Czym jest Whois?
Whois to publicznie dostępny protokół i system baz danych, który przechowuje szczegóły rejestracyjne dotyczące nazw domen, bloków adresów IP oraz systemów autonomicznych. Dostarcza podstawowych informacji o tym, kto jest właścicielem domeny, kiedy została zarejestrowana, który rejestrator nią zarządza oraz jakie są powiązane dane kontaktowe. Pierwotnie opracowany we wczesnych latach internetu, Whois pozostaje fundamentalnym narzędziem administracji sieci, dochodzeń z zakresu cyberbezpieczeństwa i analizy reputacji domen.
Gdy ktoś odpytuje rekord Whois, może zobaczyć kluczowe metadane, takie jak organizacja rejestrująca, daty rejestracji i wygaśnięcia, serwery nazw DNS, a czasem administracyjne lub techniczne dane kontaktowe. Choć regulacje dotyczące prywatności ograniczyły w ostatnich latach widoczność niektórych danych, Whois nadal odgrywa centralną rolę w identyfikowaniu własności domeny i odpowiedzialności operacyjnej.
Whois działa jako prosty tekstowy protokół zapytanie-odpowiedź, zdefiniowany w RFC 3912. Każdy rejestrator domen utrzymuje bazę danych zarejestrowanych domen i odpowiada na zapytania Whois poprzez scentralizowany system wyszukiwania.
Przykładowy wynik Whois dla domeny:
Domain Name: example.com
Registrar: Example Registrar, Inc.
Creation Date: 1995-08-14
Updated Date: 2024-05-12
Expiration Date: 2025-08-13
Name Server: ns1.example.com
Name Server: ns2.example.comKażdy rejestr, taki jak Verisign dla domen .com lub Nominet dla domen .uk, zarządza autorytatywnymi rekordami swoich domen najwyższego poziomu. Gdy złożone zostaje zapytanie Whois, system kieruje żądanie do odpowiedniego rejestru lub rejestratora, który następnie zwraca zapisane informacje o danej domenie.
Kluczowe pola danych Whois obejmują:
Dane Whois wspierają wiele funkcji operacyjnych i związanych z bezpieczeństwem w całym internecie. Są często wykorzystywane przez:
Choć Whois zapewnia cenną przejrzystość, środki ochrony prywatności, takie jak RODO, doprowadziły do redagowania lub anonimizacji osobowych danych kontaktowych w wielu regionach. W efekcie niektórzy rejestratorzy udostępniają dziś ograniczony dostęp lub przekierowują użytkowników do wielopoziomowych systemów ujawniania, w których dostęp zależy od weryfikacji lub uzasadnienia prawnego.
Tradycyjny Whois działa w oparciu o protokół tekstowy bez ustrukturyzowanego formatowania, co utrudnia automatyzację i analizę na dużą skalę. Aby temu zaradzić, wprowadzono nowoczesny zamiennik znany jako RDAP (Registration Data Access Protocol). RDAP dostarcza dane w stylu Whois w ustandaryzowanym formacie JSON z bezpiecznym dostępem HTTPS, poprawiając niezawodność i zgodność z przepisami o ochronie prywatności.
Mimo tych zmian wiele starszych systemów i narzędzi wyszukiwania nadal opiera się na Whois przy analizie domen, zwłaszcza podczas badania zagrożeń opartych na DNS, sporów o własność lub pochodzenia infrastruktury.
DMARCeye integruje dane Whois i RDAP ze swoim silnikiem analitycznym, aby pomóc organizacjom zrozumieć, kto stoi za domenami wysyłkowymi zidentyfikowanymi w raportach zbiorczych DMARC. Gdy pojawiają się nieautoryzowane lub podejrzane źródła, DMARCeye koreluje niepowodzenia uwierzytelniania z informacjami rejestracyjnymi Whois, aby ujawnić, czy te domeny są legalnymi partnerami, niedawno zarejestrowanymi podróbkami, czy niezaufanymi podmiotami.
Łącząc wiedzę o własności domen z danymi SPF, DKIM i DMARC, DMARCeye dostarcza praktycznych informacji o tym, które domeny wymagają uwagi, pozwalając zespołom bezpieczeństwa podejmować proaktywne kroki przeciwko nadużyciom, spoofingowi i atakom opartym na domenach.
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.