WHOIS IP — протокол и одноимённая утилита командной строки для запроса регистрационной информации об IP-адресах, AS-номерах и сетевых блоках. Запрос уходит в базу данных регионального интернет-регистратора (RIR), ответ содержит: диапазон IP-блока, название организации-владельца, ASN, страну, контактные данные abuse и технической поддержки.
Как работает
Протокол WHOIS определён в RFC 3912 (2004) — текстовый протокол поверх TCP, порт 43. Клиент отправляет строку запроса, сервер возвращает текстовый ответ. Утилита whois 8.8.8.8 определяет нужный RIR-сервер по диапазону адреса и делает запрос автоматически.
Региональные интернет-регистраторы:
- RIPE NCC — Европа, Ближний Восток, Центральная Азия. База:
whois.ripe.net. - ARIN — Северная Америка. База:
whois.arin.net. - APNIC — Азиатско-Тихоокеанский регион. База:
whois.apnic.net. - LACNIC — Латинская Америка. База:
whois.lacnic.net. - AFRINIC — Африка. База:
whois.afrinic.net.
Иерархия: IANA → RIR → LIR (Local Internet Registry, обычно провайдер) → конечный пользователь. Хостинг-провайдер получает IP-блок от RIR или через LIR, регистрирует allocation/assignment в базе RIPE.
Что показывает WHOIS
Типичные поля ответа:
- inetnum
- Диапазон IP-блока:
185.100.200.0 - 185.100.200.255 - netname
- Имя сети
- org
- Организация-владелец
- country
- Страна регистрации
- mnt-by
- Ответственный maintainer
- abuse-c
- Контакт для abuse-жалоб
- route
- Маршрутный объект с ASN
История
WHOIS разработан Элизабет Фейнлер в 1970-х годах для каталога ARPANET-хостов в Стэнфордском НИИ. Первоначально база была единой и хранила данные о всех хостах сети. С ростом интернета полномочия распределились между региональными регистраторами. RFC 954 (1985) формализовал протокол. RFC 3912 (2004) уточнил детали. В 2019 году GDPR существенно ограничил публичность WHOIS для доменов физических лиц.
На что обращать внимание
WHOIS IP полезен для: расследования источников спама и DDoS (abuse-контакт), определения геолокации IP для CDN-стратегии, проверки того, что купленный IP-блок не числится в спам-листах. Для программного доступа к данным RIPE предоставляет REST API (https://rest.db.ripe.net/) вместо устаревшего WHOIS-протокола. Данные WHOIS не всегда актуальны — обновление занимает до 24 часов.
История WHOIS
Протокол WHOIS разработан Элизабет Фейнлер в 1982 году как часть ARPANET NIC. Первоначально хранился единый файл HOSTS.TXT с информацией обо всех подключённых хостах. С ростом интернета функции разделились: для имён — DNS, для информации о регистрантах — WHOIS. Современный стандарт описан в RFC 3912 (2004). WHOIS-протокол. RDAP (Registration Data Access Protocol, RFC 7480) — преемник WHOIS на основе JSON REST API, введён ICANN с 2019 года.
Практическое применение для администратора
WHOIS IP используется для: диагностики источника атак (DDoS, брутфорс), выявления принадлежности IP-блока к конкретному AS, проверки репутации IP-адреса перед добавлением в белый список. Команды: whois <ip> в Linux, или curl https://whois.arin.net/rest/ip/<ip> через ARIN REST API. Для автоматизации используйте Python-библиотеку ipwhois.