Consultas Whois
Whois es un protocolo de consulta y respuesta ampliamente utilizado para consultar bases de datos que almacenan los usuarios registrados o asignados a un recurso de Internet, como un nombre de dominio, un bloque de dirección IP, o un sistema autónomo, pero también es utilizado para otra amplia gama de información. El protocolo almacena y entrega contenido de la base de datos en un formato comprensible por humanos.
Base de Datos de Zona Raíz.
La Base de Datos de Zona Raíz representa los detalles para la delegación de los dominios de nivel superior, incluyendo los gTLDs como (.com) y los ccTLDs, como (.uk). Como gestor de la zona raíz DNS, IANA es responsable de coordinar estas delegaciones de acuerdo con las políticas y procedimientos. La mayoría de estos datos también están disponible mediante el protocolo Whois en whois.iana.org
En la siguiente práctica se realiza una consulta whois par ael dominio reydes.com, el cual es un gTLD (generic Top Level Domain), o por su traducción al español, dominio genérico de nivel superior.
# whois -h whois.iana.org .com
La opción ”-h” permite definir el host al cual se realizará la conexión para realizar la consulta.
En la respuesta obtenida, la línea “whois:” indica el servidor whois al cual se debe realizar la consulta para obtener información sobre un dominio .com.
Se procede a realizar una nueva consulta whois al servidor indicado en la anterior respuesta.
# whois -h whois.verisign-grs.com reydes.com
En la nueva respuesta obtenida se indica el servidor whois del registrador para el dominio reydes.com
Se procede entonces a realizar una consulta directamente al servidor whois del registrador para el dominio del objetivo. Esta es la información de “primera fuente” del dominio consultado.
# whois -h whois.godaddy.com reydes.com
En la siguiente práctica se realizará una consulta whois para un ccTLD (country code Top Level Domain), o por su traducción al español, dominio para código de país de nivel superior.
La información sobre el servidor whois al cual realizar la consulta de un ccTLD (.PE) “Peruano”, se obtiene en la siguiente página http://www.iana.org/domains/root/db/pe.html
Con esta información se procede a realizar la consulta whois respectiva sobre un dominio (.PE)
# whois -h kero.yachay.pe peru.gob.pe
Este mismo procedimiento puede ser aplicado para cualquier ccTLD, sencillamente ubicando el servidor Whois y realizando la consulta respectiva.
En una Prueba de Penetración las consultas Whois proporcionan información que podría ser utilizado en un ataque de Ingeniería social; como nombres, correos electrónicos, números telefónicos y otros datos de personas relacionadas al objetivo de evaluación. De igual manera se obtendrán los servidores de nombres (NS) asignados a un dominio, contra los cuales se realizarán consultas para obtener información sobre subdominios, factibilidad de realizar una transferencia de zona (AXFR), versión del servidor DNS entre otra información de interés.
Fuentes:
http://tools.ietf.org/html/rfc3912
http://en.wikipedia.org/wiki/Whois
http://www.iana.org/domains/root/db
http://www.internic.net/whois.html
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/