Wyszukiwanie WHOIS wyjaśnione: Kompletny przewodnik techniczny na 2025 rok

Wyszukiwanie WHOIS to protokół zapytań i odpowiedzi używany do pobierania danych rejestracyjnych powiązanych z nazwą domeny, adresem IP lub numerem systemu autonomicznego (ASN) z publicznie dostępnej bazy danych. Wynik zawiera tożsamość rejestrującego, kontakty administracyjne, daty rejestracji i wygaśnięcia, serwery nazw oraz rejestratora — wszystkie te informacje są kluczowe dla zarządzania domenami, badania nadużyć i diagnostyki sieci.

Dla każdego administratora systemu, badacza bezpieczeństwa lub właściciela domeny WHOIS to nie tylko narzędzie do wyszukiwania — jest to fundamentalna warstwa infrastruktury przejrzystości internetu. Zrozumienie, jak działa na poziomie protokołu, jakie dane ujawnia (i dlaczego część z nich jest teraz redagowana) oraz jak efektywnie z niego korzystać w różnych środowiskach, to niezbędna wiedza dla każdego zarządzającego zasobami dostępnymi z internetu.

Jakie informacje zwraca wyszukiwanie WHOIS?

Dane zwracane przez zapytanie WHOIS różnią się w zależności od rejestru, TLD (domeny najwyższego poziomu) i polityki prywatności rejestratora. W pełnym, nieredagowanym rekordzie można spodziewać się następujących pól:

Informacje o rejestrującym

• Pełna nazwa prawna lub nazwa organizacji
• Fizyczny adres pocztowy
• Adres e-mail i numer telefonu
• Kraj rejestracji

Kontakty administracyjne i techniczne

• Oddzielne rekordy kontaktowe dla ról administracyjnych i technicznych
• Są one używane do autoryzacji transferu domeny, weryfikacji zmian DNS i eskalacji nadużyć

Szczegóły rejestracji domeny

• Data utworzenia: Oryginalny znacznik czasu rejestracji (UTC)
• Data aktualizacji: Ostatnia modyfikacja rekordu
• Data wygaśnięcia: Data, w której domena wygasa, jeśli nie zostanie odnowiona — kluczowa dla strategii przechwytywania domen

Rekordy serwerów nazw

• Autorytatywne serwery DNS dla domeny
• Dane serwerów nazw nigdy nie są redagowane, nawet w ramach GDPR, ponieważ są operacyjnie niezbędne

Informacje o rejestratorze

• Akredytowany przez ICANN rejestrator zarządzający domeną (np. GoDaddy, Namecheap, Tucows)
• Identyfikator rejestratora IANA do wzajemnych odniesień

Kody statusu domeny

• Kody statusu EPP, takie jak `clientTransferProhibited`, `serverHold` lub `pendingDelete` — są one często pomijane, ale mają istotne znaczenie operacyjne

Jak działa protokół WHOIS: od środka

WHOIS działa przez port TCP 43 przy użyciu prostego modelu żądanie-odpowiedź w postaci zwykłego tekstu, zdefiniowanego w RFC 3912. Poprzedza nowoczesną sieć i pozostaje jednym z najstarszych aktywnych protokołów internetowych wciąż powszechnie używanych.

Oto pełny cykl życia zapytania:

1. Klient inicjuje połączenie TCP z serwerem WHOIS na porcie 43
2. Klient przesyła ciąg zapytania (np. `example.comrn`) w postaci zwykłego tekstu
3. Serwer WHOIS wykonuje wyszukiwanie w bazie danych na podstawie danych rejestru
4. Serwer zwraca rekord jako strumień zwykłego tekstu i zamyka połączenie

W przypadku ogólnych TLD (gTLD), takich jak `.com` i `.net`, zapytanie trafia najpierw do cienkiego serwera WHOIS firmy Verisign, który zwraca tylko dane rejestratora i serwera nazw. Drugie zapytanie jest następnie kierowane do własnego grubego serwera WHOIS rejestratora w celu pobrania pełnego rekordu rejestrującego. Ta dwupoziomowa architektura jest powodem, dla którego niektóre narzędzia wyświetlają częściowe dane, chyba że automatycznie wykonują oba wyszukiwania.

W przypadku krajowych TLD (ccTLD), takich jak `.de`, `.uk` lub `.fr`, sam rejestr często obsługuje gruby serwer WHOIS z własnym schematem i polityką dostępu.

WHOIS a RDAP: nowoczesny następca

Registration Data Access Protocol (RDAP) to standaryzowany przez IETF zamiennik WHOIS, zdefiniowany w RFC 7480–7484. W przeciwieństwie do WHOIS, RDAP zwraca ustrukturyzowane odpowiedzi JSON, obsługuje uwierzytelnianie dla dostępu warstwowego i natywnie obsługuje międzynarodowe nazwy domen (IDN).

ICANN nakazał obsługę RDAP dla wszystkich rejestrów i rejestratorów gTLD od sierpnia 2019 r. Jednak WHOIS nadal działa równolegle i jest wciąż dominującą metodą używaną przez narzędzia wiersza poleceń i systemy legacy. W przypadku nowych narzędzi RDAP powinien być preferowanym protokołem.

Rodzaje wyszukiwań WHOIS

Wyszukiwanie WHOIS dla domeny

Najczęstszy typ. Wysyła zapytania do baz danych rejestru i rejestratora dla konkretnej domeny drugiego poziomu (np. `alexhost.com`). Zwraca pełny rekord rejestracyjny opisany powyżej.

Wyszukiwanie WHOIS dla adresu IP

Wysyła zapytania do baz danych Regionalnych Rejestrów Internetowych (RIR) — ARIN (Ameryka Północna), RIPE NCC (Europa/Bliski Wschód), APNIC (Azja i Pacyfik), LACNIC (Ameryka Łacińska) lub AFRINIC (Afryka) — w celu identyfikacji organizacji posiadającej określony blok IP. Jest to niezbędne do zgłaszania nadużyć, walidacji geolokalizacji i rozwiązywania problemów z BGP.

Wyszukiwanie WHOIS dla ASN

Numer systemu autonomicznego (ASN) identyfikuje zbiór prefiksów routingu IP w ramach jednej domeny administracyjnej. Zapytanie o ASN ujawnia operatora sieci, jego politykę routingu i zakresy IP, które ogłasza. Jest to używane w analizie BGP, decyzjach dotyczących peeringu i przypisywaniu źródeł DDoS.

Odwrotne wyszukiwanie WHOIS

Rzadziej omawiana, ale bardzo wartościowa technika: zamiast wyszukiwać według domeny lub IP, wyszukujesz według nazwy rejestrującego, adresu e-mail lub organizacji. Zwraca to wszystkie domeny zarejestrowane przez dany podmiot — przydatne do ochrony marki, badania oszustw i analizy konkurencji. Narzędzia takie jak DomainTools i ViewDNS.info to obsługują. Standardowe serwery WHOIS nie.

Jak wykonać wyszukiwanie WHOIS: wszystkie metody

Metoda 1: Interfejs wiersza poleceń (zalecany dla administratorów systemów)

Polecenie `whois` jest dostępne natywnie w Linux i macOS. W środowisku Hostingu VPS działającym na Debianie lub Ubuntu pakiet może wymagać instalacji:

“`bash

sudo apt install whois -y

“`

Podstawowe wyszukiwanie domeny:

“`bash

whois example.com

“`

Zapytanie do konkretnego serwera WHOIS bezpośrednio (przydatne, gdy domyślny serwer zwraca cienkie dane):

“`bash

whois -h whois.verisign-grs.com example.com

“`

Wyszukiwanie adresu IP:

“`bash

whois 93.184.216.34

“`

Wyszukiwanie ASN:

“`bash

whois AS15169

“`

W systemie Windows natywne narzędzie `whois.exe` z Microsoft Sysinternals jest najlepszą opcją:

“`powershell

whois.exe example.com

“`

Wskazówka dla administratorów systemów: Podczas tworzenia skryptów do masowych wyszukiwań WHOIS zawsze stosuj ograniczanie liczby żądań (minimum 1–2 sekundy między zapytaniami). Większość serwerów WHOIS egzekwuje twarde limity i tymczasowo zablokuje Twój IP za agresywne zapytania. W przypadku wyszukiwań o dużym wolumenie RDAP z właściwymi nagłówkami buforowania HTTP jest lepszym wyborem architektonicznym.

Metoda 2: Internetowe narzędzia WHOIS

Do jednorazowych wyszukiwań bez dostępu do terminala istnieje kilka autorytatywnych narzędzi internetowych:

• ICANN Lookup (`lookup.icann.org`) — kanoniczne źródło; wysyła zapytania zarówno do WHOIS, jak i RDAP
• ARIN WHOIS (`search.arin.net`) — dane IP i ASN dla Ameryki Północnej
• Baza danych RIPE NCC (`apps.db.ripe.net`) — zasoby IP dla Europy i Bliskiego Wschodu
• DomainTools — komercyjna platforma z odwrotnym WHOIS, historycznymi rekordami i monitorowaniem
• MXToolbox — przydatne do łączenia WHOIS z wyszukiwaniami DNS i list blokowania w jednym przepływie pracy

Metoda 3: Integracja WHOIS z cPanel

Jeśli zarządzasz domenami przez panel sterowania, większość integracji z rejestratorami udostępnia dane WHOIS bezpośrednio. Na VPS z cPanel interfejs WHM zapewnia narzędzia do wyszukiwania domen w sekcji Funkcje DNS, umożliwiając administratorom sprawdzanie delegacji serwerów nazw i statusu rejestracji bez opuszczania panelu.

Metoda 4: Programowy dostęp przez API

Do zautomatyzowanych potoków monitorowania dostępnych jest kilka API RDAP i WHOIS:

“`python

import requests

domain = "example.com"

response = requests.get(f"https://rdap.org/domain/{domain}")

data = response.json()

print(data["ldhName"]) # Domain name

print(data["events"]) # Creation, expiration, last changed

print(data["nameservers"]) # Authoritative nameservers

“`

Usługa bootstrap `rdap.org` automatycznie kieruje zapytanie do właściwego punktu końcowego RDAP rejestru, eliminując potrzebę kodowania na stałe adresów serwerów.

Interpretacja kodów statusu EPP: czego większość poradników pomija

Kody statusu Extensible Provisioning Protocol (EPP) w rekordzie WHOIS są często źle rozumiane. Bezpośrednio wpływają na to, jakie operacje można wykonać na domenie:

Domena wykazująca tylko status `ok` bez blokad transferu stanowi zagrożenie bezpieczeństwa — zainicjowanie nieautoryzowanego transferu jest wyjątkowo łatwe. Zawsze upewnij się, że `clientTransferProhibited` jest ustawiony na domenach produkcyjnych.

Prywatność danych WHOIS, GDPR i framework SSAD

Ogólne rozporządzenie o ochronie danych (GDPR), obowiązujące od maja 2018 r., fundamentalnie zmieniło publiczną dostępność danych WHOIS dla rejestrujących w Europejskim Obszarze Gospodarczym. Wpływ jest globalny, ponieważ większość głównych rejestratorów zastosowała polityki redakcji powszechnie, a nie na podstawie geograficznej przynależności każdego rejestrującego.

Co się zmieniło:

• Osobiste dane rejestrującego (imię i nazwisko, e-mail, telefon, adres) są zastępowane przez `REDACTED FOR PRIVACY` lub kierowane przez usługę proxy prywatności
• Adresy e-mail proxy dostarczane przez rejestratora (np. `abc123@proxy.registrar.com`) zastępują bezpośrednie adresy kontaktowe
• Dane serwerów nazw, tożsamość rejestratora i kody statusu EPP pozostają publicznie widoczne

Co nie zostało rozwiązane:

System Standardized Access/Disclosure (SSAD) ICANN został zaproponowany jako mechanizm umożliwiający zweryfikowanym podmiotom (organom ścigania, prawnikom ds. własności intelektualnej, badaczom cyberbezpieczeństwa) dostęp do niepublicznych danych WHOIS przez scentralizowaną bramę. Na rok 2025 wdrożenie SSAD pozostaje niekompletne, tworząc znaczącą lukę w przepływach pracy związanych z badaniem nadużyć. Zespoły ds. bezpieczeństwa często zgłaszają, że śledzenie infrastruktury phishingowej i kampanii spamowych jest znacznie trudniejsze po GDPR ze względu na brak funkcjonalnego mechanizmu ujawniania danych.

Praktyczna implikacja: Gdy napotkasz w pełni zredagowany rekord WHOIS, ścieżka eskalacji nadużyć prowadzi przez kontakt ds. nadużyć rejestratora (zawsze wymieniony, nigdy nie redagowany) lub przez system zgłaszania nadużyć rejestru. Rejestrator jest zobowiązany umownie na mocy polityki ICANN do przekazywania skarg dotyczących nadużyć rejestrującemu.

Dlaczego wyszukiwania WHOIS mają znaczenie: rzeczywiste przypadki użycia

Przejęcie domeny i due diligence

Przed zakupem domeny na rynku wtórnym wyszukiwanie WHOIS ujawnia datę wygaśnięcia, aktualnego rejestratora i status blokady transferu. Sprawdzenie historycznych rekordów WHOIS domeny (przez DomainTools lub Wayback Machine) może ujawnić wcześniejsze wykorzystanie do spamu lub dystrybucji złośliwego oprogramowania, co mogło skutkować umieszczeniem na czarnej liście.

Rozwiązywanie problemów z DNS

Gdy domena nie rozwiązuje się poprawnie, pola serwerów nazw WHOIS są pierwszym punktem diagnostycznym. Niezgodność między serwerami nazw wymienionymi w WHOIS a rzeczywistymi autorytatywnymi serwerami w łańcuchu delegacji DNS jest częstą przyczyną błędów rozwiązywania. Jest to szczególnie istotne podczas migracji hostingu między dostawcami — na przykład przeniesienie do środowiska Serwera Dedykowanego wymaga aktualizacji zarówno rekordów serwerów nazw rejestratora, jak i konfiguracji strefy DNS.

Walidacja wystawiania certyfikatów SSL

Urzędy certyfikacji przeprowadzające kontrole walidacji domeny (DV) mogą krzyżowo sprawdzać dane WHOIS. Jeśli Twoja domena ma włączoną ochronę prywatności, upewnij się, że usługa proxy rejestratora poprawnie przekazuje e-maile walidacyjne. Błędy konfiguracji są częstą przyczyną nieudanego wystawiania certyfikatów SSL, szczególnie dla certyfikatów wildcard i wielodomenowych.

Badanie phishingu i nadużyć

Zespoły ds. operacji bezpieczeństwa używają WHOIS do korelowania złośliwych domen ze znanymi podmiotami zagrożeń. Wspólne adresy e-mail rejestrujących, wzorce serwerów nazw i klastry czasowe rejestracji są wskaźnikami skoordynowanej infrastruktury. Nawet przy redakcji GDPR dane serwerów nazw i rejestratora często zapewniają wystarczające punkty obrotu.

Ochrona marki i egzekwowanie znaków towarowych

Zespoły prawne używają WHOIS do identyfikacji cybersquatterów i składania skarg UDRP (Uniform Domain-Name Dispute-Resolution Policy) do ICANN. Adres kontaktowy proxy rejestrującego jest wystarczający do wszczęcia formalnych postępowań.

Monitorowanie domen konkurencji

Śledzenie, kiedy domeny konkurentów są rejestrowane, odnawiane lub przenoszone, może ujawniać sygnały strategiczne. Domena przenoszona do nowego rejestratora lub dostawcy serwerów nazw może wskazywać na migrację platformy lub zmianę infrastruktury.

Przykładowy wynik WHOIS: z adnotacjami

Poniżej przedstawiono reprezentatywny rekord WHOIS z adnotacjami wyjaśniającymi znaczenie każdego pola:

“`

Domain Name: EXAMPLE.COM

Registry Domain ID: 2336799_DOMAIN_COM-VRSN ← Verisign registry ID

Registrar WHOIS Server: whois.registrar.com

Registrar URL: https://www.registrar.com

Updated Date: 2024-08-15T10:22:00Z ← Last record modification

Creation Date: 2000-01-01T00:00:00Z ← Original registration

Registry Expiry Date: 2026-01-01T00:00:00Z ← Renewal deadline

Registrar: Example Registrar, Inc.

Registrar IANA ID: 1234

Registrar Abuse Contact Email: abuse@registrar.com ← Always public

Registrar Abuse Contact Phone: +1.8005551234

Domain Status: clientDeleteProhibited ← Transfer/delete locks

Domain Status: clientTransferProhibited

Domain Status: clientUpdateProhibited

Name Server: NS1.EXAMPLEHOST.COM ← Authoritative DNS

Name Server: NS2.EXAMPLEHOST.COM

DNSSEC: unsigned ← No DNSSEC — potential risk

“`

Pole `DNSSEC: unsigned` warto podkreślić. Domena bez DNSSEC jest podatna na ataki zatruwania pamięci podręcznej DNS. Dla każdej domeny obsługującej transakcje finansowe lub wrażliwe dane użytkowników podpisywanie DNSSEC powinno być uznane za obowiązkowe.

WHOIS do walidacji infrastruktury e-mail

Rzadziej omawianym zastosowaniem WHOIS jest walidacja legalności domen wysyłających w przepływach pracy bezpieczeństwa poczty e-mail. Podczas konfigurowania Hostingu poczty e-mail lub analizowania poczty przychodzącej, krzyżowe sprawdzanie wieku rejestracji WHOIS domeny wysyłającej z jej wolumenem poczty e-mail może oznaczać nowo zarejestrowane domeny (mniej niż 30 dni) o nieproporcjonalnie dużej aktywności — silny wskaźnik infrastruktury spamowej lub phishingowej.

Agenci transferu poczty i platformy antyspamowe coraz częściej włączają dane o wieku WHOIS do swoich modeli oceniania obok walidacji SPF, DKIM i DMARC.

Macierz decyzji technicznych: wybór metody WHOIS

Praktyczna lista kontrolna: najlepsze praktyki WHOIS dla właścicieli domen

• Włącz blokadę transferu rejestratora (`clientTransferProhibited`) na wszystkich domenach produkcyjnych natychmiast po rejestracji
• Ustaw ochronę prywatności WHOIS, aby zapobiec ujawnieniu danych osobowych, ale sprawdź, czy usługa proxy rejestratora poprawnie przekazuje e-maile dotyczące nadużyć i walidacji
• Monitoruj daty wygaśnięcia za pomocą automatycznych alertów — większość rejestratorów to oferuje, ale dodatkowe narzędzie monitorujące zapewnia redundancję
• Weryfikuj dokładność serwerów nazw w WHOIS po każdej migracji DNS; propagacja może trwać do 48 godzin, ale rekord WHOIS powinien zaktualizować się w ciągu kilku minut
• Sprawdź status DNSSEC i włącz podpisywanie, jeśli Twój rejestrator i dostawca DNS to obsługują
• Regularnie przeglądaj kody statusu EPP — nieoczekiwane zmiany statusu mogą wskazywać na nieautoryzowany dostęp do konta
• W przypadku domen zarejestrowanych przez usługi Rejestracji domen potwierdź, że kontakt ds. nadużyć rejestratora jest responsywny, zanim dojdzie do incydentu
• Krzyżowo sprawdź rekord WHOIS swojej domeny z bazami danych czarnych list po każdym incydencie bezpieczeństwa, aby ocenić wpływ na reputację

FAQ

Jaka jest różnica między cienkim a grubym rekordem WHOIS?

Cienki rekord WHOIS, zwracany przez rejestr (np. Verisign dla `.com`), zawiera tylko nazwę rejestratora, serwery nazw i kody statusu. Gruby rekord WHOIS, zwracany przez własny serwer WHOIS rejestratora, zawiera pełne dane kontaktowe rejestrującego. Większość narzędzi wyszukiwania wykonuje oba zapytania automatycznie, ale bezpośrednie zapytanie do serwera rejestru zwróci tylko cienkie dane.

Dlaczego wyszukiwanie WHOIS pokazuje „REDACTED FOR PRIVACY” zamiast danych kontaktowych?

Po GDPR większość rejestratorów na całym świecie domyślnie lub jako usługę opt-in stosuje redakcję prywatności do osobistych danych rejestrujących. Kontakt ds. nadużyć rejestratora pozostaje widoczny. Aby skontaktować się z właścicielem domeny, użyj adresu e-mail proxy lub formularza kontaktowego podanego w rekordzie.

Czy dane WHOIS mogą być używane jako dowód prawny własności domeny?

Rekordy WHOIS same w sobie nie są prawnie autorytatywnym dowodem własności — odzwierciedlają dane rejestracyjne, a nie tytuł własności. W postępowaniach UDRP i sprawach sądowych rekordy WHOIS są używane jako dowody pomocnicze obok danych konta rejestratora, które są autorytatywnym źródłem. Dane konta rejestratora wymagają formalnego wniosku prawnego do uzyskania.

Jak często dane WHOIS są aktualizowane po zmianie?

Bazy danych WHOIS rejestratorów zazwyczaj odzwierciedlają zmiany w ciągu kilku minut do kilku godzin od modyfikacji. Dane na poziomie rejestru (serwery nazw, kody statusu) propagują się do serwera WHOIS rejestru w ciągu kilku minut. Jednak zewnętrzne agregatory WHOIS i proxy buforujące mogą serwować nieaktualne dane przez 24–48 godzin.

Co oznacza status „pendingDelete” i czy domenę można jeszcze odzyskać?

`pendingDelete` oznacza, że domena przeszła przez okres karencji wygaśnięcia i okres przywracania i jest w kolejce do usunięcia przez rejestr. W przypadku domen `.com` i `.net` ta faza trwa około 5 dni. W tym okresie pierwotny rejestrujący nie może odzyskać domeny — może ją zarejestrować tylko dowolna osoba po jej zwolnieniu. Status `redemptionPeriod`, który poprzedza `pendingDelete`, jest ostatnim oknem do odzyskania, zazwyczaj za znaczną dodatkową opłatą pobieraną przez rejestratora.