Оглавление
1. Введение: зачем нужны WHOIS и DNS-запросы
2. Что такое WHOIS: история, принцип работы, ограничения
3. Что такое DNS: архитектура и типы записей
4. Как сделать WHOIS-запрос: онлайн-сервисы и командная строка
5. Как читать WHOIS-ответ: расшифровка всех полей
6. DNS-запросы: nslookup, dig и онлайн-инструменты
7. Как узнать владельца IP-адреса: WHOIS для IP и базы RIR
8. История WHOIS и DNS: как отследить изменения домена
9. Продвинутые техники: обратный DNS, Certificate Transparency, пассивный DNS
10. Приватность в WHOIS: защита домена и GDPR
11. Практические кейсы: расследование фишинга, проверка контрагента
12. Автоматизация: Python, API и массовые запросы
13. Инструменты WHOIS и DNS: сравнительная таблица 2026
14. FAQ: 12 вопросов о WHOIS и DNS
15. Чек-лист: полная разведка по домену за 20 минут
16. Заключение и теги
1. Введение: зачем нужны WHOIS и DNS-запросы
Каждый день в интернете регистрируются тысячи новых доменных имён. За каждым сайтом, каждым IP-адресом и каждым почтовым сервером стоит конкретная инфраструктура — с владельцем, регистратором, датой создания и техническими настройками. Протоколы WHOIS и DNS — это два открытых окна в эту инфраструктуру, доступных любому пользователю без специальных инструментов и привилегий.
Почему это важно в 2026 году? Интернет-мошенничество, фишинговые кампании, атаки через поддельные домены и незаконное использование чужой торговой марки в доменных именах остаются одними из наиболее распространённых киберугроз. По данным ICANN, ежегодно выявляются сотни тысяч доменов, зарегистрированных с целью обмана пользователей. Умение быстро и точно установить, кому принадлежит домен, на каком хостинге он размещён, когда был создан и какие DNS-записи использует, — это базовый навык для специалистов по информационной безопасности, журналистов, юристов, маркетологов и всех, кто профессионально работает в интернете.
Главная проблема, с которой сталкиваются пользователи: обилие инструментов при отсутствии понимания, что именно они показывают и как правильно интерпретировать результаты. Один сервис возвращает «данные скрыты», другой показывает устаревшую информацию, третий путает WHOIS IP-адреса с WHOIS домена. В результате человек получает набор цифр и аббревиатур, не понимая, как ими воспользоваться.
Это руководство решает именно эту проблему. Здесь нет воды и теории ради теории — только практические шаги, реальные примеры команд и разбор того, что означает каждое поле в ответе. Вы узнаете: как за пять минут получить полную техническую картину любого домена или IP-адреса; как читать WHOIS-ответ и что делать, когда данные скрыты за GDPR-защитой; как использовать DNS-запросы для верификации почтовых серверов, поиска субдоменов и отслеживания изменений инфраструктуры; и как легально автоматизировать эти процессы через API и скрипты.
Все описанные методы работают с публично доступными данными. WHOIS и DNS — открытые протоколы, созданные для обеспечения прозрачности интернета. Использование этих инструментов в рамках законных целей — проверка контрагента, защита бренда, расследование инцидентов, пентест собственной инфраструктуры — полностью правомерно.
> *💡 Руководство носит образовательный характер. Все данные получены из публично доступных источников.*
2. Что такое WHOIS: история, принцип работы, ограничения
WHOIS (читается «who is» — «кто это?») — это протокол и одновременно база данных, содержащая регистрационные сведения об интернет-ресурсах: доменных именах, IP-адресах и автономных системах. Протокол был стандартизирован ещё в 1982 году в RFC 812 и с тех пор стал фундаментальной частью интернет-инфраструктуры.
Как устроена система WHOIS
Система WHOIS децентрализована. Нет единой базы данных, которая хранит все записи обо всех доменах в мире. Вместо этого существует иерархия:
- ICANN (Internet Corporation for Assigned Names and Numbers) — главный координирующий орган, устанавливает правила регистрации и политику раскрытия данных
- Реестры (Registries) — организации, управляющие конкретными доменными зонами. Например, Verisign управляет зоной .com и .net, PIR управляет .org, Координационный центр — зоной .ru и .рф
- Регистраторы (Registrars) — аккредитованные компании, через которые физические и юридические лица регистрируют домены (GoDaddy, Namecheap, REG.RU и тысячи других)
- Регистранты (Registrants) — конечные владельцы доменных имён
Когда вы делаете WHOIS-запрос по доменному имени, ваш запрос сначала обращается к реестру верхнего уровня, который перенаправляет к соответствующему регистратору, хранящему полные данные о конкретном домене.
Что хранится в WHOIS-записи домена
Стандартная WHOIS-запись содержит следующие категории данных:
- Идентификационные данные регистранта: имя, организация, страна, электронная почта, телефон
- Технические контакты: администратор и технический специалист домена
- Регистратор: компания, через которую зарегистрирован домен
- Временные метки: дата создания, дата последнего обновления, дата истечения регистрации
- Статусы домена: clientTransferProhibited, serverHoldlock и другие
- DNS-серверы (nameservers): адреса серверов, которые хранят DNS-записи домена
- Идентификатор IANA: уникальный номер регистратора
Ограничения WHOIS: что изменил GDPR
С вступлением в силу европейского регламента GDPR в 2018 году большинство регистраторов закрыли персональные данные физических лиц в публичных WHOIS-записях. Вместо реального имени, адреса и телефона вы видите универсальный контакт вроде «Redacted for Privacy» или данные сервиса приватной регистрации.
Это не означает, что данные уничтожены — они хранятся у регистратора и могут быть запрошены через официальные юридические каналы (судебный запрос, обращение в ICANN). Однако для публичного WHOIS-запроса в 2026 году приватность — норма, а не исключение.
> *⚠️ Если WHOIS-запись домена показывает приватные данные, это не значит, что домен анонимен. Регистратор обязан раскрыть данные по законному запросу.*
WHOIS для IP-адресов: отдельная система
WHOIS для IP-адресов работает иначе, чем для доменов. IP-адреса распределяются через пять региональных интернет-регистратур (RIR):
| RIR | Регион | Сайт |
|---|---|---|
| ARIN | Северная Америка | whois.arin.net |
| RIPE NCC | Европа, Ближний Восток, Центральная Азия | whois.ripe.net |
| APNIC | Азиатско-Тихоокеанский регион | whois.apnic.net |
| LACNIC | Латинская Америка и Карибы | whois.lacnic.net |
| AFRINIC | Африка | whois.afrinic.net |
Каждый RIR ведёт собственную базу данных и имеет собственный WHOIS-сервер. IP-адреса российских организаций находятся в базе RIPE NCC.
3. Что такое DNS: архитектура и типы записей
DNS (Domain Name System — система доменных имён) — это распределённая база данных, которая переводит человекочитаемые доменные имена (например, example.com) в машиночитаемые IP-адреса (например, 93.184.216.34). Без DNS интернет в современном виде был бы невозможен: пользователям пришлось бы запоминать числовые адреса каждого сайта.
Архитектура DNS: как работает разрешение имён
Когда вы вводите адрес сайта в браузере, происходит следующая цепочка:
1. Браузер проверяет локальный кэш — если адрес недавно запрашивался, он уже известен
2. Запрос уходит к резолверу вашего провайдера (или к публичному DNS вроде 8.8.8.8 от Google)
3. Резолвер обращается к корневым серверам DNS — их 13 групп по всему миру
4. Корневые серверы направляют к серверам зоны верхнего уровня (TLD), например .com или .ru
5. TLD-серверы указывают на авторитативные DNS-серверы конкретного домена
6. Авторитативный сервер возвращает запрошенную запись
Весь этот процесс занимает миллисекунды и происходит при каждом новом обращении к домену.
Типы DNS-записей: полная таблица
| Тип записи | Назначение | Пример значения |
|---|---|---|
| A | Привязывает домен к IPv4-адресу | 93.184.216.34 |
| AAAA | Привязывает домен к IPv6-адресу | 2606:2800:220:1:248:1893:25c8:1946 |
| CNAME | Псевдоним — перенаправляет к другому домену | www.example.com → example.com |
| MX | Почтовые серверы домена с приоритетом | 10 mail.example.com |
| NS | Авторитативные DNS-серверы домена | ns1.registrar.com |
| TXT | Произвольный текст: SPF, DKIM, верификация | v=spf1 include:_spf.google.com ~all |
| SOA | Start of Authority — главный DNS-сервер зоны | Технические данные о зоне |
| PTR | Обратная DNS-запись — IP к имени | 34.216.184.93.in-addr.arpa |
| SRV | Адрес сервиса (VoIP, XMPP, и др.) | _sip._tcp.example.com |
| CAA | Авторизованные центры сертификации | 0 issue "letsencrypt.org" |
Почему DNS важен для разведки
DNS-записи раскрывают значительно больше, чем просто IP-адрес сайта. MX-запись показывает, какой почтовый провайдер использует организация (Google Workspace, Microsoft 365, собственный сервер). TXT-запись с SPF и DKIM раскрывает инфраструктуру рассылок. NS-записи указывают на хостинг-провайдера или CDN. Субдомены, обнаруженные через DNS, могут открыть тестовые среды, внутренние сервисы или забытые устаревшие ресурсы.
4. Как сделать WHOIS-запрос: онлайн-сервисы и командная строка
Существует два основных способа выполнить WHOIS-запрос: через веб-интерфейс онлайн-сервисов и через командную строку. Оба метода возвращают одинаковые данные, но командная строка даёт больше контроля над запросом и удобнее для автоматизации.
Онлайн-сервисы WHOIS
Для разовой проверки онлайн-сервисы — самый быстрый вариант:
| Сервис | URL | Особенности |
|---|---|---|
| ICANN Lookup | lookup.icann.org | Официальный сервис, показывает данные без кэширования |
| who.is | who.is | Удобный интерфейс, история изменений |
| whois.domaintools.com | domaintools.com | Расширенная история, платные функции |
| reg.ru/whois | reg.ru/whois | Удобен для российских доменов .ru/.рф |
| nic.ru/whois | nic.ru | Реестр .ru, авторитативные данные |
| whois.arin.net | arin.net | WHOIS для IP-адресов ARIN |
| apps.db.ripe.net | ripe.net | WHOIS для европейских IP-адресов |
WHOIS через командную строку
В Linux и macOS утилита whois установлена по умолчанию. В Windows её нужно установить отдельно (Microsoft Sysinternals whois или через WSL).
Базовый запрос по домену:
whois
example.com
Запрос по IP-адресу:
whois
8.8.8.8
Указание конкретного WHOIS-сервера (полезно для нестандартных зон):
whois
-h whois.ripe.net 185.110.132.0
Запрос по домену .ru через реестр:
whois
-h whois.tcinet.ru domain.ru
Тихий режим — только данные без баннеров:
whois
-Q example.com
Установка whois в Windows
Через PowerShell с установленным WSL:
wsl
--install
wsl apt install whois
wsl whois example.com
Или скачать whois.exe от Sysinternals и добавить в PATH:
whois
.exe example.com
Специфика WHOIS для разных доменных зон
Разные зоны имеют разные WHOIS-серверы и форматы данных:
- .com и .net → whois.verisign-grs.com
- .org → whois.pir.org
- .ru и .рф → whois.tcinet.ru
- .io → whois.nic.io
- .uk → whois.nic.uk
- .de → whois.denic.de
Большинство универсальных WHOIS-утилит автоматически определяют нужный сервер по расширению домена. Если автоматическое определение не работает — укажите сервер явно через флаг -h.
5. Как читать WHOIS-ответ: расшифровка всех полей
Получив WHOIS-ответ, большинство пользователей теряются в десятках строк технических данных. Этот раздел — практическое руководство по чтению и интерпретации WHOIS-записи.
Типичный WHOIS-ответ для домена: разбор по полям
Рассмотрим структуру ответа на примере стандартной записи:
domain
Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrar.com
Registrar URL: http://www.registrar.com
Updated Date: 2024-08-14T07:01:28Z
Creation Date: 1995-08-14T04:00:00Z
Registry Expiry Date: 2025-08-13T04:00:00Z
Registrar: Example Registrar, LLC
Registrar IANA ID: 376
Registrar Abuse Contact Email: abusecomplaints@registrar.com
Registrar Abuse Contact Phone: +1.2083895770
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: A.IANA-SERVERS.NET
Name Server: B.IANA-SERVERS.NET
DNSSEC: signedDelegation
Domain Name — полное доменное имя в верхнем регистре.
Creation Date — дата первичной регистрации домена. Чем старше домен, тем выше вероятность, что он легитимен. Фишинговые домены часто регистрируются за день-неделю до начала атаки.
Updated Date — последнее изменение записи в реестре. Смена DNS-серверов или контактных данных отражается в этом поле.
Registry Expiry Date — дата окончания регистрации. Просроченные домены могут быть перехвачены конкурентами или мошенниками.
Registrar — компания-регистратор. Некоторые регистраторы известны как «удобные для мошенников» за слабую проверку клиентов.
Registrar IANA ID — уникальный идентификатор регистратора в системе ICANN. По этому номеру можно проверить статус аккредитации регистратора.
Domain Status — статусы домена в реестре. Их несколько, и каждый важен:
| Статус | Значение |
|---|---|
| clientTransferProhibited | Домен защищён от перевода к другому регистратору |
| clientDeleteProhibited | Домен защищён от удаления |
| clientUpdateProhibited | Данные домена защищены от изменений |
| serverHold | Домен заблокирован реестром (может быть связано с нарушениями) |
| pendingDelete | Домен ожидает удаления (скоро освободится) |
| redemptionPeriod | Домен в периоде восстановления после просрочки |
Name Server — DNS-серверы, которые обслуживают домен. По ним можно определить хостинг-провайдера или CDN (Cloudflare, AWS Route53, Google Cloud DNS и т.д.).
DNSSEC — статус подписи DNS. signedDelegation означает, что домен использует криптографическую защиту DNS-записей от подмены.
Интерпретация скрытых данных
Если вместо контактных данных вы видите:
registrant
Name: Redacted for Privacy
Registrant Organization: Privacy Protect, LLC
Registrant Email: Please query the RDDS service
Это стандартная GDPR/приватная регистрация. Реальные данные владельца хранятся у регистратора. Для их получения в легальных целях нужно обратиться через форму abuse-контакта регистратора или направить официальный запрос.
6. DNS-запросы: nslookup, dig и онлайн-инструменты
DNS-запросы позволяют получить технические записи домена: какие IP-адреса за ним стоят, через какие серверы проходит почта, каким CDN защищён сайт. Для DNS-разведки используются три основных инструмента: nslookup, dig и онлайн-сервисы.
nslookup: базовые команды
nslookup входит в стандартный набор Windows, Linux и macOS без дополнительной установки.
Получить A-запись (IPv4-адрес) домена:
nslookup
example.com
Получить конкретный тип записи:
nslookup
-type=MX example.com
nslookup -type=TXT example.com
nslookup -type=NS example.com
nslookup -type=AAAA example.com
Запрос к конкретному DNS-серверу:
nslookup
example.com 8.8.8.8
Обратная DNS-проверка (IP → домен):
nslookup
8.8.8.8
dig: профессиональный инструмент
dig (Domain Information Groper) — более мощный инструмент, доступный по умолчанию в Linux и macOS. В Windows устанавливается через BIND или WSL.
Получить все DNS-записи домена:
dig
example.com ANY
Получить конкретный тип записи:
dig
example.com MX
dig example.com TXT
dig example.com NS
dig example.com AAAA
Краткий вывод — только ответ без технических деталей:
dig
+short example.com
dig +short example.com MX
Трассировка DNS-разрешения от корневых серверов:
dig
+trace example.com
Обратная DNS-проверка:
dig
-x 8.8.8.8
Запрос к авторитативному серверу напрямую:
dig
@ns1.example.com example.com
Онлайн-инструменты для DNS-запросов
| Сервис | URL | Особенности |
|---|---|---|
| MXToolbox | mxtoolbox.com | Все типы записей, диагностика почты |
| dnschecker.org | dnschecker.org | Проверка распространения DNS по регионам |
| viewdns.info | viewdns.info | DNS-история, обратный поиск по IP |
| hackertarget.com | hackertarget.com/dns-lookup | Комплексный DNS-анализ |
| dnsdumpster.com | dnsdumpster.com | Визуальная карта DNS-инфраструктуры |
| intodns.com | intodns.com | Диагностика конфигурации DNS |
Практический пример: полный DNS-анализ домена
Задача: проверить почтовую инфраструктуру домена company.ru.
dig
company.ru MX +short
Результат показывает приоритет и адрес почтового сервера. Если в ответе aspmx.l.google.com — компания использует Google Workspace. mx1.outlook.com или alt1.aspmx.l.microsoft.com — Microsoft 365.
dig
company.ru TXT +short
Результат показывает SPF-запись: какие серверы уполномочены отправлять почту от имени домена. Наличие include:_spf.google.com подтверждает Google Workspace. Отсутствие SPF-записи — красный флаг для безопасности.
7. Как узнать владельца IP-адреса: WHOIS для IP и базы RIR
Определение владельца IP-адреса — задача, которую часто путают с определением владельца домена. Это два разных запроса к разным базам данных. IP-адрес принадлежит не сайту, а интернет-провайдеру или организации, которой он выделен.
Что можно узнать через WHOIS для IP
WHOIS-запрос по IP-адресу возвращает:
- Название организации-владельца блока IP-адресов
- Страну и город регистрации
- Диапазон IP-адресов (CIDR-нотация), принадлежащих организации
- Контактные данные для обращений по вопросам злоупотреблений (abuse)
- Автономную систему (AS-номер), в которую входит адрес
- Дату выделения блока адресов
WHOIS для IP через командную строку
whois
8.8.8.8
whois
185.60.216.35
whois
-h whois.ripe.net 2.22.234.0
Определить принадлежность IP без командной строки
ipinfo.io — один из лучших сервисов: показывает организацию, страну, город, ASN, тип соединения (datacenter/ISP/hosting).
https
://ipinfo.io/8.8.8.8
RIPE NCC (для европейских IP):
https
://apps.db.ripe.net/search?searchtext=185.110.132.0
ARIN (для американских IP):
https
://search.arin.net/rdap/?query=8.8.8.8
Важное разграничение: IP хостинга и IP реального владельца
Большинство сайтов размещены на хостинге или за CDN (Cloudflare, Fastly, AWS CloudFront). В этом случае WHOIS IP покажет данные хостинг-провайдера или CDN, а не реального владельца сайта. Cloudflare, например, скрывает за собой миллионы сайтов — IP будет принадлежать Cloudflare, и это не нарушение.
Чтобы попытаться найти реальный IP-адрес сайта за CDN:
1. Проверить исторические DNS-записи через SecurityTrails или PassiveDNS — до подключения CDN сайт мог иметь прямой IP
2. Поискать субдомены, которые не прошли через CDN (mail.domain.com, ftp.domain.com, api.domain.com)
3. Проверить почтовые серверы (MX-запись) — они часто не защищены CDN
4. Использовать поисковик Shodan для поиска по уникальным элементам сайта
> *⚠️ Попытки обойти CDN-защиту для получения реального IP должны проводиться только для законных целей — пентест собственного домена или с явного согласия владельца.*
Автономные системы (ASN): что это и зачем
Автономная система (AS) — это сеть IP-адресов под единым управлением, идентифицируемая уникальным номером ASN. По ASN можно найти все IP-диапазоны, принадлежащие одной организации.
Запрос ASN через команду:
whois
-h whois.bgpview.io AS15169
Или через онлайн-сервис bgpview.io. AS15169 — это Google. Зная ASN, можно получить полный список IP-блоков организации.
8. История WHOIS и DNS: как отследить изменения домена
Текущий WHOIS-ответ показывает только актуальное состояние. Но для расследований часто важно знать: кому принадлежал домен раньше, какой IP-адрес использовался год назад, когда поменялся хостинг-провайдер. Для этого существуют специализированные сервисы исторических данных.
Исторические WHOIS-данные
DomainTools (domaintools.com) — один из старейших и наиболее полных архивов WHOIS-истории. Показывает все изменения регистрационных данных с датами. Базовый функционал доступен бесплатно, расширенная история — платно.
WhoisFreaks (whoisfreaks.com) — альтернатива с API-доступом и историей изменений. Удобен для автоматизации.
SecurityTrails (securitytrails.com) — комплексный сервис с историей WHOIS и DNS. Показывает, какие IP-адреса использовал домен в разные периоды, какие NS-серверы были настроены. Бесплатный план даёт ограниченное количество запросов в месяц.
Исторические DNS-данные (PassiveDNS)
Пассивный DNS — это коллективно собранная история DNS-ответов. Исследовательские организации пассивно записывают DNS-трафик и формируют базы данных, позволяющие ответить на вопросы: «Какой IP-адрес у домена был в марте 2023 года?» и «На каком домене размещался этот IP шесть месяцев назад?».
| Сервис | Бесплатно | API | Особенности |
|---|---|---|---|
| SecurityTrails | Лимит | Да | История DNS + WHOIS |
| PassiveDNS.cn | Да | Нет | Открытый архив DNS |
| CIRCL PassiveDNS | Регистрация | Да | Некоммерческий проект CIRCL |
| RiskIQ Community | Да | Лимит | Широкая база, удобный интерфейс |
| VirusTotal | Да | Лимит | DNS-история в составе отчёта домена |
Wayback Machine для верификации содержимого
Если вам нужно понять, что именно публиковалось на домене в прошлом, используйте Wayback Machine (web.archive.org). Введите URL — сервис покажет снимки сайта за разные даты. Это полезно для проверки: был ли домен сайтом реальной компании или с самого начала использовался для мошенничества.
Регистратор истории в расследовании
Анализ истории домена позволяет построить хронологию:
1. Дата регистрации (из WHOIS Creation Date)
2. Первый снимок в Wayback Machine — что было на сайте изначально
3. История смены владельца (из исторического WHOIS)
4. История смены IP-адресов (из PassiveDNS)
5. Текущее состояние (актуальный WHOIS + DNS)
Эта хронология часто раскрывает перехват домена, смену назначения или связь с другими расследуемыми ресурсами.
9. Продвинутые техники: обратный DNS, Certificate Transparency, пассивный DNS
После освоения базовых WHOIS и DNS-запросов следующий уровень — продвинутые техники, которые позволяют обнаруживать скрытую инфраструктуру, связывать домены между собой и находить данные, недоступные через стандартные запросы.
Обратный поиск по IP: все домены на одном сервере
Если вы знаете IP-адрес сервера, обратный поиск (reverse IP lookup) покажет все домены, размещённые на этом IP. Это особенно полезно при расследовании мошеннических кампаний: один злоумышленник может держать десятки фишинговых доменов на одном сервере.
https
://viewdns.info/reverseip/?host=185.220.101.45
Или через hackertarget:
https
://api.hackertarget.com/reverseiplookup/?q=185.220.101.45
Certificate Transparency: поиск субдоменов
Каждый TLS/SSL-сертификат, выданный доверенным центром сертификации, записывается в публичный реестр Certificate Transparency (CT). Это означает, что все субдомены, для которых когда-либо выдавался сертификат, находятся в публичном доступе — даже если эти субдомены нигде не упоминаются.
Поиск через crt.sh:
https
://crt.sh/?q=%.example.com
Знак % — это SQL-wildcard, который ищет все субдомены. Результат покажет полный список субдоменов с датами выдачи сертификатов.
Через командную строку с curl и jq:
curl
-s "https://crt.sh/?q=%.example.com&output=json" | jq '.[].name_value' | sort -u
Это позволяет найти: тестовые среды (dev.example.com, staging.example.com), административные панели (admin.example.com, cpanel.example.com), API-эндпоинты (api.example.com, api-v2.example.com), забытые старые ресурсы.
Поиск по содержимому через Shodan
Shodan — это поисковик интернет-подключённых устройств. В отличие от Google, который индексирует содержимое веб-страниц, Shodan сканирует открытые порты и сохраняет баннеры сервисов. Это позволяет найти серверы по уникальным элементам их конфигурации.
Поиск по заголовку HTTP:
http
.title:"Panel Admin" country:RU
Поиск по SSL-сертификату:
ssl
:"example.com"
Поиск всей инфраструктуры организации по ASN:
asn
:AS12345
Shodan предоставляет бесплатный доступ с ограниченным числом запросов. Для систематической работы нужен платный аккаунт.
Обратный WHOIS: поиск по данным владельца
Обратный WHOIS работает в противоположном направлении: вы вводите email, имя или организацию и получаете все домены, зарегистрированные на эти данные. Это мощный инструмент для связывания инфраструктуры одного субъекта.
DomainTools Reverse WHOIS (платно) — наиболее полная база.
ViewDNS Reverse Whois (бесплатно, лимитировано):
https
://viewdns.info/reversewhois/?q=admin@example.com
> *💡 После введения GDPR обратный WHOIS по email частных лиц стал менее эффективным. Но для корпоративных доменов и исторических данных инструмент остаётся ценным.*
10. Приватность в WHOIS: защита домена и GDPR
Этот раздел — для тех, кто хочет не только читать чужие WHOIS-данные, но и защитить собственные. Понимание механизмов защиты помогает и при разведке: зная, как работает приватная регистрация, вы лучше понимаете её ограничения.
Способы скрыть данные в WHOIS
WHOIS Privacy / Domain Privacy Protection — услуга, которую предлагают большинство регистраторов. Вместо ваших реальных данных в WHOIS публикуются данные прокси-сервиса регистратора. Стоимость — обычно от 0 до 10 долларов в год, многие регистраторы включают её бесплатно.
Регистрация через юридическое лицо — публикуются данные компании, а не физического лица. Менее анонимно, но позволяет видеть организацию без личных данных владельца.
Регистрация в зонах с жёсткой политикой приватности — некоторые ccTLD (например, .de) традиционно предоставляют меньше данных в публичном WHOIS.
Что не скрывает WHOIS Privacy
Важно понимать ограничения:
- Дата регистрации и дата истечения остаются публичными
- Регистратор остаётся публичным
- DNS-серверы остаются публичными
- Статусы домена остаются публичными
- Реальные данные хранятся у регистратора и раскрываются по законным запросам
GDPR и WHOIS: что изменилось
После 2018 года ICANN под давлением европейского законодательства разработала политику Temporary Specification, которая разрешила регистраторам скрывать персональные данные в публичном WHOIS. Позднее была введена система RDAP (Registration Data Access Protocol) с дифференцированным доступом: часть данных публична, часть доступна только аккредитованным исследователям и правоохранительным органам через специальные запросы.
Как легально запросить скрытые WHOIS-данные
1. Через форму abuse регистратора — если есть основания считать, что домен используется для мошенничества
2. Через ICANN RDAP — для аккредитованных исследователей
3. Через судебный запрос — регистраторы обязаны раскрыть данные по судебному решению
4. Через правоохранительные органы — у полиции и прокуратуры есть механизмы запроса данных регистраторов
11. Практические кейсы: расследование фишинга, проверка контрагента
Теория WHOIS и DNS становится по-настоящему полезной в контексте конкретных задач. Разберём три наиболее распространённых практических сценария.
Кейс 1: Расследование фишингового сайта
Ситуация: пользователь получил письмо со ссылкой на поддельный сайт банка phishing-bank-login.com. Задача: установить инфраструктуру мошенников.
Шаг 1: WHOIS-запрос по домену
whois
phishing-bank-login.com
Обратите внимание на Creation Date: фишинговые домены часто зарегистрированы за 1–7 дней до атаки. Проверьте Registrar — некоторые регистраторы известны слабой проверкой клиентов.
Шаг 2: DNS-разведка
dig
phishing-bank-login.com A +short
dig phishing-bank-login.com MX +short
Получаем IP-адрес сервера. Проверяем WHOIS для IP — чей хостинг, какая страна.
Шаг 3: Certificate Transparency
https
://crt.sh/?q=%.phishing-bank-login.com
Ищем другие субдомены и, возможно, другие домены с тем же сертификатом — это может указать на другие фишинговые ресурсы той же кампании.
Шаг 4: Обратный поиск по IP
https
://viewdns.info/reverseip/?host=[IP_адрес]
Проверяем, сколько других доменов на том же IP. Десятки похожих «банковских» доменов — подтверждение мошеннической кампании.
Шаг 5: Проверка репутации
Через VirusTotal (virustotal.com) проверяем репутацию домена и IP в антивирусных базах.
Кейс 2: Проверка контрагента перед сделкой
Ситуация: компания хочет заключить договор с поставщиком, имеющим сайт. Задача: верифицировать, что сайт принадлежит реальной организации.
Проверка возраста домена: сайт «крупной компании с 20-летней историей» с доменом, созданным год назад — красный флаг. WHOIS Creation Date должна примерно соответствовать заявленному возрасту бизнеса.
Соответствие данных: если компания заявляет российскую регистрацию, а WHOIS домена показывает анонимный регистратор на Сейшелах — это повод для вопросов.
Проверка DNS: профессиональные компании обычно настраивают корректные MX-записи, SPF и DKIM. Домен без MX-записи при наличии корпоративной почты — несоответствие, которое стоит уточнить.
История через Wayback Machine: проверьте, что было на сайте год-два назад. Если сайт внезапно «сменил» бизнес — это важная информация.
Кейс 3: Защита собственного бренда
Ситуация: компания хочет отслеживать регистрацию доменов, имитирующих её бренд. Задача: настроить мониторинг.
Сервисы мониторинга доменов (DomainTools Brand Monitor, MarkMonitor) автоматически уведомляют о регистрации доменов, похожих на указанные. Для ручной проверки используйте инструменты dnstwist (консольная утилита), которая генерирует все возможные вариации вашего домена и проверяет, какие из них уже зарегистрированы.
pip
install dnstwist
dnstwist example.com
12. Автоматизация: Python, API и массовые запросы
Разовые WHOIS и DNS-запросы удобно делать вручную. Но когда задач сотни — нужна автоматизация. Python является стандартным языком для этих задач благодаря зрелым библиотекам и простому синтаксису.
Python-библиотека python-whois
pip
install python-whois
Базовый пример:
python
import whois
domain = whois.whois('example.com')
print(domain.creation_date)
print(domain.registrar)
print(domain.name_servers)
print(domain.expiration_date)
Сохранение данных в словарь:
python
import whois
import json
def get_domain_info(domain_name):
try:
w = whois.whois(domain_name)
return {
'domain': domain_name,
'registrar': w.registrar,
'creation_date': str(w.creation_date),
'expiration_date': str(w.expiration_date),
'name_servers': w.name_servers
}
except Exception as e:
return {'domain': domain_name, 'error': str(e)}
result = get_domain_info('example.com')
print(json.dumps(result, indent=2))
Python-библиотека dnspython для DNS-запросов
pip
install dnspython
Получение A-записей:
python
import dns.resolver
def get_a_records(domain):
try:
answers = dns.resolver.resolve(domain, 'A')
return [rdata.address for rdata in answers]
except:
return []
print(get_a_records('example.com'))
Получение MX-записей:
python
import dns.resolver
def get_mx_records(domain):
try:
answers = dns.resolver.resolve(domain, 'MX')
return [(rdata.preference, str(rdata.exchange)) for rdata in answers]
except:
return []
print(get_mx_records('example.com'))
API-сервисы для массовых запросов
Для коммерческого использования или высоких объёмов запросов прямые WHOIS-запросы ненадёжны: серверы имеют rate limiting. Используйте API:
| Сервис | API | Бесплатный лимит | Документация |
|---|---|---|---|
| WhoisXML API | api.whoisxmlapi.com | 500 запросов/мес | docs.whoisxmlapi.com |
| SecurityTrails | api.securitytrails.com | 50 запросов/мес | docs.securitytrails.com |
| RDAP (IANA) | rdap.iana.org | Без лимита | tools.ietf.org/html/rfc7480 |
| ipinfo.io | ipinfo.io/api | 50 000 запросов/мес | ipinfo.io/developers |
RDAP: современная альтернатива WHOIS
RDAP (Registration Data Access Protocol) — стандартизированный преемник WHOIS, использующий JSON-формат вместо текста и поддерживающий дифференцированный доступ. RDAP-запрос выглядит как обычный HTTP-запрос:
https
://rdap.org/domain/example.com
https://rdap.org/ip/8.8.8.8
https://rdap.org/autnum/15169
Ответ возвращается в структурированном JSON, который легко парсить в любом языке программирования.
13. Инструменты WHOIS и DNS: сравнительная таблица 2026
Для удобства сравниваем ключевые инструменты по категориям.
Веб-сервисы для WHOIS-запросов
| Сервис | WHOIS домена | WHOIS IP | История | API | Бесплатно |
|---|---|---|---|---|---|
| lookup.icann.org | Да | Нет | Нет | Нет | Да |
| who.is | Да | Да | Частично | Нет | Да |
| domaintools.com | Да | Да | Да | Да | Лимит |
| securitytrails.com | Да | Да | Да | Да | Лимит |
| whoisfreaks.com | Да | Да | Да | Да | Лимит |
| nic.ru/whois | Да (.ru/.рф) | Нет | Нет | Нет | Да |
Инструменты для DNS-разведки
| Инструмент | Тип | Типы записей | Субдомены | История | Бесплатно |
|---|---|---|---|---|---|
| dig | CLI | Все | Нет | Нет | Да |
| nslookup | CLI | Все | Нет | Нет | Да |
| mxtoolbox.com | Веб | Все | Нет | Нет | Да |
| dnsdumpster.com | Веб | Все | Да | Нет | Да |
| crt.sh | Веб | — | Да (CT) | Да | Да |
| securitytrails.com | Веб | Все | Да | Да | Лимит |
| Shodan | Веб | — | Да | Частично | Лимит |
Консольные инструменты для продвинутой разведки
| Инструмент | Установка | Функции |
|---|---|---|
| whois | Встроен в Linux/macOS | WHOIS-запросы |
| dig | Встроен в Linux/macOS | DNS-запросы |
| dnstwist | pip install dnstwist | Тайпсквоттинг, анализ вариаций домена |
| subfinder | go install | Поиск субдоменов |
| amass | go install | Комплексная разведка по домену |
| theHarvester | pip install theHarvester | OSINT по домену и email |
14. FAQ: 12 вопросов о WHOIS и DNS
Q 01: Легально ли делать WHOIS и DNS-запросы?
A: Да, полностью легально. WHOIS и DNS — это публичные протоколы, созданные для обеспечения прозрачности интернета. Делать WHOIS-запрос по любому домену или IP — то же самое, что читать публичный реестр. Незаконным может быть только применение полученных данных: сбор для преследования, дискредитации или мошенничества.
Q 02: Почему WHOIS показывает "Redacted for Privacy"?
A: Это результат применения GDPR и политики защиты приватности. Регистраторы скрывают персональные данные физических лиц, заменяя их данными прокси-сервиса. Реальные данные хранятся у регистратора и раскрываются только по законным запросам (судебные решения, обращения правоохранительных органов).
Q 03: Как узнать владельца домена, если данные скрыты?
A: Несколько вариантов: (1) проверить исторические WHOIS через DomainTools или SecurityTrails — данные могли быть открытыми до включения приватности; (2) проанализировать DNS-инфраструктуру — NS-серверы и MX часто указывают на реального провайдера; (3) проверить Certificate Transparency для поиска связанных доменов; (4) использовать форму abuse-контакта регистратора при наличии законных оснований.
Q 04: Чем отличается WHOIS домена от WHOIS IP-адреса?
A: WHOIS домена хранится у регистратора и реестра доменной зоны, содержит данные о владельце домена и его DNS-серверах. WHOIS IP-адреса хранится в базе данных регионального интернет-регистратора (RIR) и содержит данные об организации, которой выделен блок IP-адресов — обычно это провайдер или хостинг, а не конечный владелец сайта.
Q 05: IP-адрес сайта принадлежит Cloudflare. Как найти реальный сервер?
A: Прямого публичного способа нет — Cloudflare специально создан для скрытия реального IP. Но можно попробовить: (1) проверить исторические DNS через SecurityTrails — до подключения Cloudflare IP мог быть прямым; (2) проверить субдомены через crt.sh — некоторые могут не идти через Cloudflare; (3) проверить MX-запись — почтовый сервер часто на реальном IP.
Q 06: Что такое TTL в DNS-записях?
A: TTL (Time To Live) — время в секундах, в течение которого DNS-кэш хранит запись перед повторным запросом. TTL 3600 означает, что после изменения DNS-записи все пользователи увидят обновление максимум через час. Низкий TTL (300 секунд) используется при планируемой миграции сервера — это ускоряет распространение изменений.
Q 07: Как проверить, что SPF и DKIM настроены правильно?
A: Через MXToolbox: введите домен в раздел Email Health и получите анализ SPF, DKIM и DMARC. Или через dig: `dig example.com TXT +short` для SPF и `dig selector._domainkey.example.com TXT +short` для DKIM (где selector — имя ключа, обычно указано в заголовках email как dkim=).
Q 08: Можно ли найти все домены одного владельца?
A: Инструмент называется обратный WHOIS (Reverse WHOIS). До GDPR он был очень эффективен — поиск по email или имени владельца давал все его домены. После 2018 года данные физических лиц скрыты, но для исторических данных и корпоративных доменов обратный WHOIS на DomainTools и ViewDNS всё ещё работает.
Q 09: Что означает статус домена "serverHold"?
A: serverHold означает, что реестр (не регистратор, а вышестоящая организация) заблокировал домен. Причины: нарушение правил использования, судебный запрет, истечение регистрации, мошенничество. Домен со статусом serverHold не разрешается в IP-адрес — сайт недоступен.
Q 10: Как узнать, что домен скоро освободится?
A: Статус pendingDelete означает, что домен удаляется и скоро станет доступен для регистрации. Период pendingDelete длится обычно 5 дней. Сервисы дропкэтчинга (JustDropped.com, DropCatch.com) отслеживают и перехватывают такие домены в момент освобождения.
Q 11: Чем RDAP лучше WHOIS?
A: RDAP возвращает данные в структурированном JSON-формате вместо текста, поддерживает HTTPS, обеспечивает дифференцированный доступ (разные уровни данных для публики и аккредитованных исследователей), поддерживает интернационализированные доменные имена (IDN) и является официально стандартизированным IETF-протоколом. Запросы к RDAP делаются через обычные HTTP-запросы к rdap.org.
Q 12: Как автоматически отслеживать изменения WHOIS домена?
A: Для мониторинга своих доменов большинство регистраторов предлагают уведомления. Для мониторинга чужих доменов используйте API SecurityTrails или WhoisXML API в связке с периодическим запросом по расписанию (cron) и сравнением результата с предыдущим состоянием. Готовые сервисы мониторинга: DomainTools Iris, Brand Monitor.
15. Чек-лист: полная разведка по домену за 20 минут
Этот алгоритм применим для проверки любого домена — будь то потенциальный контрагент, подозрительный сайт или конкурент.
Блок A: WHOIS-анализ (5 мин)
- [ ] Открыть lookup.icann.org или выполнить `whois domain.com` в терминале
- [ ] Зафиксировать Creation Date — насколько старый домен?
- [ ] Проверить Registrar — известный регистратор или малоизвестный?
- [ ] Проверить Domain Status — нет ли serverHold или подозрительных статусов?
- [ ] Посмотреть Name Servers — какой хостинг/CDN использует домен?
- [ ] Если данные скрыты: проверить исторические WHOIS на securitytrails.com
Блок B: DNS-разведка (5 мин)
- [ ] `dig domain.com A +short` — получить IP-адрес сайта
- [ ] `whois [IP]` — кому принадлежит IP (хостинг, CDN, прямой владелец)?
- [ ] `dig domain.com MX +short` — какой почтовый провайдер?
- [ ] `dig domain.com TXT +short` — проверить SPF, DKIM, верификацию сервисов
- [ ] `dig domain.com NS +short` — подтвердить NS-серверы
Блок C: Субдомены и история (5 мин)
- [ ] crt.sh/?q=%.domain.com — поиск субдоменов через Certificate Transparency
- [ ] securitytrails.com — исторические DNS-данные, предыдущие IP-адреса
- [ ] web.archive.org — что публиковалось на сайте раньше?
- [ ] viewdns.info/reverseip — сколько других доменов на том же IP?
Блок D: Репутация и угрозы (3 мин)
- [ ] virustotal.com — репутация домена в антивирусных базах
- [ ] Проверить домен на типосквоттинг относительно известных брендов
- [ ] Google: "domain.com" — что пишут о сайте в интернете?
Блок E: Документирование (2 мин)
- [ ] Сделать скриншоты WHOIS-ответа с датой запроса
- [ ] Сохранить результаты DNS-запросов
- [ ] Зафиксировать источник каждого факта
- [ ] Отметить, что не удалось установить — это тоже информация
> *✅ Пустой или закрытый WHOIS — не конец расследования. DNS-анализ, Certificate Transparency и исторические данные часто дают больше, чем сам WHOIS.*
16. Заключение
WHOIS и DNS — это фундаментальные инструменты для понимания интернет-инфраструктуры. За два десятилетия существования эти протоколы стали стандартным первым шагом в любом расследовании, связанном с онлайн-ресурсами: от проверки контрагента до расследования кибератаки.
В 2026 году эффективная работа с WHOIS и DNS требует понимания нескольких реалий. Во-первых, приватность в WHOIS — это норма, и отсутствие контактных данных владельца не означает конец возможностей. DNS-анализ, Certificate Transparency, исторические базы и обратный поиск по IP дают значительно больше информации, чем стандартный WHOIS-ответ. Во-вторых, ни один инструмент не даёт полной картины — только сочетание WHOIS, DNS-разведки, анализа сертификатов и исторических данных формирует достоверный профиль домена или IP-адреса. В-третьих, скорость изменений в инфраструктуре высока: IP-адреса меняются, CDN подключаются и отключаются, домены переходят от владельца к владельцу. Всегда фиксируйте дату запроса рядом с результатом.
Ключевые принципы работы с WHOIS и DNS: верифицировать данные через несколько источников; документировать каждый факт с указанием источника и даты; использовать инструменты только в рамках законных целей; понимать разницу между данными о домене и данными об IP; не останавливаться на первом ответе — углубляться в историю и смежные ресурсы.
Пять правил работы с WHOIS и DNS
1. Проверяй возраст — старый домен не гарантирует легитимность, но молодой домен для «давно существующей компании» — красный флаг
2. Смотри глубже — если WHOIS закрыт, Certificate Transparency, PassiveDNS и Shodan открывают скрытую инфраструктуру
3. Верифицируй — каждый IP и каждый субдомен может рассказать свою историю
4. Документируй — результат WHOIS-запроса без даты и скриншота не имеет доказательной силы
5. Действуй законно — WHOIS и DNS дают огромные возможности, которые должны использоваться только в легальных целях
