Störungsmeldung
Störungsaufnahme
Technische Hilfen
Erreichbarkeit eines Ports prüfen (vom Client aus):
LINUX:
tcp:
nc -vvv [dst-ip] [dst-port]
telnet [dst-ip] [dst-port]
traceroute --tcp --port=[dst-port] [dst-ip]
nmap -p [dst-port] [dst-ip]
udp:
nc -vvv -u [dst-ip] [dst-port]
traceroute --udp --port=[dst-port] [dst-ip]
nmap -sU -p [dst-port] [dst-ip]
url:
curl -s -o /dev/null -w "%{http_code}\\n" [url]
wget –quiet –spider -S "[url]" 2>&1 | awk 'NR==1 {print $2}'
WINDOWS:
tcp:
telnet [dst-ip] [dst-port]
Test-NetConnection -ComputerName [dst-ip] -Port [dst-port]
nmap.exe -p [dst-port] [dst-ip] # Benötigt Nmap Installation
udp:
nmap.exe -sU -p [dst-port] [dst-ip] # Benötigt Nmap Installation
# Via Powershell (UDP-Prüfung ist unzuverlässig ohne Antwort vom Dienst)
$udpClient = New-Object System.Net.Sockets.UdpClient
$udpClient.Connect("[dst-ip]", [dst-port])
$bytesToSend = [System.Text.Encoding]::ASCII.GetBytes("0")
$udpClient.Send($bytesToSend, $bytesToSend.Length) | Out-Null
$udpClient.Client.ReceiveTimeout = 2000 # 2 Sekunden Timeout
try {
$remoteEP = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Any, 0)
$receivedBytes = $udpClient.Receive([ref]$remoteEP)
Write-Output "UDP Port [dst-port]: Potenziell offen (Antwort empfangen)"
} catch [System.Net.Sockets.SocketException] {
if ($_.Exception.SocketErrorCode -eq 'TimedOut') {
Write-Output "UDP Port [dst-port]: Geschlossen oder keine Antwort (Timeout)"
} else { Write-Output "Error: $($_.Exception.Message)" }
} finally { $udpClient.Close() }
url:
Per Browser. Achtung: Ist ein Proxy konfiguriert?
Verfügbarkeit eines Ports prüfen (auf dem Server):
LINUX:
netstat -tulpen | grep LISTEN # Zeigt nur lauschende Ports
ss -tulpen | grep LISTEN # Moderne Alternative zu netstat
lsof -i :[dst-port] -sTCP:LISTEN # Prüft spezifischen TCP Port
lsof -i -P -n | grep LISTEN
fuser -n tcp [dst-port]/tcp # Prüft, ob Prozess TCP Port nutzt
fuser -n udp [dst-port]/udp # Prüft, ob Prozess UDP Port nutzt
WINDOWS:
netstat -ano | findstr "LISTENING" # Alle lauschenden Ports
netstat -ano | findstr ":[dst-port]" | findstr "LISTENING" # Spezifischer Port
Get-NetTCPConnection -LocalPort [dst-port] -State Listen # PowerShell (TCP)
Get-NetUDPEndpoint -LocalPort [dst-port] # PowerShell (UDP)
Routing:
LINUX:
ip route get [dst-ip] # Zeigt die Route für eine spezifische IP
ip route show # Zeigt die gesamte Routingtabelle
netstat -rn # Klassische Ansicht der Routingtabelle
# Traceroute Optionen
traceroute -n [dst-ip] # Standard ICMP Traceroute (numerische IPs)
traceroute -T -p [dst-port] -n [dst-ip] # TCP Traceroute zu spezifischem Port
traceroute -U -p [dst-port] -n [dst-ip] # UDP Traceroute zu spezifischem Port
mtr [dst-ip] # Kombiniert Ping und Traceroute (interaktiv)
WINDOWS:
route print # Zeigt die Routingtabelle
route print [dst-ip-pattern]* # Filtert die Routingtabelle
netstat -rn # Klassische Ansicht
tracert [dst-ip] # Standard ICMP Traceroute
pathping [dst-ip] # Ausführlicherer Traceroute mit Latenzmessung pro Hop
Packet-Capture:
LINUX (tcpdump):
# Einfaches Capture für IP und Port
tcpdump -nni any host [dst-ip] and port [dst-port]
# Capture auf spezifischem Interface
tcpdump -nni eth0 host [dst-ip] and port [dst-port]
# Nur TCP oder UDP
tcpdump -nni any host [dst-ip] and tcp port [dst-port]
# In Datei schreiben (-w) und später lesen (-r)
tcpdump -nni any host [dst-ip] -w capture.pcap
WINDOWS:
# Wireshark/TShark (empfohlen, separate Installation)
tshark -i [interface-name/nummer] -f "host [dst-ip] and port [dst-port]"
# Pktmon (Windows 10 1809+ / Server 2019+)
pktmon filter add TraceFilter -i [dst-ip] -p [dst-port] # Filter hinzufügen
pktmon start --etw -p 0 # Capture starten
# ... Traffic generieren ...
pktmon stop # Capture stoppen
pktmon format PktMon.etl -o capture.pcapng # Konvertieren zu PCAPNG (für Wireshark)
pktmon filter remove # Filter entfernen
# Netsh Trace (älter, komplexer)
netsh trace start capture=yes report=no persistent=no tracefile=C:\capture.etl Ethernet.Type=IPv4 IPv4.Address=[dst-ip] Protocol=TCP TCP.AnyPort=[dst-port]
# ... Traffic generieren ...
netsh trace stop
# Konvertieren mit etl2pcapng oder früher Microsoft Message Analyzer
Lokale Firewall prüfen:
LINUX:
# iptables (älteres System)
iptables -S # Alle Regeln anzeigen (Save-Format)
iptables -L -v -n # Alle Ketten in der Filter-Tabelle anzeigen
# nftables (neueres System)
nft list ruleset # Gesamten Regelsatz anzeigen
# firewalld (Abstraktionsebene)
firewall-cmd --list-all # Aktive Zonen und Regeln anzeigen
# ufw (vereinfachte Firewall)
ufw status verbose # Status und Regeln anzeigen
WINDOWS:
# PowerShell (empfohlen)
Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} | Format-Table Name, Direction, Action -AutoSize # Alle aktiven Regeln
Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -eq '[dst-port]'} | Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} # Regeln für spezifischen Port
# netsh (klassisch)
netsh advfirewall firewall show rule name=all dir=in # Eingehende Regeln
netsh advfirewall firewall show rule name=all dir=out # Ausgehende Regeln
DNS:
LINUX:
# Standard-Abfrage über konfigurierten Resolver
dig [dst-domainname]
host [dst-domainname]
# Abfrage spezifischer Record-Typen (A, AAAA, MX, TXT, etc.)
dig [dst-domainname] MX
# Abfrage bei einem spezifischen DNS-Server
dig @[dns-server-ip] [dst-domainname]
# Ausführliche Abfrage mit Trace
dig [dst-domainname] +trace
# Reverse DNS Lookup (IP zu Name)
dig -x [ip-address]
WINDOWS:
# Standard-Abfrage über konfigurierten Resolver
nslookup [dst-domainname]
Resolve-DnsName -Name [dst-domainname] # PowerShell
# Abfrage spezifischer Record-Typen
nslookup -query=MX [dst-domainname]
Resolve-DnsName -Name [dst-domainname] -Type MX # PowerShell
# Abfrage bei einem spezifischen DNS-Server
nslookup [dst-domainname] [dns-server-ip]
Resolve-DnsName -Name [dst-domainname] -Server [dns-server-ip] # PowerShell
# Reverse DNS Lookup
nslookup [ip-address]
Resolve-DnsName -Name [ip-address] -Type PTR # PowerShell
Cheat-Sheets:
# Fortinet FortiOS
https://docs.fortinet.com/document/fortigate/latest/cli-reference
# Check Point Gaia
https://sc1.checkpoint.com/documents/latest/CliReferenceGuides/Gaia/WebAdminGuide/content/EN/Topic_Syntax/Command_Line_Interface_Commands/A/A.htm
https://support.checkpoint.com/results/sk/sk30583
# tcpdump / Wireshark Filter
https://www.comparitech.com/net-admin/tcpdump-cheat-sheet/
https://wiki.wireshark.org/DisplayFilters
https://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf
Script-Time: mytcpdump
Endlich Übersicht bei der Traffic-Analyse
Michael Meister