BrowserTools
Werbung
Startseite / Netzwerk / TCP-Port-Prüfung (Ping)

TCP-Port-Prüfung (Ping)

Prüfe, ob ein TCP-Port auf einem öffentlichen Host offen ist, und miss die Verbindungslatenz.

TCP-Port-Prüfung (Ping) wird geladen… Wenn nichts passiert, aktiviere JavaScript.

Ping ist eines der grundlegendsten Netzwerkdiagnose-Werkzeuge und wird verwendet, um festzustellen, ob ein entfernter Host erreichbar ist, und um die Umlaufzeit einer Netzwerkverbindung zu messen. Der klassische Befehl 'ping' nutzt die Echo-Request- und Echo-Reply-Nachrichten von ICMP (Internet Control Message Protocol), die auf der IP-Schicht unterhalb von TCP und UDP übertragen werden. Netzwerktechniker verlassen sich täglich darauf, um zu bestätigen, dass Router, Server und Geräte online sind, um Latenz-Basiswerte zu messen und um Paketverluste zu erkennen, die auf eine überlastete oder unzuverlässige Verbindung hinweisen. Die von Ping gemeldete Umlaufzeit (RTT) ist eine der wichtigsten Kennzahlen bei jeder Untersuchung der Netzwerkleistung.

Häufig gestellte Fragen

Welche Daten sendet dieses Werkzeug an eure Server?
Der Hostname (oder die IP-Adresse) und die Portnummer, die du eingibst, werden an unseren Server gesendet, der den TCP-Verbindungsversuch für dich durchführt. Wir protokollieren deine IP-Adresse nicht zusammen mit einzelnen Prüfanfragen und speichern keine Ziel-Hostnamen zu einem anderen Zweck als der Auslieferung der Antwort. Es werden keine personenbezogenen Daten aufbewahrt.
Warum verwendet dieses Werkzeug TCP statt ICMP wie ein echter Ping?
Der standardmäßige ICMP-Ping erfordert Zugriff auf Raw Sockets, was erhöhte Rechte (root oder Administrator) auf dem Betriebssystem benötigt. Shared-Hosting- und containerisierte Serverumgebungen gewähren diese Rechte nicht. Eine auf einer TCP-Verbindung basierende Prüfung liefert für die meisten Zwecke eine gleichwertige Antwort auf die Frage „ist es erreichbar?“ und erlaubt dir zusätzlich, die Verfügbarkeit dienstspezifischer Ports zu testen, was ICMP nicht kann.
Die Prüfung läuft in eine Zeitüberschreitung, obwohl der Server läuft, was bedeutet das?
Eine Zeitüberschreitung statt einer Antwort „Verbindung abgelehnt“ deutet fast immer darauf hin, dass eine Firewall oder eine Sicherheitsgruppe die Pakete stillschweigend verwirft, anstatt die Verbindung aktiv abzulehnen. Prüfe, ob eine Firewall-Regel den Port blockiert, ob die hostbasierte Firewall des Servers (iptables, ufw, Windows-Firewall) korrekt konfiguriert ist und ob die Sicherheitsgruppen oder Netzwerk-ACLs des Cloud-Anbieters eingehenden Datenverkehr auf diesem Port von externen IPs zulassen.
Was bedeuten die verschiedenen Ergebnisstatus?
Ein erfolgreiches Ergebnis mit einem Latenzwert bedeutet, dass der Port offen ist und den TCP-Handshake akzeptiert hat. „Verbindung abgelehnt“ bedeutet, dass der Host erreichbar ist, aber kein Dienst auf diesem Port lauscht. „Zeitüberschreitung“ bedeutet, dass Pakete stillschweigend verworfen werden, typischerweise durch eine Firewall. „Host nicht erreichbar“ oder „DNS-Auflösung fehlgeschlagen“ weist auf ein Routing- oder DNS-Problem vor der Portprüfung hin.
Gibt es Begrenzungen, wie viele Prüfungen ich ausführen kann?
Ja. Ratenbegrenzungen pro IP verhindern automatisierten Missbrauch und halten den Dienst für alle Nutzer verfügbar. Einzelne Stichproben und manuelle Fehlersuchsitzungen sind nie betroffen. Skriptbasierte oder automatisierte Prüfungen mit hoher Frequenz werden gedrosselt. Für eine kontinuierliche Verfügbarkeitsüberwachung ist ein spezialisierter Überwachungsdienst wie UptimeRobot oder Better Uptime besser geeignet.
Wie unterscheidet sich das vom Ausführen von 'ping' oder 'nc' in einem Terminal?
Der Befehl 'ping' auf der Kommandozeile sendet ICMP und ist nicht portspezifisch. 'nc -zv hostname port' (netcat) führt denselben TCP-Verbindungstest wie dieses Werkzeug durch, jedoch von deinem lokalen Rechner aus. Dieses Werkzeug führt die Prüfung von unserem Server aus, was nützlich ist, wenn du wissen möchtest, ob ein Host aus dem öffentlichen Internet erreichbar ist und nicht nur aus deinem aktuellen Netzwerk. Ein Host kann aus deinem Büro erreichbar, aber durch einen Geofilter oder eine Firewall-Regel blockiert sein, die den externen Datenverkehr betrifft.
Kann ich private oder interne IP-Adressen prüfen?
Nein. Private Adressbereiche (10.x.x.x, 172.16.x.x–172.31.x.x, 192.168.x.x), Loopback (127.x.x.x), Link-Local-Adressen (169.254.x.x) und Cloud-Metadaten-Endpunkte (169.254.169.254) sind blockiert, um Missbrauch und SSRF-Angriffe (Server-Side Request Forgery) zu verhindern. Um interne Hosts zu testen, führe 'nc', 'telnet' oder 'Test-NetConnection' direkt innerhalb des Netzwerks aus, in dem sich diese Hosts befinden.
Protokolliert dieses Werkzeug die von mir geprüften Hosts für Analysen oder Werbung?
Nein. Ziel-Hostnamen und Ports werden ausschließlich verwendet, um die Konnektivitätsprüfung durchzuführen und Ergebnisse zurückzugeben. Wir erfassen Ziel-Hosts nicht in Verbindung mit deiner Identität, geben Prüfdaten nicht an Dritte weiter und nutzen sie nicht für werbliches Profiling. Aggregierte anonymisierte Kennzahlen (Gesamtzahl der Prüfungen pro Tag) können zur Kapazitätsplanung der Infrastruktur erfasst werden.
Welche Portnummern werden üblicherweise mit Standarddiensten in Verbindung gebracht?
Zu den bekannten Portzuweisungen gehören: 22 (SSH), 25 und 587 (SMTP), 53 (DNS), 80 (HTTP), 110 (POP3), 143 (IMAP), 443 (HTTPS), 3306 (MySQL), 5432 (PostgreSQL), 6379 (Redis), 8080 (HTTP alternativ) und 27017 (MongoDB). Diese Zuweisungen werden von der IANA verwaltet und im Service Name and Transport Protocol Port Number Registry veröffentlicht. Viele Dienste können so konfiguriert werden, dass sie aus Gründen der Sicherheit durch Verschleierung auf nicht standardmäßigen Ports lauschen.
Viele Firewalls blockieren ICMP, bedeutet das, dass Ping nutzlos ist?
ICMP-Ping wird tatsächlich von vielen Unternehmens-Firewalls und Cloud-Sicherheitsgruppen als standardmäßige Härtungsmaßnahme blockiert, was bedeutet, dass ein Host voll funktionsfähig sein und Web-Datenverkehr ausliefern kann, während er für einen herkömmlichen Ping „offline“ erscheint. Das ist einer der Gründe, warum TCP-Portprüfungen in der Praxis oft nützlicher sind: Eine erfolgreiche Verbindung zu Port 443 ist ein endgültiger Beweis dafür, dass der Dienst läuft und erreichbar ist, unabhängig von der ICMP-Richtlinie. Netzwerktechniker empfehlen im Allgemeinen, ICMP innerhalb interner Netzwerke uneingeschränkt zu lassen, es aber an den Perimeter-Firewalls zu blockieren.

Über TCP-Port-Prüfung (Ping)

Systemadministratoren nutzen Ping, um schnell zu überprüfen, ob ein Server nach einem Neustart wieder online ist, oder um zu bestätigen, dass eine Änderung einer Firewall-Regel die Verbindung nicht versehentlich blockiert hat. Entwickler testen die Erreichbarkeit und Latenz von API-Servern. Webhosting-Kunden prüfen, ob die IP ihres Servers nach einem gemeldeten Ausfall reagiert. Sicherheitsteams nutzen Erreichbarkeitsprüfungen auf Portebene, um zu überprüfen, dass Firewall-Regeln die richtigen Zulassungs- und Sperrrichtlinien durchsetzen, und bestätigen so beispielsweise, dass Port 22 (SSH) gegenüber dem Internet geschlossen ist, während Port 443 (HTTPS) offen ist. Sogar Spieler nutzen Latenzmessungen, um die Spielserver-Region mit der geringsten Latenz auszuwählen.

Da der standardmäßige ICMP-Ping erhöhte Betriebssystemrechte erfordert, die in Shared-Hosting-Umgebungen nicht verfügbar sind, führt dieses Werkzeug eine Verbindung über den TCP-Drei-Wege-Handshake zu dem von dir angegebenen Port durch, anstatt ICMP-Pakete zu senden. Das Ergebnis liefert dir dieselbe wesentliche Information, nimmt der Host Verbindungen an?, ist dabei aber auch betrieblich nützlicher für dienstspezifische Prüfungen: Du kannst Port 80 für HTTP, Port 443 für HTTPS, Port 25 für SMTP, Port 22 für SSH und so weiter testen. Der Hostname wird serverseitig über öffentliches DNS aufgelöst, und private IP-Bereiche (RFC 1918), Loopback und Cloud-Metadaten-Endpunkte sind blockiert, um Missbrauch zu verhindern. Die Latenz wird als die Zeit vom TCP-SYN bis zum Abschluss des Handshakes gemessen.

Beim Auswerten der Ergebnisse zeigt eine erfolgreiche Verbindung mit niedriger Latenz (unter 50 ms für nahegelegene Server) an, dass der Port offen ist und der Dienst antwortet. Ein Fehler 'Verbindung abgelehnt' bedeutet, dass der Host erreichbar ist, aber nichts auf diesem Port lauscht, was sich von einer Zeitüberschreitung (Timeout) unterscheidet; eine Zeitüberschreitung bedeutet meist, dass eine Firewall die Pakete stillschweigend verwirft, anstatt sie aktiv abzulehnen. Wenn du einen Dienstausfall behebst, teste sowohl den erwarteten Port als auch Port 443/80, um zwischen einem Dienstabsturz und einer Blockade auf Netzwerkebene zu unterscheiden. Eine durchgehend hohe Latenz (über 200 ms) sollte mit traceroute auf Routing-Anomalien untersucht werden.

Vom „U-Boot-Sonar“ zur Netzwerk-Fehlersuche in 40 Jahren

Der Befehl ping wurde im Dezember 1983 von Mike Muuss als Debugging-Werkzeug geschrieben, um ein seltsames Verhalten in einem Netzwerk zu untersuchen, das er verwaltete. Er benannte ihn nach dem Geräusch, das das Sonar eines U-Boots macht, wenn es einen Schallimpuls von einem Objekt zurückwirft; die Analogie ist, dass ein Netzwerk-Ping ein Signal sendet und auf ein Echo lauscht, um festzustellen, ob „da draußen“ etwas ist. Muuss schrieb die ursprüngliche Implementierung an einem einzigen Abend, und das Programm war so nützlich, dass es sich rasch über das ARPANET verbreitete und schließlich zu einem Standardwerkzeug auf jedem Betriebssystem wurde. Muuss starb im Jahr 2000 bei einem Autounfall, ohne das Werkzeug, das seine klangliche Metapher trägt, jemals als Marke eingetragen oder kommerziell vermarktet zu haben.

ICMP, das Protokoll, das der herkömmliche Ping verwendet, wurde im September 1981 von Jon Postel im RFC 792 definiert. Es arbeitet auf der IP-Schicht statt auf der Transportschicht (TCP/UDP) und ist damit der eingebaute Signalisierungs- und Fehlermeldemechanismus des Internets. ICMP wird für mehr als nur Ping verwendet: Es übermittelt auch die TTL-überschritten-Nachrichten von traceroute, die Signale zur Path-MTU-Erkennung und die „Ziel nicht erreichbar“-Antworten, die Anwendungen mitteilen, dass ihre Verbindungen fehlgeschlagen sind. Das TTL-Feld (Time to Live) in IP-Paketen wurde gezielt entworfen, um zu verhindern, dass Routing-Schleifen dazu führen, dass Pakete für immer zirkulieren; jeder Router verringert es um eins, und ICMP meldet, wenn es null erreicht.

Der Übergang vom ICMP-Ping zu TCP-basierten Erreichbarkeitsprüfungen spiegelt einen umfassenderen Wandel in der Netzwerkphilosophie über die Jahrzehnte wider. Das frühe Internetdesign ging von vertrauenswürdigen, kooperativen Teilnehmern aus und machte die Netzwerkinfrastruktur möglichst transparent. Moderne Netzwerke behandeln externe Sondierungen als mögliche Angriffsvektoren, was zu Firewalls führt, die ICMP standardmäßig blockieren, und zu Sicherheitsgruppen, die Datenverkehr nur auf bestimmten Anwendungsports zulassen. Deshalb messen Betriebsteams zunehmend die Erreichbarkeit auf Anwendungsebene, kann ich einen HTTPS-Handshake abschließen?, statt der reinen Netzwerk-Erreichbarkeit, denn ein Server, der auf Anwendungsanfragen antwortet, ist funktional in Betrieb, selbst wenn er alle ICMP-Sondierungen stillschweigend verwirft.

Werbung
Werbung
Werbung