Zwei kostenlose Tools ermöglichen präzise Netzwerkanalyse ohne großen Aufwand. WhoIsConnectedSniffer erkennt verbundene Geräte passiv im LAN, Sniffnet überwacht gleichzeitig den Datenverkehr in Echtzeit. Zusammen liefern sie Administratoren ein vollständiges Bild ihres Netzwerks.
Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr.
(Bild: Joos)
WhoIsConnectedSniffer ist ein kompaktes Analysewerkzeug, das ohne aktives Scannen erkennt, welche Geräte im lokalen Netzwerk aktiv sind. Es lauscht direkt auf den Netzwerkadaptern und sammelt Informationen aus den übertragenen Paketen. Dabei nutzt es Protokolle wie ARP, UDP, DHCP, mDNS und andere, um Hosts zu identifizieren. So lässt sich ohne zusätzliche Netzlast feststellen, welche Systeme gerade kommunizieren. Das Tool läuft auf sämtlichen Windows-Versionen bis hin zu Windows 11 sowie auf Windows Server 2022 und 2025 und lässt sich portabel betreiben.
Nach dem Start genügt die Auswahl des richtigen Adapters und der Capture-Treiber. Wer direkt nach der Aktivierung keine Ergebnisse sieht, lässt das Programm einige Minuten offen, bis erste Pakete empfangen sind. Im Fenster erscheinen dann IP- und MAC-Adressen, Hostnamen, Betriebssysteme und Hersteller der Netzwerkkarten. Administratoren erkennen dadurch auch unautorisierte Geräte, zum Beispiel fremde Notebooks im Firmennetz oder neue IoT-Komponenten, die unbemerkt online gehen. Da WhoIsConnectedSniffer nur passiv mithört, bleibt es selbst für Intrusion-Detection-Systeme unsichtbar. Das Tool zeigt auch potenzielle Namen und weitere Informationen an, wie die MAC-Adresse.
Bildergalerie
Die gesammelten Daten lassen sich per Tastenkombination Ctrl+A und Ctrl+S in HTML-, CSV- oder XML-Form exportieren.
Über Kommandozeilenparameter können automatisierte Aufzeichnungen eingerichtet werden, etwa für stündliche Scans oder zur Speicherung in definierten Intervallen. Auf Servern eignet sich das Tool, um in ruhigen Netzwerkphasen mögliche Broadcast-Stürme oder verdächtige DHCP-Anfragen zu identifizieren.
Für automatisierte Auswertungen bietet WhoIsConnectedSniffer eine Reihe nützlicher Startparameter:
/cfg <Datei>: Konfiguration laden, zum Beispiel „WhoIsConnectedSniffer.exe /cfg c:\config\wcs.cfg“
/CaptureTime <Sekunden>: Legt die Aufzeichnungsdauer fest, standardmäßig zehn Sekunden, oder dauerhaft bei Wert null
/SaveToFileInterval <Sekunden>: Damit wird das Ergebnis regelmäßig gespeichert
/StopCommandLineCapture: Beendet die Aufzeichnung und schreibt alle Daten in die Ausgabedatei
/sort <Spalte>: Damit lassen sich die Ergebnisse nach Spaltennamen oder Index sortieren, etwa „/sort IP Address“ oder absteigend mit „~Last Detected On“.
Für die Speicherung stehen mehrere Formate zur Verfügung:
/stext für reine Textdateien,
/stab für tabgetrennte Listen,
/scomma für CSV,
/stabular für tabellarische Darstellung,
/shtml und /sverhtml für HTML und
/sxml für XML-Dateien.
Mehrere Sortierkriterien können kombiniert werden. Diese Optionen machen das Tool flexibel für Skripte und zeitgesteuerte Netzwerkanalysen auf Windows-Servern.
Sniffnet als visuelle Echtzeitergänzung
Sniffnet ist das passende Gegenstück für den aktiven Überblick über die gesamte Datenübertragung. Die Open-Source-Anwendung basiert auf Rust, läuft ebenfalls unter Windows 10, 11 und Windows Server 2022 oder 2025 und ist für die kontinuierliche Verkehrsüberwachung ausgelegt. Das Tool lässt sich allerdings auch auf Linux und macOS installieren.
Nach Auswahl des Netzwerkadapters zeigt das Hauptfenster sofort ein Live-Diagramm, das den eingehenden und ausgehenden Datenverkehr sekundengenau darstellt. So erkennt man Spitzenlasten und ungewöhnliche Aktivitäten direkt im Verlauf. Erscheint eine Fehlermeldung, dass die Datei „VCRUNTIME140.dll“ fehlt, lässt sich das Problem schnell lösen.
Diese Datei gehört zur Microsoft Visual C++ Redistributable-Laufzeitbibliothek, die viele Programme unter Windows benötigen. Fehlt die Datei, hilft die Installation der Microsoft Visual C++ Redistributables.
In der linken oberen Ecke steht der gewählte Adapter mit seinem Linktyp, meist Ethernet. Über einfache Schaltflächen lässt sich die Anzeige von Bytes auf Pakete umstellen. Eine grafische Übersicht in Form eines Donut-Diagramms zeigt, wie viel Traffic empfangen, gesendet, verworfen oder gefiltert wurde. Unten im Fenster erscheinen alle Hosts, mit denen das System Daten austauscht. Sniffnet nutzt eine integrierte MaxMind-Datenbank, um die geografische Herkunft der Gegenstellen zu bestimmen, ergänzt um Domainnamen aus Rückwärtsauflösungen und ASN-Informationen großer Provider.
Die Verbindungsliste lässt sich nach übertragenem Datenvolumen sortieren oder auf bestimmte Filter beschränken. Ein Sternsymbol markiert Hosts als Favoriten, um sie dauerhaft zu beobachten. Diese Funktion hilft beim Auffinden von regelmäßig kontaktierten Servern, etwa Cloud-Diensten oder internen Gateways. Über die Benachrichtigungsoptionen lassen sich Meldungen definieren, wenn bestimmte IPs aktiv werden oder das Datenvolumen einen Grenzwert überschreitet.
Ein praktisches Detail ist der Export kompletter Mitschnitte im PCAP-Format. Damit lassen sich einzelne Sitzungen später in Wireshark detailliert untersuchen. So kann ein Administrator bei auffälligen Verbindungen sofort prüfen, welche Ports und Protokolle verwendet wurden. Das erleichtert sowohl die Fehleranalyse als auch forensische Auswertungen nach Sicherheitsvorfällen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kombination beider Werkzeuge im Netzwerkalltag
Wer WhoIsConnectedSniffer und Sniffnet gemeinsam nutzt, erhält eine vollständige Sicht auf sein Netz, und das ohne Kosten. WhoIsConnectedSniffer liefert die Gerätebasis, Sniffnet zeigt den tatsächlichen Datenfluss. Die Kombination eignet sich für kleine und mittlere Umgebungen, in denen keine komplexe SIEM-Plattform vorhanden ist.
Ein typisches Szenario: Ein Administrator bemerkt, dass der Internet-Uplink ungewöhnlich stark ausgelastet ist. Mit Sniffnet lässt sich schnell feststellen, welche Hosts den meisten Traffic erzeugen. Wird dabei ein bisher unbekanntes Gerät sichtbar, liefert WhoIsConnectedSniffer unmittelbar Informationen zur IP-, MAC-Adresse und zum Betriebssystem. So wird aus der Traffic-Analyse ein vollständiges Bild der Ursache. In gemischten Netzwerken mit Clients, Servern und IoT-Komponenten zeigt sich der Nutzen ebenfalls. WhoIsConnectedSniffer erkennt Geräte, die sich nur sporadisch melden, während Sniffnet zeitgleich den Verlauf dokumentiert. Administratoren können damit prüfen, ob ein Gerät im Leerlauf tatsächlich keine Daten sendet oder ob verdeckter Verkehr stattfindet. Durch den Export in PCAP-Dateien steht anschließend das Material für eine tiefergehende Analyse in Wireshark bereit.
In größeren Netzwerken lassen sich beide Tools auf verschiedenen Knoten einsetzen: WhoIsConnectedSniffer auf einem zentralen Server, Sniffnet auf einem Administrator-PC mit Zugriff auf die Management-VLANs. Diese Aufteilung erlaubt parallele Beobachtung ohne gegenseitige Beeinflussung und liefert gleichzeitig Echtzeitdaten und Inventarinformationen.
Für alltägliche Prüfungen genügt oft ein kurzer Blick in Sniffnets Live-Übersicht. Wenn die Datenrate oder die Zahl der Hosts ungewöhnlich steigt, öffnet man WhoIsConnectedSniffer und überprüft, ob ein neues Gerät hinzugekommen ist. Durch die passive Arbeitsweise beider Anwendungen bleibt die Analyse unauffällig, was sie auch für sicherheitsrelevante Prüfungen in sensiblen Netzen tauglich macht.
Fazit
Die Kombination aus passiver Erkennung und aktiver Visualisierung liefert damit einen praxisgerechten Ansatz für Administratoren, die ihre Netzwerke ohne hohen Aufwand überwachen wollen. Beide Tools sind kostenlos, benötigen keine Installation und funktionieren zuverlässig auf modernen Windows-Systemen. Wer regelmäßig mit Netzwerkproblemen, Performance-Fragen oder Sicherheitsverdachtsmomenten konfrontiert ist, hat mit dieser Kombination eine leichtgewichtige, aber leistungsfähige Lösung zur Hand.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/a4/02a403ecfc01b1c479f5f8f8cbcf8ce5/0129088931v2.jpeg "Nur 15 bis 25 Prozent der Unternehmen haben NIS-2 umgesetzt, mangelnde Transparenz über IT-Landschaften und fehlende kontinuierliche Überwachung blockieren Compliance. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dd/a9/dda9ad34fe9be0ea4c66cbf7cbbb5840/0101683214.jpeg "Es müssen nicht immer kommerzielle Tools sein, wenn es um die Netzwerk-Überwachung geht. (Bild: © bofotolux - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/a8/02a80b77ab2d7acbb547301e642ef8da/0128075280v1.jpeg "Wohisconnected von Nirsoft ermöglicht schnelle Netzwerkscans.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/60/4f/604fd0d3b657a96b106e310d67908a62/0128075273v1.jpeg "Auswählen des Netzwerkadapters für den Start des Scanvorgangs von Sniffnet.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/fe/be/febe0206b8ce022ce93c6c3926e2b510/0128075272v1.jpeg "Anzeigen des aktuellen Datenverkehrs in Sniffnet.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/c5/9c/c59c4f437e80a06e82e44590d3a2a0d4/0128075271v1.jpeg "Pakete lassen sich auch gezielt filtern. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/72/d7/72d72551e8ef879dc31922fa69cd25cc/0117536809.jpeg "Microsoft Security Copilot kann Wissens- und Erfahrungslücken bei Admins und Sicherheitsteams schließen und dabei helfen, auf Angriffe in kürzester Zeit zu reagieren. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/17/d0173ed9651bcee91a97f9111763d96b/0125705882v1.jpeg "\"Sniffnet\" macht Netzwerkverkehr sichtbar. (Bild: Sniffnet / Made with Guiliano Bellini)")
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/6f/2f6fe35051d43c83347c1cb079d6589e/0117055675.jpeg "Die Burp Suite ist eine Sammlung von Netzwerkanalyse-Tools, mit denen Administratoren Webanwendungen und Cloud-Dienste auf Sicherheitslücken testen können. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/17/d0173ed9651bcee91a97f9111763d96b/0125705882v1.jpeg "\"Sniffnet\" macht Netzwerkverkehr sichtbar. (Bild: Sniffnet / Made with Guiliano Bellini)")
:quality(80)/p7i.vogel.de/wcms/d5/d0/d5d02c4f6e269699961f516f2a58d6be/0124386294v1.jpeg "In diesem Tool-Tipp zeigen wir die ersten Schritte und Möglichkeiten mit Nikto, einem Open-Source-Schwachstellen-Scanner für Webserver. (Bild: Midjourney / KI-generiert)")