Who is who bez whois

nfsec.pl 2 lat temu

ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.

RDAP

Protokół dostępu do danych rejestracyjnych RDAP powoli zastępuje tradycyjny WHOIS, który jest odpytywany na porcie 43. Jest to nowy mechanizm, dzięki którego już teraz można wyświetlać dane niektórych rejestratorów odnośnie informacji o własnościach nazw domenowych. Korzyści z nowego protokołu obejmują spójne oznakowanie i wyświetlanie wszystkich różnych pól danych. Na przykład w polu danych dotyczących kraju zawsze będzie widniało na przykład „PL”. Z drugiej strony protokół WHOIS pozwalał na dowolne kształtowanie danych, co mogło spowodować, iż w polu kraju pojawiały się nazwy PL, Poland, Polska lub inne, w zależności od preferowanej przez poszczególnych rejestratorów składni. Problem ten potęgowała możliwość komplikowania kwestii suwerenności przez czynniki geopolityczne. RDAP wymaga, aby kod kraju był zgodny ze standardem ISO 3166-1 alpha-2, który jest również używany do przypisywania domen typu ccTLD. Spójna składnia danych w tym i innych polach danych rejestracyjnych może znacznie ułatwić właścicielom marek i specjalistom ds. cyberbezpieczeństwa identyfikację trendów w zakresie cybersquattingu, phishingu, botnetów i innych podmiotów stwarzających zagrożenie lub połączenie wielu nazw domen dla skonsolidowanej sprawy UDRP (Uniform Domain-Name Dispute-Resolution Policy).

Bardziej techniczne usprawnienie tego protokołu polega na tym, iż teraz istnieje zdefiniowany mechanizm odsyłający z rejestru do rejestratora (tzw. „bootstrapping”). Oznacza to, iż zapytania do rejestru powinny zostać skierowane do rejestratora w celu uzyskania autorytatywnych danych od tego rejestratora. Będzie to dotyczyło również „cienkich” rejestrów, które w tej chwili nie przechowują danych rejestracyjnych. Spójrzmy teraz jak to wygląda w praktyce na przykładzie domeny elcobroafps4ult.com, która została zgłoszona jako phishing. Na początek wykorzystajmy jeszcze starego klienta WHOIS pod systemem Linux (Ubuntu 20.04 LTS) przy okazji pokazując jaka jest różnica między nim, a tym z systemu macOS (Monterey 12.3):

agresor@darkstar:~$ whois -h whois.iana.org elcobroafps4ult.com % IANA WHOIS server % for more information on IANA, visit http://www.iana.org % This query returned 1 object refer: whois.verisign-grs.com domain: COM organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States contact: administrative name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com contact: technical name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com nserver: A.GTLD-SERVERS.NET 192.5.6.30 2001:503:a83e:0:0:0:2:30 nserver: B.GTLD-SERVERS.NET 192.33.14.30 2001:503:231d:0:0:0:2:30 nserver: C.GTLD-SERVERS.NET 192.26.92.30 2001:503:83eb:0:0:0:0:30 nserver: D.GTLD-SERVERS.NET 192.31.80.30 2001:500:856e:0:0:0:0:30 nserver: E.GTLD-SERVERS.NET 192.12.94.30 2001:502:1ca1:0:0:0:0:30 nserver: F.GTLD-SERVERS.NET 192.35.51.30 2001:503:d414:0:0:0:0:30 nserver: G.GTLD-SERVERS.NET 192.42.93.30 2001:503:eea3:0:0:0:0:30 nserver: H.GTLD-SERVERS.NET 192.54.112.30 2001:502:8cc:0:0:0:0:30 nserver: I.GTLD-SERVERS.NET 192.43.172.30 2001:503:39c1:0:0:0:0:30 nserver: J.GTLD-SERVERS.NET 192.48.79.30 2001:502:7094:0:0:0:0:30 nserver: K.GTLD-SERVERS.NET 192.52.178.30 2001:503:d2d:0:0:0:0:30 nserver: L.GTLD-SERVERS.NET 192.41.162.30 2001:500:d937:0:0:0:0:30 nserver: M.GTLD-SERVERS.NET 192.55.83.30 2001:501:b1f9:0:0:0:0:30 ds-rdata: 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766 whois: whois.verisign-grs.com status: ACTIVE remarks: Registration information: http://www.verisigninc.com created: 1985-01-01 changed: 2017-10-05 source: IANA

Zgodnie z polem refer następnym serwerem do odpytania będzie:

agresor@darkstar:~$ whois -h whois.verisign-grs.com elcobroafps4ult.com Domain Name: ELCOBROAFPS4ULT.COM Registry Domain ID: 2690270495_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2022-04-18T19:17:43Z Creation Date: 2022-04-18T19:17:30Z Registry Expiry Date: 2023-04-18T19:17:30Z Registrar: NameCheap, Inc. Registrar IANA ID: 1068 Registrar Abuse Contact Email: abuse@namecheap.com Registrar Abuse Contact Phone: +1.6613102107 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Name Server: DNS1.NAMECHEAPHOSTING.COM Name Server: DNS2.NAMECHEAPHOSTING.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2022-04-22T20:10:46Z <<<

Ostatnim krokiem jest odpytania serwera rejestratora:

agresor@darkstar:~$ whois -h whois.namecheap.com elcobroafps4ult.com Domain name: elcobroafps4ult.com Registry Domain ID: 2690270495_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 0001-01-01T00:00:00.00Z Creation Date: 2022-04-18T19:17:30.00Z Registrar Registration Expiration Date: 2023-04-18T19:17:30.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 Registrar Abuse Contact Email: abuse@namecheap.com Registrar Abuse Contact Phone: +1.9854014545 Reseller: NAMECHEAP INC Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: Registrant Name: lucas mendez Registrant Organization: Registrant Street: aviacion 1718 Registrant City: lima Registrant State/Province: lima Registrant Postal Code: 15043 Registrant Country: PE Registrant Phone: +51.958632546 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: lm4985377@gmail.com Registry Admin ID: Admin Name: lucas mendez Admin Organization: Admin Street: aviacion 1718 Admin City: lima Admin State/Province: lima Admin Postal Code: 15043 Admin Country: PE Admin Phone: +51.958632546 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: lm4985377@gmail.com Registry Tech ID: Tech Name: lucas mendez Tech Organization: Tech Street: aviacion 1718 Tech City: lima Tech State/Province: lima Tech Postal Code: 15043 Tech Country: PE Tech Phone: +51.958632546 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: lm4985377@gmail.com Name Server: dns1.namecheaphosting.com Name Server: dns2.namecheaphosting.com DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2022-04-22T16:09:45.30Z <<< For more information on Whois status codes, please visit https://icann.org/epp

Od systemu Ubuntu 20.04 LTS program whois w wersji 5.5.6 umożliwia wykorzystanie parametru -I:

First query whois.iana.org and then follow its referral to the whois server authoritative for that request. This works for IP addresses, AS numbers and domains. BEWARE: this implies that the IANA server will receive your complete query.

Niestety nie dojdzie on tak „głęboko”, jak nasze manualne przeskakiwanie przez każdy pośredni serwer, aż do rejestratora. Dlatego pod systemem Linux w przypadku protokołu whois najlepiej jest samemu przejść przez każdy pośredni serwer, co da nam zupełną pewność dotarcia aż do informacji od rejestratora. Zupełnie inaczej działa tego samego typu program pod systemem macOS, który sam rekursywnie „kopie” aż do samego końca informacji o domenie:

Do a recursive lookup; whois will attempt to follow referrals to other whois servers. This is the default if no server is explicitly specified.

wingzero:~ agresor$ whois elcobroafps4ult.com % IANA WHOIS server % for more information on IANA, visit http://www.iana.org % This query returned 1 object refer: whois.verisign-grs.com domain: COM organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States contact: administrative name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com contact: technical name: Registry Customer Service organisation: VeriSign Global Registry Services address: 12061 Bluemont Way address: Reston Virginia 20190 address: United States phone: +1 703 925-6999 fax-no: +1 703 948 3978 e-mail: info@verisign-grs.com nserver: A.GTLD-SERVERS.NET 192.5.6.30 2001:503:a83e:0:0:0:2:30 nserver: B.GTLD-SERVERS.NET 192.33.14.30 2001:503:231d:0:0:0:2:30 nserver: C.GTLD-SERVERS.NET 192.26.92.30 2001:503:83eb:0:0:0:0:30 nserver: D.GTLD-SERVERS.NET 192.31.80.30 2001:500:856e:0:0:0:0:30 nserver: E.GTLD-SERVERS.NET 192.12.94.30 2001:502:1ca1:0:0:0:0:30 nserver: F.GTLD-SERVERS.NET 192.35.51.30 2001:503:d414:0:0:0:0:30 nserver: G.GTLD-SERVERS.NET 192.42.93.30 2001:503:eea3:0:0:0:0:30 nserver: H.GTLD-SERVERS.NET 192.54.112.30 2001:502:8cc:0:0:0:0:30 nserver: I.GTLD-SERVERS.NET 192.43.172.30 2001:503:39c1:0:0:0:0:30 nserver: J.GTLD-SERVERS.NET 192.48.79.30 2001:502:7094:0:0:0:0:30 nserver: K.GTLD-SERVERS.NET 192.52.178.30 2001:503:d2d:0:0:0:0:30 nserver: L.GTLD-SERVERS.NET 192.41.162.30 2001:500:d937:0:0:0:0:30 nserver: M.GTLD-SERVERS.NET 192.55.83.30 2001:501:b1f9:0:0:0:0:30 ds-rdata: 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766 whois: whois.verisign-grs.com status: ACTIVE remarks: Registration information: http://www.verisigninc.com created: 1985-01-01 changed: 2017-10-05 source: IANA # whois.verisign-grs.com Domain Name: ELCOBROAFPS4ULT.COM Registry Domain ID: 2690270495_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 2022-04-23T03:45:05Z Creation Date: 2022-04-18T19:17:30Z Registry Expiry Date: 2023-04-18T19:17:30Z Registrar: NameCheap, Inc. Registrar IANA ID: 1068 Registrar Abuse Contact Email: abuse@namecheap.com Registrar Abuse Contact Phone: +1.6613102107 Domain Status: clientHold https://icann.org/epp#clientHold Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Name Server: DNS1.NAMECHEAPHOSTING.COM Name Server: DNS2.NAMECHEAPHOSTING.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2022-04-23T17:17:05Z <<< # whois.namecheap.com Domain name: elcobroafps4ult.com Registry Domain ID: 2690270495_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.namecheap.com Registrar URL: http://www.namecheap.com Updated Date: 0001-01-01T00:00:00.00Z Creation Date: 2022-04-18T19:17:30.00Z Registrar Registration Expiration Date: 2023-04-18T19:17:30.00Z Registrar: NAMECHEAP INC Registrar IANA ID: 1068 Registrar Abuse Contact Email: abuse@namecheap.com Registrar Abuse Contact Phone: +1.9854014545 Reseller: NAMECHEAP INC Domain Status: clientHold https://icann.org/epp#clientHold Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: Registrant Name: lucas mendez Registrant Organization: Registrant Street: aviacion 1718 Registrant City: lima Registrant State/Province: lima Registrant Postal Code: 15043 Registrant Country: PE Registrant Phone: +51.958632546 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: lm4985377@gmail.com Registry Admin ID: Admin Name: lucas mendez Admin Organization: Admin Street: aviacion 1718 Admin City: lima Admin State/Province: lima Admin Postal Code: 15043 Admin Country: PE Admin Phone: +51.958632546 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: lm4985377@gmail.com Registry Tech ID: Tech Name: lucas mendez Tech Organization: Tech Street: aviacion 1718 Tech City: lima Tech State/Province: lima Tech Postal Code: 15043 Tech Country: PE Tech Phone: +51.958632546 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: lm4985377@gmail.com Name Server: dns1.namecheaphosting.com Name Server: dns2.namecheaphosting.com DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2022-04-23T12:08:37.67Z <<<

W przypadku RDAP zapytania są obsługiwane poprzez formularz online np. lookup.icann.org, ale także zgodne API z REST np. rdap.org. Należy mieć świadomość, iż jeszcze nie wszyscy rejestratorzy obsługują RDAP, ale większość z nich ma już swój punkt końcowy do obsługi zapytań, który zwraca informację w formacie JSON. Niektóre przeglądarki natywnie nie mają żadnych problemów z prezentacją tego formatu do bardziej przyjaznego dla człowieka. Po wypełnieniu formularza i wysłaniu kwerendy oprócz innych przydatnych informacji w sekcji „Authoritative Servers” znajdziemy najważniejsze odnośniki:

Registry Server URL: https://rdap.verisign.com/com/v1/domain/elcobroafps4ult.com Last updated from Registry RDAP DB: 2022-04-23 01:30:35 UTC Registrar Server URL: https://rdap.namecheap.com/domain/ELCOBROAFPS4ULT.COM Last updated from Registrar RDAP DB: 2022-04-22 19:30:44 UTC

Druga pozycja zawsze odnosi się do bezpośrednich informacji od rejestratora, które możemy swobodnie pobrać i sformatować:

curl https://rdap.namecheap.com/domain/ELCOBROAFPS4ULT.COM | python3 -m json.tool { "rdapConformance": [ "rdap_level_0", "icann_rdap_response_profile_0", "icann_rdap_technical_implementation_guide_0" ], "objectClassName": "domain", "lang": "en", "links": [ { "href": "https://rdap.namecheap.com/domain/ELCOBROAFPS4ULT.COM", "rel": "self", "type": "application/rdap+json", "value": "https://rdap.namecheap.com/domain/ELCOBROAFPS4ULT.COM" } ], "handle": "2690270495_DOMAIN_COM-VRSN", "ldhName": "elcobroafps4ult.com", "unicodeName": "elcobroafps4ult.com", "events": [ { "eventAction": "last update of RDAP database", "eventDate": "2022-04-23T18:52:54" }, { "eventAction": "registration", "eventDate": "2022-04-18T19:17:30" }, { "eventAction": "expiration", "eventDate": "2023-04-18T19:17:30" } ], "status": [ "client hold", "client transfer prohibited", "add period" ], "secureDNS": { "delegationSigned": false, "zoneSigned": false }, "port43": "whois.namecheap.com", "publicIds": [ { "type": "NAMECHEAP INC", "identifier": "1068" } ], "entities": [ { "objectClassName": "entity", "vcardArray": [ "vcard", [ [ "version", {}, "text", "4.0" ], [ "fn", {}, "text", "NAMECHEAP INC" ], [ "tel", { "Type": [ "voice" ] }, "uri", "tel:+1.9854014545" ], [ "email", {}, "text", "abuse@namecheap.com" ] ] ], "roles": [ "abuse" ] }, { "objectClassName": "entity", "vcardArray": [ "vcard", [ [ "version", {}, "text", "4.0" ], [ "fn", {}, "text", "NAMECHEAP INC" ], [ "adr", {}, "text", [ "4600 E Washington St #305", "Phoenix", "Arizona", "85034" ] ], [ "tel", { "Type": [ "voice" ] }, "uri", "tel:+1.6613102107" ], [ "email", {}, "text", "support@namecheap.com" ] ] ], "roles": [ "registrar" ] }, { "objectClassName": "entity", "handle": "redacted for privacy", "vcardArray": [ "vcard", [ [ "version", {}, "text", "4.0" ], [ "fn", {}, "text", "lucas mendez" ], [ "kind", {}, "text", "individual" ], [ "adr", {}, "text", [ "aviacion 1718", "lima", "lima", "15043", "PE" ] ], [ "tel", { "Type": [ "voice" ] }, "uri", "tel:+51.958632546" ], [ "email", {}, "text", "lm4985377@gmail.com" ] ] ], "roles": [ "Registrant" ] }, { "objectClassName": "entity", "handle": "redacted for privacy", "vcardArray": [ "vcard", [ [ "version", {}, "text", "4.0" ], [ "fn", {}, "text", "lucas mendez" ], [ "kind", {}, "text", "individual" ], [ "adr", {}, "text", [ "aviacion 1718", "lima", "lima", "15043", "PE" ] ], [ "tel", { "Type": [ "voice" ] }, "uri", "tel:+51.958632546" ], [ "email", {}, "text", "lm4985377@gmail.com" ] ] ], "roles": [ "Administrative" ] }, { "objectClassName": "entity", "handle": "redacted for privacy", "vcardArray": [ "vcard", [ [ "version", {}, "text", "4.0" ], [ "fn", {}, "text", "lucas mendez" ], [ "kind", {}, "text", "individual" ], [ "adr", {}, "text", [ "aviacion 1718", "lima", "lima", "15043", "PE" ] ], [ "tel", { "Type": [ "voice" ] }, "uri", "tel:+51.958632546" ], [ "email", {}, "text", "lm4985377@gmail.com" ] ] ], "roles": [ "Technical" ] } ], "nameservers": [ { "objectClassName": "nameserver", "ldhName": "dns1.namecheaphosting.com", "unicodeName": "dns1.namecheaphosting.com" }, { "objectClassName": "nameserver", "ldhName": "dns2.namecheaphosting.com", "unicodeName": "dns2.namecheaphosting.com" } ], "notices": [ { "title": "RDDS Inaccuracy Complaint Form", "description": [ "URL of the ICANN RDDS Inaccuracy Complaint: https://www.icann.org/wicf" ], "links": [ { "href": "https://www.icann.org/wicf", "rel": "alternate", "type": "text/html", "value": "https://www.icann.org/wicf" } ] } ] }

Inne ulepszenia, które wprowadza protokół RDAP obejmują również wsparcie dla internacjonalizacji, bezpieczną transmisję danych (przez HTTPS) oraz techniczną możliwość ułatwienia „zróżnicowanego dostępu”, jeżeli przyszła polityka ICANN na to pozwoli lub będzie tego wymagać. Ten zróżnicowany dostęp może potencjalnie stanowić techniczną podstawę przyszłego Systemu Znormalizowanego Dostępu/Ujawniania danych rejestracyjnych (ang. System for Standardized Access/Disclosure, SSAD).

Więcej informacji: Using Command-Line Interface (CLI) Clients with Whois, RDAP, Registration Data Access Protocol (RDAP): what’s behind the Whois alternative, The next generation of WHOIS is born

Idź do oryginalnego materiału