WHOIS-запрос
Что такое WHOIS-запрос?
WHOIS-запросЗапрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён.
WHOIS — устаревший протокол, публикующий метаданные регистрации доменов и IP: регистранта, регистратора, даты создания и истечения, флаги состояния и авторитативные NS. Аналитики используют его для оценки возраста домена (свежезарегистрированные домены рискованнее), корреляции инфраструктуры между регистрантами и поиска точек поворота вроде общего e-mail. WHOIS постепенно заменяется RDAP (RFC 7480-7484), который отдаёт структурированный JSON, поддерживает аутентификацию и совместим с GDPR-редактированием. Поскольку многие реестры маскируют персональные данные, аналитики комбинируют WHOIS/RDAP с пассивным DNS, Certificate Transparency и историческими архивами.
● Примеры
- 01
Обнаружить, что фишинговый домен был зарегистрирован за 12 часов до запуска рассылки.
- 02
Поворот от e-mail регистранта к десяткам похожих доменов, созданных на той же неделе.
● Частые вопросы
Что такое WHOIS-запрос?
Запрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён. Относится к категории Защита и операции в кибербезопасности.
Что означает WHOIS-запрос?
Запрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён.
Как работает WHOIS-запрос?
WHOIS — устаревший протокол, публикующий метаданные регистрации доменов и IP: регистранта, регистратора, даты создания и истечения, флаги состояния и авторитативные NS. Аналитики используют его для оценки возраста домена (свежезарегистрированные домены рискованнее), корреляции инфраструктуры между регистрантами и поиска точек поворота вроде общего e-mail. WHOIS постепенно заменяется RDAP (RFC 7480-7484), который отдаёт структурированный JSON, поддерживает аутентификацию и совместим с GDPR-редактированием. Поскольку многие реестры маскируют персональные данные, аналитики комбинируют WHOIS/RDAP с пассивным DNS, Certificate Transparency и историческими архивами.
Как защититься от WHOIS-запрос?
Защита от WHOIS-запрос обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия WHOIS-запрос?
Распространённые альтернативные названия: WHOIS, Запрос RDAP.
● Связанные термины
- defense-ops№ 792
Пассивный DNS
Историческая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени.
- defense-ops№ 159
Прозрачность сертификатов
Экосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена.
- attacks№ 349
Захват домена
Несанкционированный захват контроля над зарегистрированным доменом на уровне регистратора или реестра, позволяющий злоумышленнику перенаправлять трафик, почту и доверие на вредоносную инфраструктуру.
- attacks№ 269
Киберсквоттинг (cybersquatting)
Регистрация без разрешения доменных имён, содержащих чужие товарные знаки или известные бренды, обычно для вымогательства у правообладателя или обмана пользователей.
- defense-ops№ 266
Киберразведка угроз (CTI)
Основанное на доказательствах знание о противниках, их мотивах и методах, используемое для принятия защитных решений и приоритизации мер контроля.