WHOIS-Abfrage
Was ist WHOIS-Abfrage?
WHOIS-AbfrageAbfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver.
WHOIS ist das alte Protokoll, das Registrierungs-Metadaten zu Domains und IPs veroeffentlicht: Registrant, Registrar, Anlege- und Ablaufdatum, Statusflags und autoritative Nameserver. Ermittler nutzen es, um das Alter einer Domain zu beurteilen (frisch registrierte sind riskanter), Infrastrukturen zwischen Registranten zu korrelieren und Pivot-Punkte wie gemeinsame E-Mails zu finden. WHOIS wird zunehmend von RDAP (RFC 7480-7484) abgeloest, das strukturiertes JSON liefert, Authentifizierung unterstuetzt und sich mit DSGVO-konformer Redaktion integriert. Da viele Registries personenbezogene Daten maskieren, kombinieren Analysten WHOIS/RDAP mit Passive DNS, Certificate Transparency und historischen Archiven.
● Beispiele
- 01
Erkennen, dass eine Phishing-Domain 12 Stunden vor ihrer Kampagne registriert wurde.
- 02
Vom Registrant-E-Mail aus zu Dutzenden aehnlich benannter Domains derselben Woche pivotieren.
● Häufige Fragen
Was ist WHOIS-Abfrage?
Abfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet WHOIS-Abfrage?
Abfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver.
Wie funktioniert WHOIS-Abfrage?
WHOIS ist das alte Protokoll, das Registrierungs-Metadaten zu Domains und IPs veroeffentlicht: Registrant, Registrar, Anlege- und Ablaufdatum, Statusflags und autoritative Nameserver. Ermittler nutzen es, um das Alter einer Domain zu beurteilen (frisch registrierte sind riskanter), Infrastrukturen zwischen Registranten zu korrelieren und Pivot-Punkte wie gemeinsame E-Mails zu finden. WHOIS wird zunehmend von RDAP (RFC 7480-7484) abgeloest, das strukturiertes JSON liefert, Authentifizierung unterstuetzt und sich mit DSGVO-konformer Redaktion integriert. Da viele Registries personenbezogene Daten maskieren, kombinieren Analysten WHOIS/RDAP mit Passive DNS, Certificate Transparency und historischen Archiven.
Wie schützt man sich gegen WHOIS-Abfrage?
Schutzmaßnahmen gegen WHOIS-Abfrage kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für WHOIS-Abfrage?
Übliche alternative Bezeichnungen: WHOIS, RDAP-Lookup.
● Verwandte Begriffe
- defense-ops№ 792
Passive DNS
Historische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte.
- defense-ops№ 159
Certificate Transparency
Oekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt.
- attacks№ 349
Domain Hijacking
Unautorisierte Übernahme der Kontrolle über eine registrierte Domain auf Registrar- oder Registry-Ebene, sodass der Angreifer Traffic, E-Mail und Vertrauen auf bösartige Infrastruktur umleiten kann.
- attacks№ 269
Cybersquatting
Unautorisiertes Registrieren von Domainnamen, die Marken oder bekannte Bezeichnungen enthalten, meist um Geld vom Rechteinhaber zu erpressen oder Nutzer zu täuschen.
- defense-ops№ 266
Cyber Threat Intelligence (CTI)
Evidenzbasiertes Wissen über Angreifer, ihre Motivationen und Methoden, das defensive Entscheidungen unterstützt und Kontrollen priorisiert.