ToolActToolAct

Port-Prüftool

Prüfen Sie, ob bestimmte Ports auf einer IP-Adresse oder Domain geöffnet sind

Schnellauswahl:

Bis zu 20 Ports gleichzeitig prüfen

Geben Sie eine IP-Adresse und Port-Nummern ein, dann klicken Sie auf "Ports Prüfen"

Was ist ein Port-Prüfer?

Der Port-Checker prüft, ob ein bestimmter Netzwerkport eines Hosts erreichbar wirkt. Ports stehen für Dienste wie HTTP, HTTPS, SSH, SMTP, Datenbanken oder eigene Anwendungen; wenn ein Port nicht erreichbar ist, kann das an Serverstatus, Firewall, NAT, DNS, Routing, Cloud-Sicherheitsgruppen oder daran liegen, dass der Dienst nur lokal bindet. Das Werkzeug hilft bei Deployment-Kontrolle, Fehlersuche, Monitoring und der Frage, ob ein Dienst von außen sichtbar ist. Ein offener Port bedeutet jedoch nicht automatisch, dass die Anwendung gesund oder sicher ist, und ein geschlossener Port erklärt nicht die genaue Ursache. Für Sicherheitsbewertungen sind zusätzliche Protokoll-, Authentifizierungs- und Konfigurationsprüfungen nötig.

So verwenden Sie es

Anleitung

  1. Geben Sie die Zielserveradresse in das Feld IP/Domain ein
  2. Geben Sie die zu prüfenden Portnummern ein, getrennt durch Kommas
  3. Oder verwenden Sie die Schnellfüll-Schaltflächen für häufige Port-Voreinstellungen
  4. Klicken Sie auf „Ports prüfen" und warten Sie auf die Ergebnisse
  5. Prüfen Sie Status, Antwortzeit und mögliche Fehlermeldungen jedes Ports

Netzwerk-Deutung

  • Ein geschlossenes oder gefiltertes Ergebnis kann durch Firewalls, NAT, ISP-Sperren, Service-Binding oder eine falsche Hostadresse verursacht werden.
  • Prüfen Sie über denselben Netzwerkweg wie Ihre Nutzer – die Portsichtbarkeit kann intern und extern unterschiedlich sein.

Anwendungsfälle

Prüfen, ob häufige Dienste-Ports offen sindGeben Sie einen Host oder eine IP-Adresse und eine Port-Liste ein, dann wird ein TCP-Probe auf dem Backend ausgeführt, das offene oder geschlossene Ports, Antwortzeiten und Fehler meldet. Nur der Host und die eingegebenen Ports werden gesendet; die Seite selbst protokolliert, speichert oder teilt die Abfrage nicht mit anderen Diensten. Voreinstellungen decken Web-, SSH/Datenbank-, Mail- und häufige gemischte Dienste-Ports ab.
Eine kleine eigene Port-Liste sicher scannenDer Parser akzeptiert durch Kommas, Leerzeichen oder chinesische Kommas getrennte Werte, behält nur gültige Ports von 1 bis 65535, entfernt Duplikate und begrenzt jede Anfrage auf 20 Ports. So bleiben Ad-hoc-Prüfungen fokussiert, statt die Seite in einen breiten Scanner zu verwandeln. Nutzen Sie die Timing-Spalte, um schnelle RST-Antworten (geschlossen) von mehrsekündigen Timeouts (gefiltert) zu unterscheiden.
Ergebnisse für die Operations-Übergabe kopierenNach einer Prüfung werden offene und geschlossene Zähler über einer Tabelle angezeigt, die als tab-getrennter Text kopiert werden kann. Das ist nützlich für Firewall-Verifikation, Deployment-Fehlerbehebung, Support-Notizen und die Bestätigung, ob ein neu exponierter Dienst erreichbar ist. Vergleichen Sie das Ergebnis mit DNS-Einträgen, Hosting-Dashboards und Firewall-Regeln, bevor Sie einen Incident schließen.
Cloud-Sicherheitsgruppen- oder Firewall-Änderungen bestätigenNach der Aktualisierung einer AWS-Sicherheitsgruppe, Azure-NSG oder iptables-Regel führen Sie dieselbe Port-Liste von außerhalb des VPC aus, um zu bestätigen, dass die Regel den Pfad tatsächlich geöffnet hat. Ein offener Status auf dieser Seite bestätigt nur die TCP-Erreichbarkeit, nicht die Anwendungsgesundheit, Authentifizierung oder ob der Listener der gewünschte Dienst und kein Standard-Platzhalter ist.
Gefilterte Ports von wirklich geschlossenen unterscheidenEin gefiltertes Ergebnis bedeutet oft, dass eine Firewall SYN-Pakete still verwirft, anstatt mit RST zu antworten — der Host könnte den Dienst also noch ausführen. Nutzen Sie die Timing-Spalte, um Antwortverzögerungen mit bekannten offenen Ports auf demselben Host zu vergleichen; ein langsamer Timeout auf Port 5432 neben einem schnellen RST auf Port 3306 ist ein starkes Signal für ‚gefiltert'.

Technisches Prinzip

Die Port-Prüfung versucht, TCP-Verbindungen zu bestimmten Ports auf einem Zielhost herzustellen. Ein erfolgreicher TCP-Drei-Wege-Handshake (SYN, SYN-ACK, ACK) zeigt an, dass der Port offen ist und ein Dienst lauscht. Wenn die Verbindung abgelehnt wird (RST, Reset), ist der Port geschlossen (kein Dienst). Wenn keine Antwort eintritt (Timeout), kann der Port durch eine Firewall oder NAT gefiltert sein, oder der Host ist nicht erreichbar. Ein browserbasierter Port-Checker ist grundsätzlich eingeschränkt: Der Browser kann keine rohen TCP-SYN-Pakete senden, daher wird ein Workaround verwendet. Gängige Workarounds: 1) HTTP HEAD oder GET an den Port und Prüfung des Response-Codes (funktioniert für HTTP/HTTPS-Proxys auf ungewöhnlichen Ports, 80, 8080 usw.); 2) WebSocket-Upgrade an den Port und Prüfung des Handshake-Ergebnisses (funktioniert für die meisten Server, da WebSocket als HTTP startet und dann upgradet); 3) Bildladeanfragen (der Browser ruft ein 1x1-Bild von http://host:port/ ab und die Verbindung schlägt entweder fehl oder nicht); 4) No-Connect-Probes (der Browser versucht favicon, robots.txt oder einen bekannten Pfad abzurufen und schließt aus der Antwort). Die Seite verwendet den WebSocket-Ansatz als primären Probe: 1) ws://host:port/ oder wss://host:port/ konstruieren, 2) new WebSocket(url) aufrufen, 3) die Zeit bis entweder onopen (offen) oder onerror (geschlossen/gefiltert) messen. Der 1-3-Sekunden-Timeout unterscheidet offen (sofort) von geschlossen (schnelle Ablehnung) von gefiltert (Timeout). Die Seite zeigt alle drei Zustände mit der Latenz an. Port-Bereiche: 0-1023 sind Well-Known (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143 usw.), 1024-49151 sind registriert (oft von Anwendungen wie Datenbanken, benutzerdefinierte Dienste genutzt), 49152-65535 sind dynamisch/privat (vom Betriebssystem für ausgehende Verbindungen verwendet, oft Quellports). Port 0 ist reserviert (das Betriebssystem wählt einen ephemeren Port, wenn man an 0 bindet). Die Seite lässt den Benutzer einen einzelnen Port, eine Liste gängiger Ports oder einen benutzerdefinierten Bereich wählen. Ein Hinweis: Eine browserbasierte Prüfung sieht nur, was der Browser erreichen kann. Bei Probes hinter einem Firmenproxy oder NAT erhält man möglicherweise gefilterte Ergebnisse für Ports, die am Ziel tatsächlich offen sind. Die Seite ist bewusst kein Sicherheitsaudit-Tool; der Benutzer sollte nmap, masscan oder ZMap dafür verwenden, die auf einem Host mit Raw-Socket-Zugang laufen.

  • TCP-Drei-Wege-Handshake: SYN, SYN-ACK, ACK = offen; RST = geschlossen; Timeout = gefiltert oder Host nicht erreichbar; dies ist die Standardinterpretation.
  • Browser-Workarounds: HTTP HEAD/GET Probes (ungewöhnliche Ports), WebSocket-Upgrade (die meisten Server), Bildabrufe, favicon/robots.txt; die Seite verwendet WebSocket als primäre Methode.
  • Port-Bereiche: 0-1023 Well-Known (HTTP 80, HTTPS 443, SSH 22), 1024-49151 registriert, 49152-65535 dynamisch; Port 0 ist reserviert.
  • Timeout unterscheidet Zustände: sofort = offen, schnelle Ablehnung = geschlossen, keine Antwort = gefiltert; die Seite verwendet 1-3 Sekunden Timeout.
  • Browser-Einschränkungen: Kann keine rohen SYN senden, daher kein vollständiger TCP-Scan (SYN-Scan, FIN-Scan, NULL-Scan, XMAS-Scan möglich); die Seite ist approximativ.
  • Kein Sicherheitstool: Für Penetrationstests nmap, masscan oder ZMap auf einem Host mit Raw-Socket-Zugang verwenden; die Seite ist eine schnelle Prüfung, kein Sicherheitsaudit.
  • Gängige Ports: HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.

Beispiele

Erreichbarkeit eines Webservers

Host:     example.com
Ports:    80 (HTTP), 443 (HTTPS)
Ergebnis: beide offen, Webserver antwortet
Verwendung: prüfen, ob eine öffentliche Site aus dem Internet erreichbar ist; eine 200/301-Antwort bedeutet, dass der Stack funktioniert

SSH-Zugriffstest

Host:     server.example.com
Port:     22 (SSH)
Ergebnis: offen, SSH-Dienst akzeptiert Verbindungen
Verwendung: prüfen, ob der Bastion- oder Jump-Host vor der schlüsselbasierten Anmeldung erreichbar ist; auf der SSH-Client-Seite mit einer Anmeldedatenprüfung kombinieren

Exponierter Datenbank-Port

Host:     db.example.com
Port:     3306 (MySQL)
Ergebnis: geschlossen, MySQL ist nicht nach außen exponiert
Verwendung: gute Sicherheitslage; Datenbanken sollten nur aus dem Anwendungsnetzwerk erreichbar sein, nicht aus dem öffentlichen Internet

FAQ

Wie funktioniert die Port-Prüfung?

Browser können keine beliebigen TCP-Sockets zu entfernten Hosts öffnen, deshalb führt unser Backend die Prüfung durch. Wir versuchen eine TCP-Verbindung (oder einen HTTP-Probe für Anwendungs-Ports wie 80/443) und melden Erfolg, Fehler und Antwortzeit. Deine IP wird dem Ziel nicht angezeigt – nur die unseres Servers.

Was bedeuten 'open', 'closed' und 'filtered'?

Open: der Port akzeptiert Verbindungen. Closed: der Host antwortete mit TCP RST (Verbindung abgelehnt). Filtered: keine Antwort (eine Firewall hat das SYN verworfen). Nur 'open' bedeutet, dass ein Dienst erreichbar ist. Closed und filtered bedeuten beide nicht erreichbar, jedoch aus unterschiedlichen Gründen.

Kann ich Ports an meinem Heimrouter prüfen?

Ja – gib deine öffentliche IP und den Port an. Hilfreich, um zu bestätigen, dass ein gehosteter Game-Server, NAS oder selbst gehosteter Dienst tatsächlich aus dem Internet erreichbar ist. Hinweis: Privatkunden-ISPs blockieren oft eingehende Ports (25, 80, 443) unabhängig von deiner Firewall.

Funktioniert die Prüfung für UDP?

Bei den meisten Builds nur TCP. UDP ist verbindungslos; das Ausbleiben einer Antwort bedeutet nicht zwingend 'closed'. Für UDP-Dienstprüfungen brauchst du Probes auf Anwendungsebene (z. B. eine DNS-Abfrage auf Port 53/udp), wie sie nmap im Service-Detection-Modus durchführt.

Was ist mit lokalen LAN-Ports (192.168.x.x)?

Unser Backend kann dein privates LAN nicht erreichen. Verwende den Befehl `nc -zv host port` direkt auf einem Gerät in deinem Netzwerk oder lass einen Port-Scanner von einem anderen LAN-Gerät laufen.

Ist es legal, das auf jedem Host auszuführen?

Port-Scanning ist bei Hosts, die dir gehören, in der Regel legal. Das Scannen fremder Hosts kann je nach Rechtsraum gegen Computermissbrauchsgesetze, Nutzungsbedingungen und ISP-Richtlinien verstoßen. Nutze das nicht für opportunistisches Scannen beliebiger IPs.

Warum zeigt Port 22 / 3389 / 25 immer 'closed'?

Viele ISPs und Cloud-Anbieter blockieren beliebte Angriffs-Magnet-Ports standardmäßig. Auch Cloud-Sicherheitsgruppen (AWS, Azure, GCP) blockieren standardmäßig. Wenn du erwartest, dass ein Port offen ist, prüfe Firewall, NAT/Port-Forwarding und Sicherheitsgruppen-Regeln auf jedem Schritt der Strecke.