IP-Adresssuche (Standort + Netzwerkinfos)

Jede IP-Adresse im öffentlichen Internet ist bei einer Organisation registriert, einer Region zugeordnet und über ein bestimmtes Netzwerk geroutet. Dieses WhatIP-Tool macht all das in einer einzigen Abfrage sichtbar. Fügen Sie eine beliebige IPv4- oder IPv6-Adresse ein, und Sie erhalten Land, Region, Stadt, Breiten- und Längengrad, den Provider oder Hoster, der die Adresse betreibt, die Nummer des autonomen Systems und die Zeitzone des Standorts. Das Ergebnis entspricht den Daten, die Sicherheitsteams nutzen, wenn sie verdächtigen Datenverkehr, einen Kommentar-Spammer oder eine Anmeldung von einem unerwarteten Ort untersuchen. Man greift zur IP-Suche, um zu ermitteln, wo ein Server liegt, um zu prüfen, ob eine Adresse einem Hoster statt einer Heimverbindung gehört, oder um die Herkunft eines E-Mail-Headers zu bestätigen. Beachten Sie, dass die Genauigkeit der Geolokalisierung je nach Region und Anbieter stark schwankt und dass Mobil- und VPN-Adressen oft das Ausgangs-Gateway des Anbieters zeigen statt des echten Standorts, behandeln Sie die Stadt also als Hinweis, nicht als Fakt.

So verwenden Sie dieses Tool

1. Geben Sie eine einzelne IP-Adresse in das Suchfeld ein oder fügen Sie sie ein. Sowohl IPv4 (zum Beispiel 8.8.8.8) als auch IPv6 (zum Beispiel 2001:4860:4860::8888) werden akzeptiert.
2. Klicken Sie auf Suchen. WhatIP fragt aus Ihrem Browser einen öffentlichen Geolokalisierungsdienst ab und füllt das Ergebnisfeld in einem Augenblick.
3. Lesen Sie zuerst den Standortblock: Land, Region und Stadt zeigen die grobe Geografie, der die Adresse zugeordnet ist.
4. Prüfen Sie den Netzwerkblock: Der Name des Providers oder Hosters verrät, wer die Adresse betreibt, und die ASN benennt das Netzwerk, über das sie geroutet wird.
5. Nutzen Sie Zeitzone und Koordinaten, wenn Sie ein Ereignisprotokoll mit einer wahrscheinlichen Ortszeit abgleichen oder die ungefähre Position auf einer Karte einzeichnen.
6. Vergleichen Sie mit Ihren Erwartungen. Behauptet eine Anmeldung, aus Ihrem Land zu kommen, zeigt die Suche aber ein Rechenzentrum auf einem anderen Kontinent, ist diese Diskrepanz Ihr Signal.
7. Achten Sie darauf, ob der Eigentümer ein privater Provider oder ein Hoster ist. Echte Besucher kommen meist von Verbraucher-Providern, automatischer Datenverkehr oft von Cloud-Anbietern.
8. Wiederholen Sie dies für jede zu untersuchende Adresse. Nichts, was Sie eingeben, wird bei uns gespeichert.

Ein Beispiel aus der Praxis

Tom betreut das Kontaktformular einer kleinen Steuerkanzlei. Eines Morgens füllt sich der Posteingang mit zwanzig nahezu identischen Spam-Nachrichten, die sich jeweils als Bewerbung ausgeben. Das Mailsystem der Kanzlei protokolliert die Absender-IP in den Nachrichten-Headern, also kopiert Tom eine davon, 192.0.2.155, und fügt sie in die WhatIP-IP-Suche ein.

Das Ergebnis ist sofort nützlich. Die Adresse wird einer Stadt fernab aller Mandanten der Kanzlei zugeordnet, und der Netzwerkblock nennt einen günstigen Cloud-Hoster statt eines Privatanbieters. Die ASN bestätigt es: Das ist ein virtueller Server, kein Mensch, der zu Hause ein Formular ausfüllt. Tom prüft zwei weitere Absenderadressen aus dem Spam-Schwung und stellt fest, dass sie alle demselben Hoster gehören, nur in anderen Städten. Dieses Muster, mehrere Wegwerf-Server von einem Anbieter, ist der Fingerabdruck einer automatisierten Kampagne, nicht eines einzelnen neugierigen Besuchers.

Bevor er etwas sperrt, ist Tom vorsichtig. Er holt eine echte Anfrage der Vorwoche heraus und schlägt auch diese Adresse nach. Sie führt zu einem bekannten Verbraucher-Provider in einer Nachbarstadt, genau dem Netz, das ein echter Mandant nutzen würde. Der Kontrast versichert ihm, dass seine Regel die Bots fängt, ohne echte Kunden auszusperren. Daraufhin trägt Tom die Adressbereiche des Hosters in die Sperrliste seines Formulars ein und aktiviert eine einfache Ratenbegrenzung. Innerhalb eines Tages hört der Spam auf.

Tipps und bewährte Vorgehensweisen

• Vergewissern Sie sich, dass Sie die richtige Adresse nachschlagen. E-Mail- und Proxy-Header können mehrere IPs listen; die der echten Herkunft am nächsten ist meist der letzte nicht vertrauenswürdige Hop.
• Behandeln Sie die Stadt als ungefähr. Stützen Sie Entscheidungen auf Land und Netzbetreiber, nicht auf die genauen Koordinaten.
• Eine Hosting- oder Rechenzentrums-ASN bei Datenverkehr, der von echten Nutzern kommen sollte, ist ein starkes Missbrauchssignal, das eine Untersuchung wert ist.
• Überspringen Sie private Bereiche wie 192.168.x.x oder 10.x.x.x; sie sind nicht routbar und liefern keine öffentlichen Daten.
• Prüfen Sie ein verdächtiges Ergebnis per Reverse-DNS- oder WHOIS-Suche gegen, bevor Sie einen ganzen Bereich sperren.