《网络攻防技术（第2版）》 —2.2.3　利用WhoIs服务

2.2.3　利用WhoIs服务

WhoIs是一种基础的Internet服务，主要用来帮助Internet的使用者查询已注册域名。目前，Internet的域名基本属于一种分散的管理方式。注册域名如同注册一家商业公司一样，必须避免与其他公司发生重名。因此，在正式申请自己的域名之前，一般都会使用WhoIs查询一下，看看想要申请的域名是不是已经被他人注册了。

上述是WhoIs最常见的使用目的，网络攻击者也经常使用WhoIs来了解目标网络的一些信息。与Web及USENET不同的是，从WhoIs得到的内容相对固定。WhoIs服务返回的具体信息包括域名登记人、相关管理人员的联系方式、域名注册时间及更新时间、权威DNS（Domain Name System，域名系统）服务器的IP地址等。下面是通过www.whois.net查询到的关于371.net域名的信息。

Domain Name: 371.NET

Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.

Sponsoring Registrar IANA ID: 420

Whois Server: grs-whois.hichina.com

Referral URL: http://www.net.cn

Name Server: DNS10.SHANGDU.COM

Name Server: DNS20.SHANGDU.COM

Status: ok https://icann.org/epp#ok

Updated Date: 14-may-2016

Creation Date: 06-jul-1998

Expiration Date: 05-jul-2018

从WhoIs服务器获得的DNS服务器信息可以为进一步渗透或攻击提供基础，而注册的电话、联系人等信息也可以为社会工程学提供支撑。

查询WhoIs信息的方式主要有两种：

1）利用提供域名查询服务的主页，如www.whois.net。

2）使用一些带有WhoIs查询功能的网络实用工具，如SamSpade、whois等。