Hop x → …	Routing-Loop, oft nach fehlerhafter statischer Route
Letzte Hops nicht erreichbar	Ziel-Netz down oder Edge-Firewall, Trace bei vorletztem Hop „eingefroren"

5) mtr – das Diagnose-Werkzeug für Profis

Sobald ein Problem nur sporadisch auftritt – mal funktioniert die Verbindung, mal nicht – ist klassisches traceroute zu wenig: ein einmaliger Lauf zeigt nur eine Momentaufnahme. mtr kombiniert Traceroute und Ping zu einem Dauer-Monitor und zeigt für jeden Hop kontinuierlich Paketverlust und Latenz. So lässt sich sofort erkennen, wo im Pfad ein Engpass oder Wackeln auftritt:

mtr-Ausgabe (typisches Bild)

HOST: laptop.local    Loss%  Snt   Last   Avg  Best  Wrst
1.|-- 192.168.1.1    0.0%   30    1.0   1.1   0.8   1.4
2.|-- 10.50.0.1      0.0%   30   14.2  14.5  13.8  17.1
3.|-- 80.81.x.x      23.3%  30   18.7  87.3  15.9  412.0
4.|-- 72.14.x.x      0.0%   30   20.1  20.4  19.6  22.3
5.|-- 8.8.8.8        0.0%   30   21.0  21.2  20.5  24.1

Lesehinweis: Loss 23 % nur auf Hop 3, aber 0 % auf Hop 4 und 5 = kein Problem für den Endbenutzer. Der Router auf Hop 3 priorisiert seine Antwort-Pakete an mtr niedrig (Rate-Limiting), die Durchgangsraffte werden weiter normal verarbeitet. Loss erst ab einem bestimmten Hop, der ab dort durchgängig anhält = echtes Problem an dieser Stelle.

Zusammenfassung

traceroute (Linux) / tracert (Windows) zeigt den Weg eines Pakets Router für Router. Trick: künstlich niedrige TTL erzeugt ICMP-Time-Exceeded an jedem Hop. Windows nutzt ICMP, Linux per Default UDP – beides hat Vor- und Nachteile bei Firewalls. mtr kombiniert Traceroute und Ping als Dauer-Monitor und ist das Mittel der Wahl bei sporadischen Problemen. Sterne bedeuten nicht automatisch „Fehler" – viele Core-Router antworten absichtlich nicht. Echtes Problem nur, wenn ab einem Hop alle weiteren Sterne zeigen, oder Loss/RTT ab einem Hop dauerhaft hochbleibt.