ICQ, WHOIS и Finger

WHOIS-сервис

WHOIS обеспечивает каталожную службу для пользователей сети (см. RFC-0954, .3912). Эта служба заключается в поиске доменных имен и IP-адресов по имени машины и наоборот. WHOIS может поставлять информацию о сетях, о структуре доменов и т.д. Существует несколько региональных баз данных whois (ARIN, APNIC, IANA, RIPE, LACNIC, RIPN и др.). В действительности имена при регистрации доменов и при выдаче IP-адресов автоматически вводятся в базу данных. Каждая запись в базе имеет уникальный идентификатор (handle), имя, тип записи и ряд других полей в зависимости от типа записи. База данных поддерживается в каждой сети независимо и взаимодействие между ними не всегда существует.

В системах UNIX имеется аналог этой службы — rwho, которая предоставляет даже несколько большую информацию, сообщая дополнительно о том, кто работает в данный момент в каждой из подключенных к сети машин.

Сейчас создан новый протокол WHOIS++, в котором учтены прежние недостатки.

В общем случае обращение к серверу WHOIS может иметь вид

whois [-aAbdgiIlmQrR6] [-c country-code | -h host] [-p port] name ...,

где буквы в квадратных скобках являются обозначениями возможных опций.

Утилита whois просматривает рекорды баз данных нескольких NIC (Network Information Centers).

Допустимы следующие опции:

-a использовать базу данных ARIN (American Registry for Internet Numbers). Она содержит записи о сетях, которые не попали в базы данных APNIC и RIPE.

-A использовать базу данных APNIC (Asia/Pacific Network Information Center). Она содержит записи о сетях Восточной Азии, Австралии, Новой Зеландии и островов Тихого океана.

-b использовать базу данных Network Abuse Clearinghouse. Она содержит адреса, куда следует обращаться в случае атаки. Адреса упорядочены по именам доменов.

-c country-code Это эквивалентно использованию опции -h с аргументом "country-code.whois-servers.net".

-d использовать базу данных министерства обороны США. Она содержит записи для субдоменов .MIL.

-g использовать базу данных федерального правительства США, которая содержит записи для субдоменов .GOV.

-h host Используется данная машина вместо варианта по умолчанию. Может называться имя или IP-адрес машины.

По умолчанию утилита whois формирует имя сервера whois, применяя сервер домена верхнего уровня (TLD — top-level domain), переданного в качестве аргумента, добавив ".whois-servers.net".

В случае, когда специфицирован IP-адрес, сервер whois будет использовать по умолчанию ARIN (American Registry for Internet Numbers). Если запрос к ARIN ссылается на APNIC, LACNIC или RIPE, этот сервер будет также запрошен (предполагается, что опция -Q отсутствует).

-I Использовать базу данных whois.networksolutions.com (Network Solutions Registry for Internet Numbers). Она содержит записи и контактную информацию для большинства доменов .COM, .NET, .ORG и .EDU.

-I Использовать базу данных IANA (Internet Assigned Numbers Authority). Она содержит записи о сетях доменов верхнего уровня.

-I Использовать базу данных LACNIC (Latin American and Caribbean IP address Regional Registry). Она содержит записи для сетей Латинской Америки и Карибского бассейна.

-m Использовать базу данных RADB (Route Arbiter Database). Она содержит информацию о маршрутной политике для большого числа сетевых операторов.

-p port Соединиться с сервером whois через port. Если эта опция не специфицирована, будет использован номер порта 43.

-Q Выполнить быстрый поиск. Это означает, что утилита whois не будет пытаться найти имя на официальном сервере whois. Эта опция не работает, если применяется в комбинации с любыми другими опциями.

-r Использовать базу данных RIPE (R’eseaux IP Europeens). Она содержит номера сетей и контактную информацию по Европе.

-R Использовать базу данных RIPN (Russia Network Information Center). Она содержит номера сетей и контактную информацию для субдомена .RU. В настоящее время эта опция исключена, и рекомендуется применять опцию -c с аргументом "RU".

-6 Использовать базу данных IPv6 Resource Center (6bone). Она содержит имена сетей и IPv6 адреса.

Примеры

Большинство типов данных, таких, как доменные имена и IP адреса, могут применяться в качестве аргументов для утилиты whois с любыми опциями.

Чтобы получить контактную информацию об администраторе, работающем в российском TLD домене "RU", следует использовать опцию –c, как это показано в ниже приведенном примере, где CONTACT-ID заменяется реальным контактным идентификатором.

whois -c RU CONTACT-ID

Следующий пример демонстрирует то, как можно получить данные об IPv6-адресе или имени машины, задействуя опцию -6, которая направляет запрос в 6bone.

whois -6 IPv6-IP-Address

Следует учитывать, что длина отклика в случае запроса WHOIS в несколько раз больше длительности запроса, и это может дать возможность для атак типа отказа обслуживания (DoS). Такая особенность является причиной того, что некоторые whois -серверы не откликаются, если запросы поступают слишком часто. По этой причине можно рекомендовать создавать свою базу данных для часто запрашиваемых имен и адресов.

Ниже представлен результат обращения к серверу WHOIS (RIPE) для IP-адреса 80.18.87.243, откуда была произведена успешная атака нашей рабочей станции в 2005 году.

% This is the Ripe-Mirror Whois server.
% Note: this output has been filtered.
% Information related to '80.18.87.240 - 80.18.87.255'
inetnum: 80.18.87.240 - 80.18.87.255
netname: TESESPA
descr: TESESPA
country: IT
admin-c: AB4030-RIPE
tech-c: AB4031-RIPE
status: ASSIGNED PA
mnt-by: INTERB-MNT
source: RIPE # Filtered

person: ANDREA BONALDO
address: TESE
address: VIA SEST. CASTELLO 2737
address: 30100 VENEZIA
address: Italy
phone: +39412728388
nic-hdl: AB4030-RIPE
source: RIPE # Filtered

person: ANDREA BONALDO
address: TESE
address: VIA SEST. CASTELLO 2737
address: 30100 VENEZIA
address: Italy
phone: +39412728388
nic-hdl: AB4031-RIPE
source: RIPE # Filtered

% Information related to '80.18.0.0/15AS3269'

route: 80.18.0.0/15
descr: INTERBUSINESS
origin: AS3269
remarks: ************************************************
remarks: * Pay attention *
remarks: * Any communication sent to email different *
remarks: * from the following will be ignored! *
remarks: * Any abuse reports, please send them to *
remarks: * abuse@business.telecomitalia.it *
remarks: ************************************************
mnt-by: INTERB-MNT
source: RIPE # Filtered

Из этих данных видно, что атака была произведена из Италии (Венеция). Претензии можно послать по адресу abuse@business.telecomitalia.it. Следует заметить, что форматы данных для разных серверов отличаются.