Port-Prüftool
Prüfen Sie, ob bestimmte Ports auf einer IP-Adresse oder Domain geöffnet sind
Bis zu 20 Ports gleichzeitig prüfen
Geben Sie eine IP-Adresse und Port-Nummern ein, dann klicken Sie auf "Ports Prüfen"
Was ist ein Port-Prüfer?
Der Port-Checker prüft, ob ein bestimmter Netzwerkport eines Hosts erreichbar wirkt. Ports stehen für Dienste wie HTTP, HTTPS, SSH, SMTP, Datenbanken oder eigene Anwendungen; wenn ein Port nicht erreichbar ist, kann das an Serverstatus, Firewall, NAT, DNS, Routing, Cloud-Sicherheitsgruppen oder daran liegen, dass der Dienst nur lokal bindet. Das Werkzeug hilft bei Deployment-Kontrolle, Fehlersuche, Monitoring und der Frage, ob ein Dienst von außen sichtbar ist. Ein offener Port bedeutet jedoch nicht automatisch, dass die Anwendung gesund oder sicher ist, und ein geschlossener Port erklärt nicht die genaue Ursache. Für Sicherheitsbewertungen sind zusätzliche Protokoll-, Authentifizierungs- und Konfigurationsprüfungen nötig.
So verwenden Sie es
Anleitung
- Geben Sie die Zielserveradresse in das Feld IP/Domain ein
- Geben Sie die zu prüfenden Portnummern ein, getrennt durch Kommas
- Oder verwenden Sie die Schnellfüll-Schaltflächen für häufige Port-Voreinstellungen
- Klicken Sie auf „Ports prüfen" und warten Sie auf die Ergebnisse
- Prüfen Sie Status, Antwortzeit und mögliche Fehlermeldungen jedes Ports
Netzwerk-Deutung
- Ein geschlossenes oder gefiltertes Ergebnis kann durch Firewalls, NAT, ISP-Sperren, Service-Binding oder eine falsche Hostadresse verursacht werden.
- Prüfen Sie über denselben Netzwerkweg wie Ihre Nutzer – die Portsichtbarkeit kann intern und extern unterschiedlich sein.
Anwendungsfälle
Technisches Prinzip
Die Port-Prüfung versucht, TCP-Verbindungen zu bestimmten Ports auf einem Zielhost herzustellen. Ein erfolgreicher TCP-Drei-Wege-Handshake (SYN, SYN-ACK, ACK) zeigt an, dass der Port offen ist und ein Dienst lauscht. Wenn die Verbindung abgelehnt wird (RST, Reset), ist der Port geschlossen (kein Dienst). Wenn keine Antwort eintritt (Timeout), kann der Port durch eine Firewall oder NAT gefiltert sein, oder der Host ist nicht erreichbar. Ein browserbasierter Port-Checker ist grundsätzlich eingeschränkt: Der Browser kann keine rohen TCP-SYN-Pakete senden, daher wird ein Workaround verwendet. Gängige Workarounds: 1) HTTP HEAD oder GET an den Port und Prüfung des Response-Codes (funktioniert für HTTP/HTTPS-Proxys auf ungewöhnlichen Ports, 80, 8080 usw.); 2) WebSocket-Upgrade an den Port und Prüfung des Handshake-Ergebnisses (funktioniert für die meisten Server, da WebSocket als HTTP startet und dann upgradet); 3) Bildladeanfragen (der Browser ruft ein 1x1-Bild von http://host:port/ ab und die Verbindung schlägt entweder fehl oder nicht); 4) No-Connect-Probes (der Browser versucht favicon, robots.txt oder einen bekannten Pfad abzurufen und schließt aus der Antwort). Die Seite verwendet den WebSocket-Ansatz als primären Probe: 1) ws://host:port/ oder wss://host:port/ konstruieren, 2) new WebSocket(url) aufrufen, 3) die Zeit bis entweder onopen (offen) oder onerror (geschlossen/gefiltert) messen. Der 1-3-Sekunden-Timeout unterscheidet offen (sofort) von geschlossen (schnelle Ablehnung) von gefiltert (Timeout). Die Seite zeigt alle drei Zustände mit der Latenz an. Port-Bereiche: 0-1023 sind Well-Known (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143 usw.), 1024-49151 sind registriert (oft von Anwendungen wie Datenbanken, benutzerdefinierte Dienste genutzt), 49152-65535 sind dynamisch/privat (vom Betriebssystem für ausgehende Verbindungen verwendet, oft Quellports). Port 0 ist reserviert (das Betriebssystem wählt einen ephemeren Port, wenn man an 0 bindet). Die Seite lässt den Benutzer einen einzelnen Port, eine Liste gängiger Ports oder einen benutzerdefinierten Bereich wählen. Ein Hinweis: Eine browserbasierte Prüfung sieht nur, was der Browser erreichen kann. Bei Probes hinter einem Firmenproxy oder NAT erhält man möglicherweise gefilterte Ergebnisse für Ports, die am Ziel tatsächlich offen sind. Die Seite ist bewusst kein Sicherheitsaudit-Tool; der Benutzer sollte nmap, masscan oder ZMap dafür verwenden, die auf einem Host mit Raw-Socket-Zugang laufen.
- TCP-Drei-Wege-Handshake: SYN, SYN-ACK, ACK = offen; RST = geschlossen; Timeout = gefiltert oder Host nicht erreichbar; dies ist die Standardinterpretation.
- Browser-Workarounds: HTTP HEAD/GET Probes (ungewöhnliche Ports), WebSocket-Upgrade (die meisten Server), Bildabrufe, favicon/robots.txt; die Seite verwendet WebSocket als primäre Methode.
- Port-Bereiche: 0-1023 Well-Known (HTTP 80, HTTPS 443, SSH 22), 1024-49151 registriert, 49152-65535 dynamisch; Port 0 ist reserviert.
- Timeout unterscheidet Zustände: sofort = offen, schnelle Ablehnung = geschlossen, keine Antwort = gefiltert; die Seite verwendet 1-3 Sekunden Timeout.
- Browser-Einschränkungen: Kann keine rohen SYN senden, daher kein vollständiger TCP-Scan (SYN-Scan, FIN-Scan, NULL-Scan, XMAS-Scan möglich); die Seite ist approximativ.
- Kein Sicherheitstool: Für Penetrationstests nmap, masscan oder ZMap auf einem Host mit Raw-Socket-Zugang verwenden; die Seite ist eine schnelle Prüfung, kein Sicherheitsaudit.
- Gängige Ports: HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.
Beispiele
Erreichbarkeit eines Webservers
Host: example.com
Ports: 80 (HTTP), 443 (HTTPS)
Ergebnis: beide offen, Webserver antwortet
Verwendung: prüfen, ob eine öffentliche Site aus dem Internet erreichbar ist; eine 200/301-Antwort bedeutet, dass der Stack funktioniertSSH-Zugriffstest
Host: server.example.com
Port: 22 (SSH)
Ergebnis: offen, SSH-Dienst akzeptiert Verbindungen
Verwendung: prüfen, ob der Bastion- oder Jump-Host vor der schlüsselbasierten Anmeldung erreichbar ist; auf der SSH-Client-Seite mit einer Anmeldedatenprüfung kombinierenExponierter Datenbank-Port
Host: db.example.com
Port: 3306 (MySQL)
Ergebnis: geschlossen, MySQL ist nicht nach außen exponiert
Verwendung: gute Sicherheitslage; Datenbanken sollten nur aus dem Anwendungsnetzwerk erreichbar sein, nicht aus dem öffentlichen InternetFAQ
Wie funktioniert die Port-Prüfung?
Browser können keine beliebigen TCP-Sockets zu entfernten Hosts öffnen, deshalb führt unser Backend die Prüfung durch. Wir versuchen eine TCP-Verbindung (oder einen HTTP-Probe für Anwendungs-Ports wie 80/443) und melden Erfolg, Fehler und Antwortzeit. Deine IP wird dem Ziel nicht angezeigt – nur die unseres Servers.
Was bedeuten 'open', 'closed' und 'filtered'?
Open: der Port akzeptiert Verbindungen. Closed: der Host antwortete mit TCP RST (Verbindung abgelehnt). Filtered: keine Antwort (eine Firewall hat das SYN verworfen). Nur 'open' bedeutet, dass ein Dienst erreichbar ist. Closed und filtered bedeuten beide nicht erreichbar, jedoch aus unterschiedlichen Gründen.
Kann ich Ports an meinem Heimrouter prüfen?
Ja – gib deine öffentliche IP und den Port an. Hilfreich, um zu bestätigen, dass ein gehosteter Game-Server, NAS oder selbst gehosteter Dienst tatsächlich aus dem Internet erreichbar ist. Hinweis: Privatkunden-ISPs blockieren oft eingehende Ports (25, 80, 443) unabhängig von deiner Firewall.
Funktioniert die Prüfung für UDP?
Bei den meisten Builds nur TCP. UDP ist verbindungslos; das Ausbleiben einer Antwort bedeutet nicht zwingend 'closed'. Für UDP-Dienstprüfungen brauchst du Probes auf Anwendungsebene (z. B. eine DNS-Abfrage auf Port 53/udp), wie sie nmap im Service-Detection-Modus durchführt.
Was ist mit lokalen LAN-Ports (192.168.x.x)?
Unser Backend kann dein privates LAN nicht erreichen. Verwende den Befehl `nc -zv host port` direkt auf einem Gerät in deinem Netzwerk oder lass einen Port-Scanner von einem anderen LAN-Gerät laufen.
Ist es legal, das auf jedem Host auszuführen?
Port-Scanning ist bei Hosts, die dir gehören, in der Regel legal. Das Scannen fremder Hosts kann je nach Rechtsraum gegen Computermissbrauchsgesetze, Nutzungsbedingungen und ISP-Richtlinien verstoßen. Nutze das nicht für opportunistisches Scannen beliebiger IPs.
Warum zeigt Port 22 / 3389 / 25 immer 'closed'?
Viele ISPs und Cloud-Anbieter blockieren beliebte Angriffs-Magnet-Ports standardmäßig. Auch Cloud-Sicherheitsgruppen (AWS, Azure, GCP) blockieren standardmäßig. Wenn du erwartest, dass ein Port offen ist, prüfe Firewall, NAT/Port-Forwarding und Sicherheitsgruppen-Regeln auf jedem Schritt der Strecke.