Открыть тикет 
+373 79 600002 
Телеграм-чат в реальном времени 
Часто задаваемые вопросы 
Русский
English 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
ДоменыWHOIS Lookup Объяснение: Полное Техническое Руководство на 2025 год
Протокол WHOIS lookup — это протокол запроса и ответа, используемый для получения регистрационных данных, связанных с доменным именем, IP-адресом или номером автономной системы (ASN), из общедоступной базы данных. Результат включает данные о регистранте, административные контакты, даты регистрации и истечения срока действия, серверы имён и регистратора — всё это критически важно для управления доменами, расследования злоупотреблений и сетевой диагностики.
Для любого системного администратора, исследователя безопасности или владельца домена WHOIS — это не просто инструмент поиска, а фундаментальный уровень инфраструктуры прозрачности интернета. Понимание того, как он работает на уровне протокола, какие данные раскрывает (и почему часть из них теперь скрыта), и как эффективно использовать его в различных средах — это необходимые знания для всех, кто управляет интернет-ресурсами.
Какую информацию возвращает WHOIS lookup?
Данные, возвращаемые запросом WHOIS, варьируются в зависимости от реестра, TLD (домена верхнего уровня) и политики конфиденциальности регистратора. В полностью нередактированной записи можно ожидать следующие поля:
Информация о регистранте
- Полное юридическое имя или название организации
- Почтовый адрес
- Адрес электронной почты и номер телефона
- Страна регистрации
Административные и технические контакты
- Отдельные контактные записи для административных и технических ролей
- Используются для авторизации передачи домена, проверки изменений DNS и эскалации злоупотреблений
Сведения о регистрации домена
- Дата создания: Исходная метка времени регистрации (UTC)
- Дата обновления: Последнее изменение записи
- Дата истечения срока действия: Дата, когда домен истекает, если не продлён — критически важно для стратегий перехвата доменов
Записи серверов имён
- Авторитетные DNS-серверы для домена
- Данные серверов имён никогда не редактируются, даже в соответствии с GDPR, поскольку они операционно необходимы
Информация о регистраторе
- Аккредитованный ICANN регистратор, управляющий доменом (например, GoDaddy, Namecheap, Tucows)
- Идентификатор регистратора IANA для перекрёстной ссылки
Коды статуса домена
- EPP-коды статуса, такие как `clientTransferProhibited`, `serverHold` или `pendingDelete` — они часто упускаются из виду, но имеют важное операционное значение
Как работает протокол WHOIS: под капотом
WHOIS работает через TCP-порт 43, используя простую модель запроса-ответа в открытом тексте, определённую в RFC 3912. Он предшествует современному вебу и остаётся одним из старейших активных интернет-протоколов, всё ещё широко используемых.
Вот полный жизненный цикл запроса:
- Клиент инициирует TCP-соединение с WHOIS-сервером на порту 43
- Клиент передаёт строку запроса (например, `example.comrn`) в открытом тексте
- WHOIS-сервер выполняет поиск в базе данных по данным реестра
- Сервер возвращает запись в виде потока открытого текста и закрывает соединение
Для общих TLD (gTLD), таких как `.com` и `.net`, запрос сначала попадает на тонкий WHOIS-сервер Verisign, который возвращает только данные регистратора и серверов имён. Затем второй запрос направляется на собственный толстый WHOIS-сервер регистратора для получения полной записи регистранта. Эта двухуровневая архитектура объясняет, почему некоторые инструменты показывают неполные данные, если не выполняют оба запроса автоматически.
Для национальных доменов верхнего уровня (ccTLD), таких как `.de`, `.uk` или `.fr`, реестр сам часто управляет толстым WHOIS-сервером с собственной схемой и политиками доступа.
WHOIS против RDAP: современный преемник
Протокол доступа к регистрационным данным (RDAP) — это стандартизированная IETF замена WHOIS, определённая в RFC 7480–7484. В отличие от WHOIS, RDAP возвращает структурированные JSON-ответы, поддерживает аутентификацию для многоуровневого доступа и нативно обрабатывает интернационализированные доменные имена (IDN).
| Функция | WHOIS (RFC 3912) | RDAP (RFC 7480+) |
|---|
| — | — | — |
|---|
| Формат ответа | Неструктурированный открытый текст | Структурированный JSON |
|---|
| Поддержка аутентификации | Отсутствует | Да (многоуровневый доступ) |
|---|
| Интернационализированные имена | Слабая/непоследовательная | Полная поддержка Unicode |
|---|
| Транспорт HTTPS | Нет (TCP-порт 43) | Да (HTTPS) |
|---|
| Стандартизированные имена полей | Нет (варьируется в зависимости от реестра) | Да (определены IANA) |
|---|
| Контроль доступа с учётом GDPR | Нет | Да |
|---|
| Автоматическое обнаружение | Ручное | Автоматическое через IANA |
|---|
| Заголовки ограничения частоты запросов | Нет | Да |
|---|
ICANN обязал все реестры и регистраторов gTLD поддерживать RDAP с августа 2019 года. Однако WHOIS продолжает работать параллельно и по-прежнему является доминирующим методом, используемым инструментами командной строки и устаревшими системами. Для нового инструментария предпочтительным протоколом должен быть RDAP.
Типы WHOIS lookup
WHOIS lookup домена
Наиболее распространённый тип. Запрашивает базы данных реестра и регистратора для конкретного домена второго уровня (например, `alexhost.com`). Возвращает полную регистрационную запись, как описано выше.
WHOIS lookup IP-адреса
Запрашивает базы данных региональных интернет-реестров (RIR) — ARIN (Северная Америка), RIPE NCC (Европа/Ближний Восток), APNIC (Азиатско-Тихоокеанский регион), LACNIC (Латинская Америка) или AFRINIC (Африка) — для идентификации организации, владеющей определённым блоком IP-адресов. Это незаменимо для сообщений о злоупотреблениях, проверки геолокации и устранения неполадок BGP.
WHOIS lookup ASN
Номер автономной системы (ASN) идентифицирует совокупность IP-префиксов маршрутизации под единым административным управлением. Запрос ASN раскрывает оператора сети, его политику маршрутизации и объявляемые диапазоны IP-адресов. Используется при анализе BGP, принятии решений о пиринге и атрибуции источников DDoS.
Обратный WHOIS lookup
Менее распространённая, но весьма ценная техника: вместо запроса по домену или IP вы запрашиваете по имени регистранта, адресу электронной почты или организации. Это возвращает все домены, зарегистрированные на данное лицо — мощный инструмент для защиты бренда, расследования мошенничества и конкурентной разведки. Такие инструменты, как DomainTools и ViewDNS.info, поддерживают это. Стандартные WHOIS-серверы — нет.
Как выполнить WHOIS lookup: все методы
Метод 1: Интерфейс командной строки (рекомендуется для системных администраторов)
Команда `whois` доступна нативно в Linux и macOS. В среде VPS Hosting под управлением Debian или Ubuntu пакет может потребовать установки:
“`bash
sudo apt install whois -y
“`
Базовый поиск домена:
“`bash
whois example.com
“`
Запрос к конкретному WHOIS-серверу напрямую (полезно, когда сервер по умолчанию возвращает тонкие данные):
“`bash
whois -h whois.verisign-grs.com example.com
“`
Поиск IP-адреса:
“`bash
whois 93.184.216.34
“`
Поиск ASN:
“`bash
whois AS15169
“`
В Windows нативный `whois.exe` из Microsoft Sysinternals является наиболее удобным вариантом:
“`powershell
whois.exe example.com
“`
Совет для системных администраторов: При написании скриптов для массовых WHOIS-запросов всегда реализуйте ограничение частоты запросов (минимум 1–2 секунды между запросами). Большинство WHOIS-серверов применяют жёсткие ограничения и временно заблокируют ваш IP при агрессивных запросах. Для запросов большого объёма RDAP с правильными заголовками HTTP-кэширования является лучшим архитектурным решением.
Метод 2: Онлайн-инструменты WHOIS
Для разовых запросов без доступа к терминалу существует несколько авторитетных веб-инструментов:
- ICANN Lookup (`lookup.icann.org`) — канонический источник; запрашивает как WHOIS, так и RDAP
- ARIN WHOIS (`search.arin.net`) — для данных IP и ASN Северной Америки
- База данных RIPE NCC (`apps.db.ripe.net`) — для IP-ресурсов Европы и Ближнего Востока
- DomainTools — коммерческая платформа с обратным WHOIS, историческими записями и мониторингом
- MXToolbox — удобен для объединения WHOIS с DNS и проверками чёрных списков в едином рабочем процессе
Метод 3: Интеграция WHOIS в cPanel
Если вы управляете доменами через панель управления, большинство интеграций с регистраторами отображают данные WHOIS напрямую. На VPS с cPanel интерфейс WHM предоставляет утилиты поиска доменов в разделе DNS Functions, позволяя администраторам проверять делегирование серверов имён и статус регистрации, не покидая панель.
Метод 4: Программный доступ через API
Для автоматизированных конвейеров мониторинга доступны несколько RDAP и WHOIS API:
“`python
import requests
domain = "example.com"
response = requests.get(f"https://rdap.org/domain/{domain}")
data = response.json()
print(data["ldhName"]) # Domain name
print(data["events"]) # Creation, expiration, last changed
print(data["nameservers"]) # Authoritative nameservers
“`
Сервис начальной загрузки `rdap.org` автоматически направляет ваш запрос к правильной конечной точке RDAP реестра, устраняя необходимость жёстко задавать адреса серверов.
Интерпретация EPP-кодов статуса: что пропускает большинство руководств
EPP-коды статуса Extensible Provisioning Protocol (EPP) в записи WHOIS часто неправильно понимаются. Они напрямую влияют на то, какие операции можно выполнять с доменом:
| EPP-код статуса | Значение | Операционное воздействие |
|---|
| — | — | — |
|---|
| `clientTransferProhibited` | Регистратор заблокировал домен от передачи | Не может быть передан другому регистратору без разблокировки |
|---|
| `clientDeleteProhibited` | Домен не может быть удалён на уровне регистратора | Защищает от случайного или злонамеренного удаления |
|---|
| `serverTransferProhibited` | Блокировка передачи на уровне реестра | Требует действий реестра для снятия; характерно для новых регистраций |
|---|
| `serverHold` | Домен приостановлен на уровне реестра | DNS не разрешается; часто из-за неоплаты или злоупотреблений |
|---|
| `pendingDelete` | Домен находится в очереди на удаление | Будет освобождён для публичной регистрации примерно через 5 дней (для gTLD) |
|---|
| `redemptionPeriod` | Домен истёк и вошёл в льготный период восстановления | Может быть восстановлен первоначальным регистрантом за повышенную плату |
|---|
| `ok` | Без ограничений; нормальное рабочее состояние | Все операции разрешены |
|---|
Домен, отображающий только статус `ok` без блокировок передачи, представляет угрозу безопасности — инициировать несанкционированную передачу крайне просто. Всегда убеждайтесь, что на рабочих доменах установлен `clientTransferProhibited`.
Конфиденциальность данных WHOIS, GDPR и система SSAD
Общий регламент по защите данных (GDPR), вступивший в силу в мае 2018 года, коренным образом изменил публичную доступность данных WHOIS для регистрантов из Европейской экономической зоны. Влияние распространилось глобально, поскольку большинство крупных регистраторов применили политику редактирования повсеместно, а не на основе географического положения каждого регистранта.
Что изменилось:
- Персональные данные регистранта (имя, электронная почта, телефон, адрес) заменяются на `REDACTED FOR PRIVACY` или направляются через службу прокси-защиты конфиденциальности
- Прокси-адреса электронной почты, предоставляемые регистратором (например, `abc123@proxy.registrar.com`), заменяют прямые контактные адреса
- Данные серверов имён, идентификатор регистратора и EPP-коды статуса остаются общедоступными
Что до сих пор не решено:
Система стандартизированного доступа/раскрытия (SSAD) ICANN была предложена как механизм, позволяющий проверенным сторонам (правоохранительным органам, юристам по интеллектуальной собственности, исследователям кибербезопасности) получать доступ к непубличным данным WHOIS через централизованный шлюз. По состоянию на 2025 год реализация SSAD остаётся незавершённой, что создаёт значительный пробел в рабочих процессах расследования злоупотреблений. Команды безопасности часто сообщают, что отслеживание фишинговой инфраструктуры и спам-кампаний существенно осложнилось после введения GDPR из-за отсутствия функционального механизма раскрытия информации.
Практическое следствие: Когда вы сталкиваетесь с полностью отредактированной записью WHOIS, путь эскалации для сообщения о злоупотреблениях проходит через контакт по злоупотреблениям регистратора (всегда указан, никогда не редактируется) или через систему сообщений о злоупотреблениях реестра. Регистратор по договору обязан в соответствии с политикой ICANN пересылать жалобы на злоупотребления регистранту.
Почему важны WHOIS lookup: реальные сценарии использования
Приобретение домена и комплексная проверка
Перед покупкой домена на вторичном рынке WHOIS lookup раскрывает дату истечения срока действия, текущего регистратора и статус блокировки передачи. Проверка исторических записей WHOIS домена (через DomainTools или Wayback Machine) может выявить предыдущее использование для рассылки спама или распространения вредоносного ПО, что могло привести к внесению в чёрные списки.
Устранение неполадок DNS
Когда домен не разрешается корректно, поля серверов имён в WHOIS являются первой диагностической контрольной точкой. Несоответствие между серверами имён, указанными в WHOIS, и фактическими авторитетными серверами в цепочке делегирования DNS является распространённой причиной сбоев разрешения. Это особенно актуально при миграции хостинга между провайдерами — например, переход на среду выделенного сервера требует обновления как записей серверов имён у регистратора, так и конфигурации DNS-зоны.
Проверка при выдаче SSL-сертификата
Центры сертификации, выполняющие проверку домена (DV), могут сверяться с данными WHOIS. Если для вашего домена включена защита конфиденциальности, убедитесь, что прокси-служба вашего регистратора корректно пересылает письма для проверки. Неправильные настройки здесь являются распространённой причиной неудачной выдачи SSL-сертификата, особенно для wildcard и многодоменных сертификатов.
Расследование фишинга и злоупотреблений
Команды по операциям безопасности используют WHOIS для корреляции вредоносных доменов с известными злоумышленниками. Общие адреса электронной почты регистрантов, шаблоны серверов имён и кластеры времени регистрации являются индикаторами скоординированной инфраструктуры. Даже при редактировании по GDPR данные серверов имён и регистратора часто предоставляют достаточные точки для дальнейшего анализа.
Защита бренда и применение товарных знаков
Юридические команды используют WHOIS для выявления киберсквоттеров и подачи жалоб UDRP (Единая политика разрешения споров о доменных именах) в ICANN. Прокси-контактный адрес регистранта достаточен для инициирования официального разбирательства.
Мониторинг конкурентных доменов
Отслеживание того, когда домены конкурентов регистрируются, продлеваются или передаются, может выявить стратегические сигналы. Переход домена к новому регистратору или провайдеру серверов имён может указывать на миграцию платформы или изменение инфраструктуры.
Пример вывода WHOIS: с аннотациями
Ниже приведена типичная запись WHOIS с аннотациями, объясняющими значение каждого поля:
“`
Domain Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN ← Verisign registry ID
Registrar WHOIS Server: whois.registrar.com
Registrar URL: https://www.registrar.com
Updated Date: 2024-08-15T10:22:00Z ← Last record modification
Creation Date: 2000-01-01T00:00:00Z ← Original registration
Registry Expiry Date: 2026-01-01T00:00:00Z ← Renewal deadline
Registrar: Example Registrar, Inc.
Registrar IANA ID: 1234
Registrar Abuse Contact Email: abuse@registrar.com ← Always public
Registrar Abuse Contact Phone: +1.8005551234
Domain Status: clientDeleteProhibited ← Transfer/delete locks
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: NS1.EXAMPLEHOST.COM ← Authoritative DNS
Name Server: NS2.EXAMPLEHOST.COM
DNSSEC: unsigned ← No DNSSEC — potential risk
“`
Поле `DNSSEC: unsigned` заслуживает особого внимания. Домен без DNSSEC уязвим для атак отравления кэша DNS. Для любого домена, обрабатывающего финансовые транзакции или конфиденциальные пользовательские данные, подпись DNSSEC следует считать обязательной.
WHOIS для проверки почтовой инфраструктуры
Менее обсуждаемое применение WHOIS — проверка легитимности отправляющих доменов в рабочих процессах безопасности электронной почты. При настройке Email Hosting или анализе входящей почты перекрёстная проверка возраста регистрации домена-отправителя по WHOIS относительно его объёма электронной почты может выявить недавно зарегистрированные домены (менее 30 дней назад) с непропорционально высокой активностью — это явный признак спамовой или фишинговой инфраструктуры.
Агенты передачи почты и антиспам-платформы всё активнее включают данные о возрасте WHOIS в свои модели оценки наряду с проверкой SPF, DKIM и DMARC.
Матрица технических решений: выбор метода WHOIS
| Сценарий | Рекомендуемый метод | Примечания |
|---|
| — | — | — |
|---|
| Разовая проверка домена | Веб-инструмент ICANN Lookup | Авторитетный источник; запрашивает как WHOIS, так и RDAP |
|---|
| Массовый аудит доменов | CLI `whois` с ограничением частоты запросов или RDAP API | Скрипт с интервалами ожидания; используйте RDAP для структурированного вывода |
|---|
| Автоматизированный конвейер мониторинга | RDAP JSON API | Структурированные данные; поддерживает HTTP-кэширование |
|---|
| Расследование злоупотреблений IP | Веб-интерфейс RIR (ARIN/RIPE) | Используйте правильный RIR для географического распределения IP |
|---|
| Исторические исследования регистрантов | DomainTools или SecurityTrails | Коммерческие; доступны исторические записи до GDPR |
|---|
| Среда панели управления | DNS Functions в cPanel или портал регистратора | Интегрировано; CLI не требуется |
|---|
| Анализ ASN и BGP | `whois AS[number]` или RIPE Stat | Сочетайте с BGP looking glass для полной картины |
|---|
Практический чеклист: лучшие практики WHOIS для владельцев доменов
- Включите блокировку передачи у регистратора (`clientTransferProhibited`) на всех рабочих доменах сразу после регистрации
- Установите защиту конфиденциальности WHOIS, чтобы предотвратить раскрытие персональных данных, но убедитесь, что прокси-служба вашего регистратора корректно пересылает письма о злоупотреблениях и проверке
- Отслеживайте даты истечения срока действия с помощью автоматических оповещений — большинство регистраторов предлагают это, но дополнительный инструмент мониторинга обеспечивает резервирование
- Проверяйте точность серверов имён в WHOIS после любой миграции DNS; распространение может занять до 48 часов, но запись WHOIS должна обновиться в течение нескольких минут
- Проверьте статус DNSSEC и включите подпись, если ваш регистратор и DNS-провайдер поддерживают это
- Периодически проверяйте EPP-коды статуса — неожиданные изменения статуса могут указывать на несанкционированный доступ к аккаунту
- Для доменов, зарегистрированных через сервисы регистрации доменов, убедитесь, что контакт по злоупотреблениям регистратора отвечает до возникновения инцидента
- Сверяйте запись WHOIS вашего домена с базами данных чёрных списков после любого инцидента безопасности для оценки репутационного ущерба
FAQ
В чём разница между тонкой и толстой записью WHOIS?
Тонкая запись WHOIS, возвращаемая реестром (например, Verisign для `.com`), содержит только имя регистратора, серверы имён и коды статуса. Толстая запись WHOIS, возвращаемая собственным WHOIS-сервером регистратора, включает полные контактные данные регистранта. Большинство инструментов поиска выполняют оба запроса автоматически, но прямой запрос к серверу реестра вернёт только тонкие данные.
Почему WHOIS lookup показывает «REDACTED FOR PRIVACY» вместо контактных данных?
После введения GDPR большинство регистраторов по всему миру применяют редактирование конфиденциальности к персональным данным регистрантов по умолчанию или в качестве дополнительной услуги. Контакт регистратора по злоупотреблениям остаётся видимым. Чтобы связаться с владельцем домена, используйте прокси-адрес электронной почты или контактную форму, указанную в записи.
Можно ли использовать данные WHOIS в качестве юридического доказательства права собственности на домен?
Записи WHOIS сами по себе не являются юридически авторитетным доказательством права собственности — они отражают регистрационные данные, а не право собственности. В разбирательствах UDRP и судебных делах записи WHOIS используются в качестве вспомогательных доказательств наряду с записями аккаунта регистратора, которые являются авторитетным источником. Данные аккаунта регистратора требуют официального юридического запроса для получения.
Как часто обновляются данные WHOIS после изменения?
Базы данных WHOIS регистраторов обычно отражают изменения в течение нескольких минут или нескольких часов после модификации. Данные на уровне реестра (серверы имён, коды статуса) распространяются на WHOIS-сервер реестра в течение нескольких минут. Однако сторонние агрегаторы WHOIS и кэширующие прокси могут предоставлять устаревшие данные в течение 24–48 часов.
Что означает статус «pendingDelete» и можно ли ещё восстановить домен?
`pendingDelete` означает, что домен прошёл льготный период после истечения срока действия и период восстановления и поставлен в очередь на удаление реестром. Для доменов `.com` и `.net` эта фаза длится примерно 5 дней. В течение этого периода первоначальный регистрант не может восстановить домен — он может быть зарегистрирован любым желающим после освобождения. Статус `redemptionPeriod`, предшествующий `pendingDelete`, является последним окном для восстановления, как правило, за значительную дополнительную плату, взимаемую регистратором.