Abfragen

Abfragen an externe Datenquellen — Registry-Einträge, geografische Datenbanken, TLS-Handshakes, globale DNS-Resolver. Nichts davon hinterlässt einen Fingerabdruck am Zielhost; das sind alles Side-Channel-Abfragen.

WHOIS

Fragt das WHOIS-Ökosystem zu einer Domain oder IP-Adresse ab und folgt der Verweiskette, damit Sie den autoritativen Eintrag erhalten, nicht nur die Antwort der obersten Ebene.

• Eingabe — Domain (example.com, dr-online.pl) oder IP (8.8.8.8, 2001:4860::).
• Kette — bis zu 5 Verweise. Jede Antwort erscheint unter einer Überschrift Server N/M, damit Sie sehen, welche Registry welches Feld beigesteuert hat.
• Geparste Ansicht — Schlüssel/Wert-Paare logisch gruppiert (Registrar, Registrant, technischer Kontakt, Nameserver, Daten).
• Rohansicht — umschalten, um den vollen Text zu sehen, den der Server zurückgegeben hat, exakt so wie gesendet.

Viele Registries schwärzen Registrant-Kontaktfelder unter der DSGVO. Erwarten Sie REDACTED FOR PRIVACY bei vielen ccTLDs und bei .com/.net-Domains.

Tipps

• Domain — die Kette trifft normalerweise die Registry (IANA → TLD-Registry → Registrar) und hört dann auf.
• IP-Adresse — Sie landen bei einer RIR (RIPE, ARIN, APNIC, LACNIC, AFRINIC). Die inetnum / NetRange sagt Ihnen den echten Netzblock.
• Aktualität — WHOIS-Daten sind so alt wie das letzte Registry-Update. Erstellungs-/Ablaufdaten sind üblicherweise autoritativ; Kontaktdaten können hinterherhinken.

GeoIP

Verwandelt eine IP in eine physische Lage und Netzwerkidentität. Nutzt die DR-ONLINE-Geo-API; funktioniert für IPv4 und IPv6.

• Adresse — Land, Ländercode, Region/Bundesland, Stadt, Postleitzahl, Zeitzone.
• Netzwerk — ISP / Organisation, AS-Nummer, ASN-Name.
• Koordinaten — Breite und Länge, eingezeichnet auf einer interaktiven Karte (Pin-Marker, Zoom, Rotation).

Die Genauigkeit variiert. Cloud-Provider-IPs, VPN-Exit-Knoten und Mobilfunkanbieter lösen oft auf den Hauptsitz des Betreibers auf, nicht auf den Endnutzer. Städtescharfe Daten als Hinweis behandeln, nicht als Fakt.

Typische Anwendungen

• Triage — eine missbräuchliche IP in Ihren Logs. Land + ISP sagt Ihnen, ob blockieren oder verhandeln.
• Mentales Latenzmodell — wenn Ihr Traceroute in Frankfurt, DE aufhört und das Ziel in Sydney, AU liegt, dann ist der übrige RTT-Budgetrest ein Ozean.
• CDN-Debugging — welcher Edge-Knoten antwortet? Mit DNS-Propagation abgleichen.

SSL / TLS-Zertifikat

Verbindet sich mit einem Host auf einem TCP-Port, schließt den TLS-Handshake ab und legt die Zertifikatskette offen, die der Server präsentiert hat. Read-only — nach dem Handshake werden keine Bytes geschrieben.

• Host — Hostname oder IP.
• Port — Standard 443. Nutzen Sie 465 für SMTPS, 636 für LDAPS, 993 für IMAPS, 5671 für AMQPS usw.
• Kette — jedes Zertifikat, das der Server gesendet hat, vom Blatt aufwärts. Jeder Eintrag zeigt:
  • Subject (CN und vollständiger DN).
  • Issuer (wer es signiert hat).
  • Gültigkeit (Not Before, Not After) — mit deutlicher Ablaufwarnung, wenn nahe oder überschritten.
  • Seriennummer.
  • Signaturalgorithmus (z. B. sha256WithRSAEncryption, ecdsa-with-SHA384).
  • Öffentlicher Schlüssel — Algorithmus und Bitlänge.
  • Fingerabdrücke — SHA-1 und SHA-256.
  • Subject Alternative Names (SAN) — jeder DNS-Name / jede IP, für die das Zertifikat gültig ist.
  • Key usage, extended key usage (server auth, client auth, code signing…).
  • HPKP-Pins (wenn gesetzt), OCSP-Responder-URL, CRL-Verteilungspunkte.

Das Gesamtergebnis ist farbig: TRUSTED (grün), wenn die Kette gegen den System-Trust-Store validiert, NOT TRUSTED (gelb), wenn sie vollständig ist, aber nicht zu einer bekannten Root führt, FAILED (rot), wenn der Handshake nicht zustande kam.

Self-signed- und interne-CA-Zertifikate werden als NOT TRUSTED angezeigt. Das ist kein Bug — es heißt, dass Ihr lokales System die CA nicht in seinem Trust-Store hat. Installieren Sie sie separat, wenn Sie Grün haben wollen.

DNS-Propagation

Fragt dieselbe Domain gegen ~45 öffentliche Resolver weltweit ab und vergleicht die Antworten. Wenn Sie gerade einen A-Record geändert haben, sagt das Ihnen, wie weit das Update gereist ist.

• Domain — der aufzulösende Name (nur A-Record).
• Ergebnis pro Server — Anbietername, IP des Resolvers, Flagge, aufgelöste Adresse. Ein Spinner während der Verarbeitung, ein rotes Kreuz bei Timeout/Fehler.
• Karte — jeder Antwortende wird nach ungefährem Standort eingezeichnet; übereinstimmende Antworten gruppieren sich farbkodiert.
• Resolver — Google, Cloudflare, Quad9, OpenDNS, Yandex, 114DNS, Comodo, AdGuard, CleanBrowsing, Neustar, Verisign, DNS.WATCH, AliDNS, DNSPod, Baidu, 360 Secure, CNNIC, Hurricane, puntCAT, Censurfridns, UncensoredDNS, DNS.SB, Nawala, SafeDNS, CIRA Shield, Dyn, Alternate DNS — in USA, EU, APAC, Südamerika.

Das Werkzeug brecht jeden einzelnen Resolver nach 5 Sekunden ab — hängende Abfragen blockieren nicht den Rest.

Free-Stufe erlaubt einen vollen Durchlauf pro Installation; weitere Läufe erfordern PRO. Das schützt die öffentlichen Resolver davor, von der App zugehämmert zu werden.

Typische Anwendungen

• Nach einer DNS-Änderung — den TTL-gesteuerten Rollout über Kontinente hinweg verifizieren.
• Verschiedene Antworten für dieselbe Domain — ein rotes Signal: Split-Horizon, DNS-Hijacking, oder regionales GeoDNS funktioniert wie gewollt. TTLs prüfen.
• Timeouts aus einem Cluster — dieser Anbieter liegt flach, nicht Ihre Domain.