Whois
Whois et outils pour faire un Whois
|
||||
| |
Les outils principaux pour Whois sont dans la boîte à outils d'Assiste.com avec tous les trucs à DNS
Les autres outils sont donnés en bas de cette page.
Faire un Whois
Faire un Whois (Qui est-ce ?) permet d'obtenir quelques informations administratives sur une adresse IP ou un nom de domaine.
Faire un Whois sur un nom de domaine ou une adresse IP permet de savoir qui a déposé le domaine (qui est le propriétaire du nom) et à qui correspond telle adresse IP (typiquement, on se jette sur les Whois et les "trace route" après avoir installé un pare-feu (FireWall) et jeté un coup d'oeil dans les premiers journaux (log)). Les coordonnées géographiques (adresse), noms des serveurs, adresses e-mail, nom des personnes, téléphone, fax etc... sont donnés.
Lorsqu'une société ou un particulier achète un nom de domaine, cet achat est fait auprès d'un organisme (appelé un "régistrar" - il y en a des centaines) agréé par les instances qui gouvernent Internet. Il faut alors déclarer son identité et quelques autres renseignements. Ces renseignements sont stockés dans d'énormes bases de données consultables par tout le monde grâce à l'exécution d'un "Whois".
Ceci permet de commencer à chercher une réponse à:
Mais si ces informations sont souvent exactes pour tous ceux qui oeuvrent ouvertement sur le NET, il n'en est pas forcément de même pour d'autres qui donnent de fausses identités, de fausses adresses etc. ... L'activité des régistrar se limite à vérifier que le nom de domaine revendiqué (par quelqu'un dont rien n'est vérifié, ni l'identité, ni l'adresse) est disponible, à l'enregistrer pour une période donnée (généralement 1 an sans renouvellement automatique), assurer la propagation de cette information sur les serveurs de noms de domaine d'Internet, à assurer 2 ou 3 petits services comme la redirection d'adresses et à encaisser un chèque pour cela.
Identification d'un attaquant
Les adresses IP des attaquants sont masquées (tuneling, enchaînement de proxy anonymes...). Au mieux on aboutira sur un proxy (un ordinateur relais) anonyme ne conservant volontairement pas les logs de connexions et se situant à l'autre bout du monde, lui-même n'étant qu'un maillon dans une longue chaîne de proxy anonymes changeant tout le temps. Donc, sauf à tomber sur un débutant (un script kiddy, un enfant, oeuvrant depuis le PC de ses parents), il faut vraiment que cela en vaille le coup pour lancer une investigation.
Adresse IP d'un serveur
Pour tous les sites hébergés chez les FAI (Wanadoo, Free, Club Internet, iFrance etc. ...), un Whois sur l'adresse IP d'un site donne, comme résultat, les coordonnées de Wanadoo ou de Free etc. ... sans intérêt.
Adresse IP d'un individu
L'adresse IP d'un individu, depuis son domicile, tombe généralement dans un intervalle d'adresses IP dont la gestion a été attribuée à un FAI, adresses que le FAI alloue dynamiquement à n'importe qui au moment d'une demande de connexion et ré-allouées à d'autres dès coupure de connexion. Ainsi, si mon adresse IP, ce matin, est 193.253.200.239, faire un Whois dessus ne m'apprend rien sinon que cette adresse est dans l'intervalle 193.253.200.0 à 193.253.200.255 et que la gestion de cet intervalle a été alloué à France Télécom (Wanadoo Interactive).
Services Whois offerts par des sites remarquables
Whois Afnic pour les domaines enregistrés en .fr
En plus de la base Afnic, le Whois de l'Afnic recherche également dans :
Recherches par adresse IP ou par nom de domaine se terminant par un TLD (Top Level Domain) de pays (.fr, .it, .de ...)
Les autres outils sont donnés en bas de cette page.
Faire un Whois
Faire un Whois (Qui est-ce ?) permet d'obtenir quelques informations administratives sur une adresse IP ou un nom de domaine.
Faire un Whois sur un nom de domaine ou une adresse IP permet de savoir qui a déposé le domaine (qui est le propriétaire du nom) et à qui correspond telle adresse IP (typiquement, on se jette sur les Whois et les "trace route" après avoir installé un pare-feu (FireWall) et jeté un coup d'oeil dans les premiers journaux (log)). Les coordonnées géographiques (adresse), noms des serveurs, adresses e-mail, nom des personnes, téléphone, fax etc... sont donnés.
- Attention
Ces coordonnées sont celles de la personne ou la société qui revendique, administrativement, un nom de domaine et paie annuellement pour cela. Cela ne signifie absolument pas que se soit la même entité ou la même personne qui l'exploite (mais ce sont souvent les mêmes).
- Attention
Lors de l'achat d'un nom de domaine par quelqu'un, absolument aucune vérification n'est faite (ni demandée) par le "registrar" (l'organisme qui a délégation pour enregistrer le nom de domaine) sur les renseignements fournis. En matière de sécurité informatique, les recherches que l'on peu faire sur les crapules du Net peuvent donner des résultats complètement faux (les crapules se cachent).
- Attention
Faire un Whois sur une adresse IP ne permet, généralement, que de remonter jusqu'aux nom, adresse et coordonnées du fournisseur d'accès à Internet (FAI) qui gère le bloc d'adresses IP contenant l'IP recherchée. Il ne donne probablement pas de renseignements sur l'administrateur de l'ordinateur désigné spécifiquement par l'adresse IP recherchée. Toutefois cela peut aider à le localiser géographiquement. Attention : il serait faux de croire que les personnes citées dans ce rapport sont à l'origine de l'alerte reçue sur votre ordinateur.
Lorsqu'une société ou un particulier achète un nom de domaine, cet achat est fait auprès d'un organisme (appelé un "régistrar" - il y en a des centaines) agréé par les instances qui gouvernent Internet. Il faut alors déclarer son identité et quelques autres renseignements. Ces renseignements sont stockés dans d'énormes bases de données consultables par tout le monde grâce à l'exécution d'un "Whois".
Ceci permet de commencer à chercher une réponse à:
- Dans le cadre d'une attaque, j'ai une adresse IP loggée dans mon firewall : qui est derrière cette adresse ?
- Ce nom de domaine (ce site), à qui est-ce ?
Mais si ces informations sont souvent exactes pour tous ceux qui oeuvrent ouvertement sur le NET, il n'en est pas forcément de même pour d'autres qui donnent de fausses identités, de fausses adresses etc. ... L'activité des régistrar se limite à vérifier que le nom de domaine revendiqué (par quelqu'un dont rien n'est vérifié, ni l'identité, ni l'adresse) est disponible, à l'enregistrer pour une période donnée (généralement 1 an sans renouvellement automatique), assurer la propagation de cette information sur les serveurs de noms de domaine d'Internet, à assurer 2 ou 3 petits services comme la redirection d'adresses et à encaisser un chèque pour cela.
Identification d'un attaquant
Les adresses IP des attaquants sont masquées (tuneling, enchaînement de proxy anonymes...). Au mieux on aboutira sur un proxy (un ordinateur relais) anonyme ne conservant volontairement pas les logs de connexions et se situant à l'autre bout du monde, lui-même n'étant qu'un maillon dans une longue chaîne de proxy anonymes changeant tout le temps. Donc, sauf à tomber sur un débutant (un script kiddy, un enfant, oeuvrant depuis le PC de ses parents), il faut vraiment que cela en vaille le coup pour lancer une investigation.
Adresse IP d'un serveur
Pour tous les sites hébergés chez les FAI (Wanadoo, Free, Club Internet, iFrance etc. ...), un Whois sur l'adresse IP d'un site donne, comme résultat, les coordonnées de Wanadoo ou de Free etc. ... sans intérêt.
Adresse IP d'un individu
L'adresse IP d'un individu, depuis son domicile, tombe généralement dans un intervalle d'adresses IP dont la gestion a été attribuée à un FAI, adresses que le FAI alloue dynamiquement à n'importe qui au moment d'une demande de connexion et ré-allouées à d'autres dès coupure de connexion. Ainsi, si mon adresse IP, ce matin, est 193.253.200.239, faire un Whois dessus ne m'apprend rien sinon que cette adresse est dans l'intervalle 193.253.200.0 à 193.253.200.255 et que la gestion de cet intervalle a été alloué à France Télécom (Wanadoo Interactive).
Services Whois offerts par des sites remarquables
- dnsstuff.com
Une collection d'outils dont la consultation de plus de 150 RBL anti-spam, Whois, IPWhois etc. ...
http://www.dnsstuff.com/
- Whois.CyberAbuse.org
Se sert de ARIN, RIPE, APNIC, JPNIC, KRNIC, LACNIC, BRNIC et ERX project data.
Utilise également SwiNOG/FRnOG routeserver data
Whois.CyberAbuse.org
- Whois UXN
Cette page interroge automatiquement le bon serveur et regorge d'outils connexes.
UXN Spam Combat
- Whois Geektools
La page Whois de Geektools interroge automatiquement le bon serveur.
Whois de Geektools
- Whois SamSpade
La page de SamSpade.org regorge de whois et outils connexes.
SamSpade.org
- Whois Source
Service créé en août 2004. Possibilités de recherches sur nom partiel de domaine et sur adresse IP (sur les zones couvertes par RIPE & ARIN). Des informations en plus du Whois : adresse IP, vignette de la page d'accueil, autres TLD (utilisé, réservé, parqué...) pour le même nom de domaine, autres sites comportant la même chaîne de caractères dans leurs noms...
Whois Source
- Complete Whois
http://www.completewhois.com/whois.htm
- WhoisFinder
http://www.whoisfinder.com/
- Whois Ripe
Europe, Moyen Orient, Asie Centrale, pays d'Afrique au nord de l'équateur
Whois Ripe
- Whois Afnic
Whois chez Afnic uniquement pour les domaines en .fr
Afnic
Whois Afnic pour les domaines enregistrés en .fr
- Whois RIPE pour l'Europe, le Moyen Orient, l'Asie Centrale et Afrique au nord de l'équateur
Whois RIPE NCC Réseaux IP Européens Network Coordination Centre
- Whois ARIN pour l'Amérique du Nord
Whois ARIN American Registry for Internet Numbers
- Whois APNIC pour l'Asie et le Pacifique
Whois APNIC Asia Pacific Network Information Centre
- Whois LACNIC pour l'Amérique Latine et les Caraïbes
Whois LACNIC Latin American and Caribbean IP address Regional Registry
- Whois Internic
Métabase de données Internic agrégeant toutes les bases spécialisées suivantes .aero, .arpa, .biz, .com, .coop, .edu, .info, .int, .museum, .net, et .org
Whois Internic
- Base de données spécialisée .com .org .net .edu
Whois VeriSign pour les domaines enregistrés en .com, .org, .net et .edu
- Base de données spécialisée .biz
Whois NeuLevel pour les domaines enregistrés en .biz
- Base de données spécialisée .info
Whois Afilias Limited pour les domaines enregistrés en .info
- Base de données spécialisée .name
Whois Global Name Registry pour les domaines enregistrés en .name
- Base de données spécialisée .museum
Whois MuseDoma pour les domaines enregistrés en .museum
- Base de données spécialisée .coop
Whois NCBA pour les domaines enregistrés en .coop
- Base de données spécialisée .aero
Whois SITA pour les domaines enregistrés en .aero
- Base de données spécialisée .pro
Whois RegistryPro pour les domaines enregistrés en .pro
Nota : décembre 2002 - le TLD (Top-Level Domain) .pro n'est pas encore opérationnel - négociations en cours avec la gouvernance d'Internet
Whois Afnic pour les domaines enregistrés en .fr
En plus de la base Afnic, le Whois de l'Afnic recherche également dans :
- 3 des 4 RIRs (RIPE, ARIN, APNIC - vois ci-dessous)
- la métabase Internic des TLD génériques ou catégoriels
- les bases Frnic, Radb, et 6bone
Recherches par adresse IP ou par nom de domaine se terminant par un TLD (Top Level Domain) de pays (.fr, .it, .de ...)
- Bases de données régionales
L'espace d'adressage en adresses IP (IPV4 de 000.000.000.000 à 255.255.255.255) est distribué de manière hiérarchique par l'IANA, l'une des autorité de gouvernance de l'espace Internet. L'IANA alloue des blocs d'espace d'adressage IP à des Regional Internet Registries (RIRs). Les RIRs allouent à leur tour des blocs d'espace d'adressage IP à des Local Internet Registries (LIRs) qui assignent les adresses aux utilisateurs finaux. Pour en savoir plus à propos de l'histoire des Regional Internet Registries, lire "Development of the Regional Internet Registry System", publié dans le Cisco Internet Protocol Journal, décembre 2001. Il y a, actuellement, 4 RIRs.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music