## Warum das zählt

Taucht eine verdächtige IP in einer Meldung oder einer Log-Zeile auf, stellen sich immer dieselben Fragen: Wem gehört sie, ist das echte Infrastruktur oder ein Endnutzer, an wen richtet man eine Beschwerde — und ist der Host selbst exponiert? Die Antworten erfordern normalerweise den Wechsel zwischen whois-Tools, Registry-Websites und Scanner-Dashboards. Die IP-Untersuchung bündelt alles auf einer Seite: Eine einzige Abfrage liefert das vollständige Bild.

## Was das Tool kann

Geben Sie eine IP-Adresse ein — oder fügen Sie bis zu 10 auf einmal ein, direkt aus einer Log-Zeile. Jede Adresse erhält eine eigene Karte mit:

- einer **Klassifizierung** — öffentlich, privat, Loopback, Link-local, CGNAT oder reserviert. Nicht-öffentliche Adressen werden sofort beantwortet, ganz ohne Netzwerkabfragen.
- einer **Ein-Zeilen-Zusammenfassung**, die Sie direkt in einer Meldung oder einem Kommentar zitieren können.
- **Signal-Chips**, die auffällige Befunde auf einen Blick hervorheben.
- **Intel pro Abschnitt** mit Status-Badge und Herkunftsangabe (Quelle und Alter) für jeden Abschnitt.

Ungültige Token brechen die Abfrage nicht ab — jedes erhält eine eigene Karte mit dem Urteil „ungültig“.

### Was die einzelnen Abschnitte zeigen

| Abschnitt | Quelle | Was Sie erfahren |
|-----------|--------|------------------|
| Inhaber & Abuse-Kontakt | RDAP (direkt bei der Registry) | Netzname, Registrant, CIDR-Bereiche und der Abuse-Kontakt für die Eskalation |
| Routing / ASN | RIPEstat | Ankündigendes AS (Nummer und Betreiber) sowie das angekündigte Präfix |
| Reverse DNS | DNS (forward-bestätigt) | Der PTR-Hostname — nur vertrauenswürdig, wenn er auf dieselbe IP zurück auflöst |
| Host-Exponierung | Shodan | Offene Ports, Service-Banner, bekannte CVEs und Tags des Hosts |

> [!NOTE]
> Reverse DNS wird forward-bestätigt, weil PTR-Einträge unter der Kontrolle des IP-Inhabers stehen — ein Angreifer kann sie auf einen beliebigen Namen zeigen lassen. Ein Hostname, der nicht auf dieselbe Adresse zurück auflöst, wird markiert, statt ihm zu vertrauen.

## Eine IP untersuchen

Öffnen Sie die Seite [IP-Untersuchung](/tools/ip_investigation). Jedes angemeldete Kontomitglied kann sie nutzen.

1. Geben Sie eine IP-Adresse ein, oder fügen Sie bis zu 10 ein — getrennt durch Leerzeichen, Kommas oder Semikolons.
2. Senden Sie ab — die Ergebnisse erscheinen direkt auf der Seite, eine Karte pro Adresse.

Die Abfrage läuft als einfacher GET-Request. Die entstehende URL lässt sich also teilen und direkt verlinken: Fügen Sie sie in einen Meldungs-Thread ein, und ein Teammitglied landet in derselben Untersuchung.

Auch Omnisearch kennt das Tool: Tippen oder fügen Sie eine IP in die Befehlspalette (Cmd+K) ein, und die Aktion **Investigate IP &lt;Adresse&gt;** (IP untersuchen) erscheint — als Direktlink mit vorausgefüllter Adresse.

## Woher die Daten stammen

Alles wird aus öffentlichen Quellen abgeleitet — RDAP-Registry-Daten, RIPEstat-Routing-Daten, DNS und Shodan. Das Tool liest externe Informationen über die Adresse, die Sie eingeben; es greift weder auf Ihre Kontodaten zu noch legt es sie offen, und nichts, was Sie nachschlagen, wird gespeichert.

## Limits

| Limit | Wert |
|-------|------|
| Batch-Größe | Bis zu 10 IP-Adressen pro Abfrage |
| Platzhalter-Abschnitte | Cloud-Zuordnung, Tor, Geolokalisierung und Reputation sind noch nicht verfügbar und erscheinen als Platzhalter |
| Caching | Ergebnisse können aus einem kurzlebigen, App-weit geteilten Cache stammen — die Informationen können also einige Stunden alt sein |

## Auf einen Blick

- [ ] Öffnen Sie die Seite [IP-Untersuchung](/tools/ip_investigation) — oder drücken Sie Cmd+K und tippen Sie die IP ein
- [ ] Fügen Sie eine IP ein, oder bis zu 10 aus einer Log-Zeile
- [ ] Zitieren Sie die Ein-Zeilen-Zusammenfassung in Ihrer Meldung
- [ ] Eskalieren Sie an den Abuse-Kontakt aus dem Inhaber-Abschnitt