QUIC mit Procmon

Neben Wireshark gibt es weitere Tools, die Kommunikationen protokollieren können. Sysinternals ProcMon überwacht auf dem Windows System die verschiedenen Aktivitäten der unterschiedlichen Prozesse. Dazu gehören auch Netzwerk-Verbindungen und insbesondere UDP-Pakete. Der Vorteil gegenüber Wireshark oder anderen auf dem Kabel lauschenden Lösungen kennt Procmon auch den Prozess.

Allerdings kann auch Procmon nicht das Problem lösen, dass alle Datenpakete verschlüsselt sind und sie maximal die IP-Adresse der Gegenstelle finden. ReverseDNS funktioniert oft nicht und wenn die Inhalte per QUIC von einem Content Delivery Network (CDN) kommen, dann kann die Adresse auch nicht eindeutig zugeordnet werden.

Tipp: Vielleiht hilft ein Blick in den lokalen DNS-Cache ("IPCONFIG /DisplayDNS" oder "Get-DNSClientcache", um zu einer IP-Adresse einen Namen zu finden.

Wenn Sie Sysinternals Procmon nutzen, dann können Sie zumindest den Prozess finden, der per UDP kommunizieren. Hier ist es msedgewebview2.

Allerdings sind hier natürlich erst einmal alle UDP-Pakete aufgeführt, auch die von DNS, NTP, Microsoft Teams Audio/Video und andere Programme. Aber es ist ein Teil bei der Fehlersuche.