Störungsmeldung

Störungsaufnahme

Kontakt

Datum / Uhrzeit des Problems:

Priorität:

Abteilung:

Name:

Email-Adresse:

Telefonnummer:

Auftragsnummer (wenn möglich):

Fehlerbeschreibung

Fehlerbeschreibung:

Hat es schon einmal funktioniert?

Seit wann besteht das Problem?

Hat sich das Problem wiederholt?

Wurden Wartungsarbeiten oder Konfigurationsänderungen durchgeführt, welche im Kontext stehen?

Technische Details

Source-IP:

Destination-IP:

Destination-Port:

Ist der Service auf dem Server gestartet?
Hört der Server auf dem o.g. Port?
(Hilfen siehe unten)

Hindert eine lokale Firewall den Traffic?
(Hilfen siehe unten)

Welche Website kann nicht aufgerufen werden? (falls zutreffend)

Können andere Webseiten aufgerufen werden? (falls zutreffend)

Sind Hin- und Rückrouten korrekt?
(Hilfen siehe unten)

Sind die Next-Hops anpingbar?

Welchen Weg nehmen die Pakete?
(Hilfen siehe unten)

Welche Pakete verlassen den Client?
Was kommt am Server an?
Mit welchen Paketen antwortet der Server?
(Hilfen siehe unten)

Stimmt die DNS-Konfiguration auf der Source? (falls zutreffend)
(Hilfen siehe unten)

Zusatzinformationen durch das NOC

Wurde der Auftrag, wie vom Kunden gewünscht, vollständig und ordnungsgemäß umgesetzt?

Wurden abhängige Aufträge vollständig und ordnungsgemäß umgesetzt?

Ist der Traffic in den Logs oder im SIEM zu sehen?

Wird der Traffic geblockt oder akzeptiert?

Über welche Firewall soll der Traffic laufen?

Sollte der Traffic über einen Proxy laufen?

Fallen die Pakete Spoofing zum Opfer?

Was sieht man im tcpdump auf den Firewalls?

Technische Hilfen

Erreichbarkeit eines Ports prüfen (vom Client aus):


LINUX:
    tcp:
        nc -vvv [dst-ip] [dst-port]
        telnet [dst-ip] [dst-port]
        traceroute --tcp --port=[dst-port] [dst-ip]
        nmap -p [dst-port] [dst-ip]

    udp:
        nc -vvv -u [dst-ip] [dst-port]
        traceroute --udp --port=[dst-port] [dst-ip]
        nmap -sU -p [dst-port] [dst-ip]

    url:
        curl -s -o /dev/null -w "%{http_code}\\n" [url]
        wget –quiet –spider -S "[url]" 2>&1 | awk 'NR==1 {print $2}'

WINDOWS:
    tcp:
        telnet [dst-ip] [dst-port]
        Test-NetConnection -ComputerName [dst-ip] -Port [dst-port]
        nmap.exe -p [dst-port] [dst-ip] # Benötigt Nmap Installation

    udp:
        nmap.exe -sU -p [dst-port] [dst-ip] # Benötigt Nmap Installation

        # Via Powershell (UDP-Prüfung ist unzuverlässig ohne Antwort vom Dienst)
        $udpClient = New-Object System.Net.Sockets.UdpClient
        $udpClient.Connect("[dst-ip]", [dst-port])
        $bytesToSend = [System.Text.Encoding]::ASCII.GetBytes("0")
        $udpClient.Send($bytesToSend, $bytesToSend.Length) | Out-Null
        $udpClient.Client.ReceiveTimeout = 2000 # 2 Sekunden Timeout
        try {
            $remoteEP = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Any, 0)
            $receivedBytes = $udpClient.Receive([ref]$remoteEP)
            Write-Output "UDP Port [dst-port]: Potenziell offen (Antwort empfangen)"
        } catch [System.Net.Sockets.SocketException] {
            if ($_.Exception.SocketErrorCode -eq 'TimedOut') {
                Write-Output "UDP Port [dst-port]: Geschlossen oder keine Antwort (Timeout)"
            } else { Write-Output "Error: $($_.Exception.Message)" }
        } finally { $udpClient.Close() }

    url:
        Per Browser. Achtung: Ist ein Proxy konfiguriert?

Verfügbarkeit eines Ports prüfen (auf dem Server):


LINUX:
    netstat -tulpen | grep LISTEN # Zeigt nur lauschende Ports
    ss -tulpen | grep LISTEN     # Moderne Alternative zu netstat
    lsof -i :[dst-port] -sTCP:LISTEN # Prüft spezifischen TCP Port
    lsof -i -P -n | grep LISTEN
    fuser -n tcp [dst-port]/tcp # Prüft, ob Prozess TCP Port nutzt
    fuser -n udp [dst-port]/udp # Prüft, ob Prozess UDP Port nutzt

WINDOWS:
    netstat -ano | findstr "LISTENING" # Alle lauschenden Ports
    netstat -ano | findstr ":[dst-port]" | findstr "LISTENING" # Spezifischer Port
    Get-NetTCPConnection -LocalPort [dst-port] -State Listen # PowerShell (TCP)
    Get-NetUDPEndpoint -LocalPort [dst-port] # PowerShell (UDP)

Routing:


LINUX:
    ip route get [dst-ip]             # Zeigt die Route für eine spezifische IP
    ip route show                     # Zeigt die gesamte Routingtabelle
    netstat -rn                       # Klassische Ansicht der Routingtabelle

    # Traceroute Optionen
    traceroute -n [dst-ip]            # Standard ICMP Traceroute (numerische IPs)
    traceroute -T -p [dst-port] -n [dst-ip] # TCP Traceroute zu spezifischem Port
    traceroute -U -p [dst-port] -n [dst-ip] # UDP Traceroute zu spezifischem Port
    mtr [dst-ip]                      # Kombiniert Ping und Traceroute (interaktiv)

WINDOWS:
    route print                       # Zeigt die Routingtabelle
    route print [dst-ip-pattern]*     # Filtert die Routingtabelle
    netstat -rn                       # Klassische Ansicht

    tracert [dst-ip]                  # Standard ICMP Traceroute
    pathping [dst-ip]                 # Ausführlicherer Traceroute mit Latenzmessung pro Hop

Packet-Capture:


LINUX (tcpdump):
    # Einfaches Capture für IP und Port
    tcpdump -nni any host [dst-ip] and port [dst-port]
    # Capture auf spezifischem Interface
    tcpdump -nni eth0 host [dst-ip] and port [dst-port]
    # Nur TCP oder UDP
    tcpdump -nni any host [dst-ip] and tcp port [dst-port]
    # In Datei schreiben (-w) und später lesen (-r)
    tcpdump -nni any host [dst-ip] -w capture.pcap

WINDOWS:
    # Wireshark/TShark (empfohlen, separate Installation)
    tshark -i [interface-name/nummer] -f "host [dst-ip] and port [dst-port]"

    # Pktmon (Windows 10 1809+ / Server 2019+)
    pktmon filter add TraceFilter -i [dst-ip] -p [dst-port] # Filter hinzufügen
    pktmon start --etw -p 0       # Capture starten
    # ... Traffic generieren ...
    pktmon stop                   # Capture stoppen
    pktmon format PktMon.etl -o capture.pcapng # Konvertieren zu PCAPNG (für Wireshark)
    pktmon filter remove          # Filter entfernen

    # Netsh Trace (älter, komplexer)
    netsh trace start capture=yes report=no persistent=no tracefile=C:\capture.etl Ethernet.Type=IPv4 IPv4.Address=[dst-ip] Protocol=TCP TCP.AnyPort=[dst-port]
    # ... Traffic generieren ...
    netsh trace stop
    # Konvertieren mit etl2pcapng oder früher Microsoft Message Analyzer

Lokale Firewall prüfen:


LINUX:
    # iptables (älteres System)
    iptables -S                     # Alle Regeln anzeigen (Save-Format)
    iptables -L -v -n               # Alle Ketten in der Filter-Tabelle anzeigen
    # nftables (neueres System)
    nft list ruleset                # Gesamten Regelsatz anzeigen
    # firewalld (Abstraktionsebene)
    firewall-cmd --list-all         # Aktive Zonen und Regeln anzeigen
    # ufw (vereinfachte Firewall)
    ufw status verbose              # Status und Regeln anzeigen

WINDOWS:
    # PowerShell (empfohlen)
    Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} | Format-Table Name, Direction, Action -AutoSize # Alle aktiven Regeln
    Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -eq '[dst-port]'} | Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} # Regeln für spezifischen Port
    # netsh (klassisch)
    netsh advfirewall firewall show rule name=all dir=in # Eingehende Regeln
    netsh advfirewall firewall show rule name=all dir=out # Ausgehende Regeln

DNS:


LINUX:
    # Standard-Abfrage über konfigurierten Resolver
    dig [dst-domainname]
    host [dst-domainname]
    # Abfrage spezifischer Record-Typen (A, AAAA, MX, TXT, etc.)
    dig [dst-domainname] MX
    # Abfrage bei einem spezifischen DNS-Server
    dig @[dns-server-ip] [dst-domainname]
    # Ausführliche Abfrage mit Trace
    dig [dst-domainname] +trace
    # Reverse DNS Lookup (IP zu Name)
    dig -x [ip-address]

WINDOWS:
    # Standard-Abfrage über konfigurierten Resolver
    nslookup [dst-domainname]
    Resolve-DnsName -Name [dst-domainname] # PowerShell
    # Abfrage spezifischer Record-Typen
    nslookup -query=MX [dst-domainname]
    Resolve-DnsName -Name [dst-domainname] -Type MX # PowerShell
    # Abfrage bei einem spezifischen DNS-Server
    nslookup [dst-domainname] [dns-server-ip]
    Resolve-DnsName -Name [dst-domainname] -Server [dns-server-ip] # PowerShell
    # Reverse DNS Lookup
    nslookup [ip-address]
    Resolve-DnsName -Name [ip-address] -Type PTR # PowerShell

Cheat-Sheets:


# Fortinet FortiOS
  https://docs.fortinet.com/document/fortigate/latest/cli-reference

# Check Point Gaia
  https://sc1.checkpoint.com/documents/latest/CliReferenceGuides/Gaia/WebAdminGuide/content/EN/Topic_Syntax/Command_Line_Interface_Commands/A/A.htm
  https://support.checkpoint.com/results/sk/sk30583

# tcpdump / Wireshark Filter
  https://www.comparitech.com/net-admin/tcpdump-cheat-sheet/
  https://wiki.wireshark.org/DisplayFilters
  https://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf