Quien es whois
Bueno, pongámonos serios, sin que sirva de precedente. Hoy la inspiración para largar en el post me ha venido al leer una noticia.
Muchos lo conoceréis y lo utilizaréis con frecuencia pero para aquellos que lo desconozcáis, decir que existe en Internet un servicio denominado "whois" que nos permite obtener información sobre direcciones IP y nombres de dominio DNS, muy útil en caso de incidentes informáticos, intentos de penetración o spam. Claro está que este servicio se presta a sí mismo a ser utilizado por un potencial atacante con el fin de recabar información y de ese modo planear un ataque.
El protocolo "whois" viene definido por el RFC 3912 de la IETF y para acceder a un servidor "whois", se utiliza "Telnet" que tiene como función establecer una conexión TCP con el servidor al que se quiere acceder apuntando al puerto 43
[localhost@racanenado ~]$ telnet servidorwhois 43
Una vez estableciada la conexión es el momento de realizar la consulta. Existe un comando de ayuda "?"
[localhost@racanenado ~]$ telnet whois.arin.net 43
Trying 192.149.252.44...
Connected to whois.arin.net.
Escape character is '^]'.
?
El cual nos devuelve un texto explicativo de las peticiones que el servidor es capaz de procesar. El mensaje suele variar un poco dependiendo del servidor. Supongamos ahora que queremos saber algo más de, por ej., google, este sería el resultado:
[localhost@racanenado ~]$ telnet whois.crsnic.net 43
Trying 199.7.55.74...
Connected to whois.crsnic.net.
Escape character is '^]'.
domain google.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: GOOGLE.COM
Registrar: EMARKMONITOR INC. DBA MARKMONITOR
Whois Server: whois.markmonitor.com
Referral URL: http://www.markmonitor.com
Name Server: NS4.GOOGLE.COM
Name Server: NS3.GOOGLE.COM
Name Server: NS1.GOOGLE.COM
Name Server: NS2.GOOGLE.COM
Status: REGISTRAR-LOCK
EPP Status: clientUpdateProhibited
EPP Status: clientDeleteProhibited
EPP Status: clientTransferProhibited
Updated Date: 10-Apr-2006
Creation Date: 14-Sep-1997
Expiration Date: 13-Sep-2011
>>> Last update of whois database: Thu, 22 Jun 2006 07:33:03 EDT <<< style="font-weight: bold;">Accediendo al servicio
En este post se ha utilizado "telnet" ya que, en mi opinión, la utilización de "interfassess" dificulta la comprensión del proceso que se lleva a cabo...aunque si bien es cierto que existen diversas formas de acceder al servicio "whois" y en La Red hay numerosos websites que facilitan una interfaz con el fin de realizar peticiones a diversos servidores, esta es una de las mejores en mi opinión, ya que también ofrece otros servicios relacionados. Por otra parte en todos los sistemas operativos tipo UNIX se incluye la herramienta comúnmente denominada "whois" que resulta más entretenida :_)
Para otra ocasión dejo un post sobre otra herramienta similar y que me trae muchos recuerdos..."dig".
Más info., aquí, aquí y aquí.
Muchos lo conoceréis y lo utilizaréis con frecuencia pero para aquellos que lo desconozcáis, decir que existe en Internet un servicio denominado "whois" que nos permite obtener información sobre direcciones IP y nombres de dominio DNS, muy útil en caso de incidentes informáticos, intentos de penetración o spam. Claro está que este servicio se presta a sí mismo a ser utilizado por un potencial atacante con el fin de recabar información y de ese modo planear un ataque.
El protocolo "whois" viene definido por el RFC 3912 de la IETF y para acceder a un servidor "whois", se utiliza "Telnet" que tiene como función establecer una conexión TCP con el servidor al que se quiere acceder apuntando al puerto 43
[localhost@racanenado ~]$ telnet servidorwhois 43
Una vez estableciada la conexión es el momento de realizar la consulta. Existe un comando de ayuda "?"
[localhost@racanenado ~]$ telnet whois.arin.net 43
Trying 192.149.252.44...
Connected to whois.arin.net.
Escape character is '^]'.
?
El cual nos devuelve un texto explicativo de las peticiones que el servidor es capaz de procesar. El mensaje suele variar un poco dependiendo del servidor. Supongamos ahora que queremos saber algo más de, por ej., google, este sería el resultado:
[localhost@racanenado ~]$ telnet whois.crsnic.net 43
Trying 199.7.55.74...
Connected to whois.crsnic.net.
Escape character is '^]'.
domain google.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: GOOGLE.COM
Registrar: EMARKMONITOR INC. DBA MARKMONITOR
Whois Server: whois.markmonitor.com
Referral URL: http://www.markmonitor.com
Name Server: NS4.GOOGLE.COM
Name Server: NS3.GOOGLE.COM
Name Server: NS1.GOOGLE.COM
Name Server: NS2.GOOGLE.COM
Status: REGISTRAR-LOCK
EPP Status: clientUpdateProhibited
EPP Status: clientDeleteProhibited
EPP Status: clientTransferProhibited
Updated Date: 10-Apr-2006
Creation Date: 14-Sep-1997
Expiration Date: 13-Sep-2011
>>> Last update of whois database: Thu, 22 Jun 2006 07:33:03 EDT <<< style="font-weight: bold;">Accediendo al servicio
En este post se ha utilizado "telnet" ya que, en mi opinión, la utilización de "interfassess" dificulta la comprensión del proceso que se lleva a cabo...aunque si bien es cierto que existen diversas formas de acceder al servicio "whois" y en La Red hay numerosos websites que facilitan una interfaz con el fin de realizar peticiones a diversos servidores, esta es una de las mejores en mi opinión, ya que también ofrece otros servicios relacionados. Por otra parte en todos los sistemas operativos tipo UNIX se incluye la herramienta comúnmente denominada "whois" que resulta más entretenida :_)
Para otra ocasión dejo un post sobre otra herramienta similar y que me trae muchos recuerdos..."dig".
Más info., aquí, aquí y aquí.
<< Home