 |
|
UP:
4.5.8 Поиск узлов и людей Next: 4.5.8.2 FRED |
|
|
|
UP:
4.5.8 Поиск узлов и людей Next: 4.5.8.2 FRED |
WHOIS обеспечивает каталожную службу для пользователей сети (RFC-0954, -3912). Эта служба заключается в поиске e-mail адресов, почтовых адресов и телефонных номеров. WHOIS может поставлять информацию о сетях, о структуре доменов и т.д. Главная база данных, относящихся к сетям, поддерживается Регистрационной службой Интернет (InterNic). В действительности имена при регистрации доменов и при выдаче IP-адресов автоматически вводятся в базу данных. Каждая запись в базе имеет уникальный идентификатор (handle), имя, тип записи и ряд других полей в зависимости от типа записи. База данных поддерживается в каждой сети независимо и взаимодействие между ними не всегда существует.
В системах UNIX имеется аналог этой службы - rwho, которая предоставляет даже несколько большую информацию, сообщая дополнительно о том, кто работает в данный момент в каждой из подключенных к сети машин.
Сейчас создан новый протокол WHOIS++, в котором учтены прежние недостатки. WHOIS доступно для пользователей Интернет с помощью команды telnet. Возможна посылка запросов и по электронной почте. Следует учитывать, что данная статья была написана достаточно давно. Уже после ее написания было принято решения исключить персональную информацию из баз данных WHOIS.
| Сейчас существуют региональные серверы для Европы (RIPE - фр. Reseaux IP Europeens + англ. Network Coordination Centre), России (RIPN - Российский НИИ Развития общественных сетей), Северной Америки (ARIN), Южной Америки (LacNIC), Африки (AfriNIC) и Азии (APNIC - Asia Pacific NIC). |
Обращение к базе данных производится по команде WHOIS (значение параметра заключается в угловые скобки). Обращение к местному клиент-серверу производится по форме:
WHOIS <-h имя_сети> идентификатор
где имя_сети - адрес домена, куда вы собираетесь послать запрос (например, whois.internic.net); идентификатор - фамилия человека, название сети или домена, IP-адрес. С идентификатором могут использоваться специальные символы, определяющие тип поиска.
В общем виде обращение к серверу WHOIS может иметь вид:
whois [-aAbdgiIlmQrR6] [-c country-code | -h host] [-p port] name ...,
где буквы в квадратных скобках являются обозначениями возможных опций.
Утилита whois просматривает рекорды баз данных нескольких NIC (Network Information Centers).
Допустимы следующие опции:
| -a | использовать базу данных ARIN (American Registry for Internet Numbers). Она содержит записи о сетях, которые не попали в базы данных APNIC и RIPE |
| -A | использовать базу данных APNIC (Asia/Pacific Network Information Center). Она содержит записи о сетях Восточной Азии, Австралии, Новой Зеландии, и островов Тихого океана. |
| -b | использовать базу данных Network Abuse Clearinghouse. Она содержит адреса, куда следует обращаться в случае атаки. Адреса упорядочены по именам доменов. |
| -c country-code | Это эквивалентно использованию опции -h с аргументом "country-code.whois-servers.net". |
| -d | использовать базу данных министерства обороны США. Она содержит записи для субдоменов .MIL. |
| -g | использовать базу данных федерального правительства США, которая содержит записи для субдоменов .GOV. |
| -h host | Используется данная машина вместо варианта по умолчанию. Может использоваться имя или IP-адрес машины. |
По умолчанию утилита whois формирует имя сервера whois, используя сервер домена верхнего уровня (TLD - top-level domain), переданного в качестве аргумента, добавив ".whois-servers.net".
В случае, когда специфицирован IP-адрес, сервер whois будет использовать по умолчанию ARIN (American Registry for Internet Numbers). Если запрос к ARIN ссылается на APNIC, LACNIC или RIPE, этот сервер будет также запрошен (предполагается, что опция -Q отсутствует).
| -i | Использовать базу данных whois.networksolutions.com (Network Solutions Registry for Internet Numbers). Она содержит записи и контактную информацию для большинства доменов .COM, .NET, .ORG и .EDU |
| -I | Использовать базу данных IANA (Internet Assigned Numbers Authority). Она содержит записи о сетях доменов верхнего уровня |
| -l | Использовать базу данных LACNIC (Latin American and Caribbean IP address Regional Registry). Она содержит записи для сетей Латинской Америки и Карибского бассейна |
| -m | Использовать базу данных RADB (Route Arbiter Database). Она содержит информацию о маршрутной политике для большого числа сетевых операторов |
| -p port | Соединиться с сервером whois через port. Если эта опция не специфицирована, будет использован номер порта 43 |
| -Q | Выполнить быстрый поиск. Это означает, что утилита whois не будет пытаться найти имя на официальном сервере whois. Эта опция не работает, если используется в комбинации с любыми другими опциями |
| -r | Использовать базу данных RIPE (R'eseaux IP Europeens). Она содержит номера сетей и контактную информацию по Европе |
| -R | Использовать базу данных RIPN (Russia Network Information Center). Она содержит номера сетей и контактную информацию для субдомена .RU. В настоящее время эта опция исключена и рекомендуется применять опцию -c с аргументом "RU". |
| -6 | Использовать базу данных IPv6 Resource Center (6bone). Она содержит имена сетей и IPv6 адреса. |
Примеры
Большинство типов данных, таких как доменные имена и IP адреса, могут использоваться в качестве аргументов для утилиты whois с любыми опциями.
Чтобы получить контактную информацию об администраторе, работающем в российском TLD домене "RU", следует использовать опцию -c, как это показано в ниже приведенном примере, где CONTACT-ID заменяется реальным контактным идентификатором.
whois -c RU CONTACT-ID
Следующий пример демонстрирует то, как можно получить данные об IPv6-адресе или имени машины, используя опцию -6, которая направляет запрос в 6bone.
whois -6 IPv6-IP-Address
| Следует учитывать, что длина отклика в случае запроса WHOIS в разы больше длительности запроса, и это может использоваться для атак типа отказа обслуживания (DoS). Такая особенность является причиной того, что некоторые whois-серверы не откликаются, если запросы поступают слишком часто. По этой причине можно рекомендовать создавать свою базу данных для часто запрашиваемых имен и адресов. |
Ниже представлен результат обращения к серверу WHOIS (RIPE) для IP-адреса 80.18.87.243, откуда была произведена успешная атака нашей рабочей станции в 2005 году.
% This is the Ripe-Mirror Whois server. % Note: this output has been filtered. % Information related to '80.18.87.240 - 80.18.87.255' inetnum: 80.18.87.240 - 80.18.87.255 netname: TESESPA descr: TESESPA country: IT admin-c: AB4030-RIPE tech-c: AB4031-RIPE status: ASSIGNED PA mnt-by: INTERB-MNT source: RIPE # Filtered person: ANDREA BONALDO address: TESE address: VIA SEST. CASTELLO 2737 address: 30100 VENEZIA address: Italy phone: +39412728388 nic-hdl: AB4030-RIPE source: RIPE # Filtered person: ANDREA BONALDO address: TESE address: VIA SEST. CASTELLO 2737 address: 30100 VENEZIA address: Italy phone: +39412728388 nic-hdl: AB4031-RIPE source: RIPE # Filtered % Information related to '80.18.0.0/15AS3269' route: 80.18.0.0/15 descr: INTERBUSINESS origin: AS3269 remarks: ************************************************ remarks: * Pay attention * remarks: * Any communication sent to email different * remarks: * from the following will be ignored! * remarks: * Any abuse reports, please send them to * remarks: * abuse@business.telecomitalia.it * remarks: ************************************************ mnt-by: INTERB-MNT source: RIPE # Filtered
Из этих данных видно, что атака была произведена из Италии (Венеция). Претензии можно послать по адресу abuse@business.telecomitalia.it. Следует заметить, что форматы данных для разных серверов отличаются.
Ранние версии серверов WHOIS содержали персональные данные и предусматривали возможность персонального поиска. Позднее было признано, что это недопустимо по этическим соображениям и такие опции были исключены.
Существуют и другие программы для поиска информации о клиентах сети Internet. Но большинство, а возможно и все были за последние годы закрыты.
|
UP:
4.5.8 Поиск узлов и людей Next: 4.5.8.2 FRED |