Los servidores whois almacenan información sobre las direcciones IP, nombres de dominio, y otras redes aborcando información relevante por la cual ciertas organizaciones son responsables o están estrictamente asociadas. Cuando se solicita información sobre un registro Whois, todo lo cual se debe hacer es consultar una base de datos hospedada en un servidor Whois utilizando un protocolo de aplicación especial llamado Whois.

Durante una prueba de penetración, se puede tener definida una lista de direcciones IP con la cual trabajar, o un nombre de dominio el cual resuelve hacia una dirección IP. Frecuentemente se podría desear conocer a quien pertenece esta dirección IP, y que más puede estar hospedado en el mismo bloque lógico de red; Whois es una gran herramienta para encontrar este tipo de información.

El interrogar a los servidores Whois desde la línea de comandos se hace utilizando una herramienta de nombre “whois”, el cual se incluye en la mayoría de sistemas GNU/Linux, incluyendo Kali Linux.

Existen diversas opciones las cuales pueden ser especificadas cuando se utiliza la herramienta “whois”. A continuación se muestran algunas útiles. Para quienes requieran conocer más sobre la herramienta “whois”, se sugiere consulta la información sobre la herramienta.

La funcionalidad básica de Whois es devolver un conjunto de atributos asociados con una dirección IP; esta colección de atributos es denominado un registro whois. Consultar un registro utilizando la dirección IP es tan simple como ejecutar el siguiente comando.

# whois 74.125.233.80

Lo devuelto al ejecutar una consulta Whois es llamado un objeto, y cada objeto tiene diversos atributos asociados hacia pares de claves y valores. Cada objeto tiene información relacionada a la persona responsable para el registro / objeto por si mismo. Esta persona es referida como un mantenedor. El mantenedor decide cuales atributos utiliza donde describe el objeto relacionado. Existen varios números de posibles atributos.

Además de únicamente consultar al servidor Whois por información asociada con una dirección IP, se puede también consultar cierta información asociada con una organización definida o se podría consultar por toda la información en la base de datos mencionando un valor definido, por ejemplo, el mantenedor o una dirección de correo electrónico. El hacer esto es referido como una consulta reversa de atributos. El siguiente comando se utiliza para hacer esto.

# whois -i mnt-by YAHOO-MNT

Se puede filtrar las direcciones IP desde esta consulta. La manera más simple de hacer esto es utilizar el comando “grep”, como el siguiente comando.

# whois -i mnt-by YAHOO-MNT | grep inetnum

También se puede requerir filtrar únicamente las direcciones IP para utilizar con otras herramientas como Nmap y Dig. El siguiente comando bash posibilita hacer esto.

# whois -i mnt-by YAHOO-MNT | grep inetnum | awk -F\: '{ print $2 }'

Otros atributos los cuales pueden ser utilizados para hacer consultas inversas son las siguientes:

• -i admin-c [NIC-handle o persona]
• -i person [NIC-handle o persona]
• -i nssever [Dominio o prefijo de dirección o rango o una única dirección]
• -i sub-dom [Dominio]
• -i upd-to [Correo electrónico]
• -i locl-as [Número sistema autónomo]

Se puede también utilizar la herramienta “whois” para consultar nombres de dominio relacionados a un nombre de dominio definido utilizando el siguiente comando.

# whois facebook.com

Al agregar un comando “grep” y “awk” para hacer la consulta se puede filtrar información útil como los servidores de nombres, utilizando el siguiente comando.

# whois facebook.com | grep Name\ Server | awk -F\: '{ print $2 }'

Esta información es útil para los profesionales en pruebas de penetración e ingenieros de seguridad. Los servidores de nombres (DNS) obtenidos pueden ser ahora utilizados para consultarlos utilizando el comando “Dig” o “Nslookup”.

Fuentes:

https://linux.die.net/man/1/whois
https://linux.die.net/man/1/dig
https://linux.die.net/man/1/nslookup
https://linux.die.net/man/1/grep
https://linux.die.net/man/1/awk