WHOIS 查询
WHOIS 查询 是什么?
WHOIS 查询对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。
WHOIS 是发布域名和 IP 注册元数据的传统协议,内容包括注册人、注册商、创建与到期日期、状态标志和权威域名服务器。调查人员用它来判断域名的注册时间(新注册域名风险更高),关联同一注册人下的基础设施,并从共享邮箱等数据中找到关联点。WHOIS 正逐步被 RDAP(RFC 7480-7484)取代,后者返回结构化 JSON,支持身份验证并兼容 GDPR 的隐私脱敏。由于许多注册局现在隐藏个人信息,分析人员通常将 WHOIS 或 RDAP 与被动 DNS、证书透明度以及历史档案结合使用。
● 示例
- 01
发现某钓鱼域名在被用于攻击之前 12 小时刚被注册。
- 02
通过注册人邮箱跳转到同一周内创建的数十个相似域名。
● 常见问题
WHOIS 查询 是什么?
对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。 它属于网络安全的 防御与运营 分类。
WHOIS 查询 是什么意思?
对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。
WHOIS 查询 是如何工作的?
WHOIS 是发布域名和 IP 注册元数据的传统协议,内容包括注册人、注册商、创建与到期日期、状态标志和权威域名服务器。调查人员用它来判断域名的注册时间(新注册域名风险更高),关联同一注册人下的基础设施,并从共享邮箱等数据中找到关联点。WHOIS 正逐步被 RDAP(RFC 7480-7484)取代,后者返回结构化 JSON,支持身份验证并兼容 GDPR 的隐私脱敏。由于许多注册局现在隐藏个人信息,分析人员通常将 WHOIS 或 RDAP 与被动 DNS、证书透明度以及历史档案结合使用。
如何防御 WHOIS 查询?
针对 WHOIS 查询 的防御通常结合技术控制与运营实践,详见上方完整定义。
WHOIS 查询 还有哪些其他名称?
常见的别称包括: WHOIS, RDAP 查询。
● 相关术语
- defense-ops№ 792
被动 DNS
记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。
- defense-ops№ 159
证书透明度
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
- attacks№ 349
域名劫持
在注册商或注册局层面对已注册域名实施的未授权接管,使攻击者可以将流量、邮件和信任重定向到恶意基础设施。
- attacks№ 269
域名抢注 (Cybersquatting)
未经授权注册含有他人商标或知名品牌名的域名,通常以向权利人勒索高价或欺骗用户为目的。
- defense-ops№ 266
网络威胁情报(CTI)
基于证据的对手知识体系,涵盖其动机和手法,用于支持防御决策并优先安排控制措施。