WHOIS — протокол и одноимённая служба запросов, позволяющая получить публичную информацию о доменном имени или IP-адресе: имя владельца, регистратор, даты регистрации и истечения, NS-серверы, контактные данные. Протокол определён в RFC 3912 (2004), работает на порту TCP/43.
Как работает WHOIS
Клиент отправляет текстовый запрос на сервер WHOIS: whois example.com в командной строке или через веб-форму. Сервер возвращает структурированный текстовый ответ с данными из реестра. Для доменов .com/.net авторитетный WHOIS-сервер — whois.verisign-grs.com; для .ru — whois.tcinet.ru; для IP-адресов — серверы региональных интернет-реестров (RIR): RIPE NCC (Европа/Россия), ARIN (Северная Америка), APNIC (Азия).
WHOIS-запрос возвращает разные данные в зависимости от зоны и настроек приватности: Registrant (владелец), Admin Contact, Tech Contact, NS-серверы, Created Date, Expiry Date, Status (active, clientTransferProhibited и др.). Статус clientTransferProhibited означает, что домен заблокирован для трансфера — стандартная защита от угона.
С 2018 года ICANN ввёл политику GDPR-compliance для gTLD: данные физических лиц в WHOIS скрыты или заменены на контакты регистратора. Для .ru персональные данные также защищены: при включённой WHOIS Privacy доступны только контакты регистратора и технические записи.
История
WHOIS создан в 1982 году как часть инфраструктуры ARPANET для поиска пользователей и хостов сети. Первоначально использовался для поиска людей по имени, а не только доменов. RFC 812 (1982) определил первую версию протокола. К 1990-м с ростом числа доменов WHOIS превратился в инструмент для проверки регистрации имён. RFC 3912 (2004) стандартизировал современную версию. С 2019 года ICANN развивает замену WHOIS — протокол RDAP (Registration Data Access Protocol, RFC 7480), поддерживающий JSON-ответы и управление доступом к данным.
Применение WHOIS
- Проверка доступности домена — убедиться, что нужное имя свободно, перед регистрацией.
- Анализ конкурентов — узнать дату регистрации, регистратора, NS-серверы.
- Расследование спама и фишинга — установить регистратора для подачи жалобы.
- Проверка истечения домена — отслеживать ценные освобождающиеся имена.
- Обратный WHOIS (Reverse WHOIS) — найти все домены, зарегистрированные на конкретного владельца или email.
На что обращать внимание
WHOIS-информация не всегда актуальна: владелец мог не обновить контакты при смене данных. Расхождение между данными WHOIS и реальными контактами — повод насторожиться при покупке домена или расследовании инцидента. При киберсквоттинге WHOIS используется для подачи жалобы по процедуре UDRP (Uniform Domain-Name Dispute-Resolution Policy) через WIPO. Для IP-адресов WHOIS-запрос покажет, кому выделен блок адресов: провайдеру или организации, что полезно при анализе источников атак на VDS.
RDAP — замена WHOIS
RDAP (Registration Data Access Protocol, RFC 7480–7484) — современный стандарт получения регистрационных данных, разработанный IETF как замена WHOIS. Ключевые преимущества перед WHOIS: структурированный JSON-ответ (парсится программно без regex), HTTPS (шифрование и аутентификация), управление доступом (разные уровни данных для публичных и авторизованных запросов), интернационализация (поддержка Unicode). RDAP-серверы: для .com — https://rdap.verisign.com/com/v1/domain/example.com; для .ru — через сервис RIPE NCC RDAP. Команда curl возвращает JSON: curl https://rdap.verisign.com/com/v1/domain/google.com | jq '.events'. ICANN требует от всех аккредитованных регистраторов поддержки RDAP с 2023 года, однако WHOIS продолжает работать параллельно.