Documentación explícita referente a redes, sistemas y seguridad informática.
Categorías
Administración y Seguridad Programación
Afiliados
- Autor: Sh4v
- |
- Fecha: 2009-10-06
- |
- Categoría: Redes
"Whois" proviene de "Who is" en inglés, que traducido al castellano viene a decir "Quien es". Pero... ¿Qué es Whois? Pues no es otra cosa que un protocolo basado en TCP (Transfer Control Protocol) y que sirve para realizar consultas a bases de datos con la idea de conseguir información sobre un dominio o una dirección IP.
Los sistemas operativos basados en UNIX, como por ejemplo GNU/Linux, Mac OS, Solaris... vienen con una utilidad por medio de la línea de comandos que desempeña esta función. Vamos a probar esta utilidad. Elegid una página, la que vosotros queráis:
No he puesto todo el resultado ya que ocuparía espacio innecesario. En un momento y con un solo comando nos hemos hecho con la dirección, el código postal, el número de teléfono y de fax, los servidores de nombre de dominio (DNS) primario y secundiaro, la fecha de creación, la fecha de actualización, la fecha de expiración... os preguntaréis ¿pero qué demonios es toda esa parrafada que nos sale? pues vienen a ser los términos de uso. Si quieres saber mejor que dice, utiliza el traductor de google =P.
Ahora vamos con los RIR. Los RIR (Regional Internet Registries) almacenan información útil relacionada con bloques de red. En otras palabras, son bases de datos WHOIS que almacenan datos con dependencia de un emplazamiento. Existen por tanto varias regiones lógicas y geográficas en las cuales se almacena información sobre nombres de dominio y direcciones IP. De esta manera distinguimos 5 grandes áreas geográficas dentro del planeta y cada una de ellas con su propio servidor WHOIS:
Cada una de estas bases de datos contienen información específica de su territorio. No esperes encontrar información de una página asiática en ripe.net. Vamos a realizar a continuación una consulta en una de estas bases de datos. El comando ahora sufrirá una pequeña modificación. Añadiremos "-h" para indicar el host que vamos a consultar. Vamos a realizar ahora una consulta a Nestle. Lo primero que vamos a hacer es ir a google y escribir "Nestle" para dar con la página original. Nos sale en primer lugar "www.nestle.es". Ahora, para cerciorarnos de qué base de datos consultar, vamos a "www.utrace.de" y consultamos. Parece ser que el servidor está en Londres. Por tanto utilizaremos la base de datos de Europa (ripe.net). Vamos a ello:
Bueno, podéis ver la cantidad de datos que nos ofrece. Hasta nos da información sobre el rango de IP's utilizado =O!
Ahora vamos a hacer algo un poco más atrevido (espero que no me investiguen por esto). Probad a buscar cni.es (página web del Centro Nacional de Inteligencia español) con Whois y os saldrá algo así:
Elegimos el primero y pulsamos en "ver datos". Nos llevará a otra página con información sobre el dominio. Podéis ver que hay 3 personas encargadas cada una de una función: Contacto administrativo, contacto técnico y contacto de facturación. Cada una de ellas tiene un nic. Si le damos a la flechita nos revelará información personal sobre cada una de estas personas.
No pongo capturas de imagen con los nombres, calle, teléfono, etc... de los agentes porque igual me meto en un lío. Quiero que quede constancia de que he mostrado una técnica conocida mediante la cual, cualquier atacante se podría haber hecho con datos privados del administrador del sistema.
_________________________________________________________________________________
1. Azuma - 2009-10-06:
Muy bueno shav! Es imprescindible conocer un mínimo el whois, y perfectamente explicado, sigue así! ;)
---------------------------------------------------------------
Los sistemas operativos basados en UNIX, como por ejemplo GNU/Linux, Mac OS, Solaris... vienen con una utilidad por medio de la línea de comandos que desempeña esta función. Vamos a probar esta utilidad. Elegid una página, la que vosotros queráis:
sh4van3@Sh4van3-laptop:~$ whois casadellibro.com
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: CASADELLIBRO.COM
Registrar: NOMINALIA INTERNET S.L.
Whois Server: whois.nominalia.com
Referral URL: http://www.nominalia.com
Name Server: NS1.ACENS.NET
Name Server: NS2.ACENS.NET
Status: ok
Updated Date: 02-dec-2008
Creation Date: 04-dec-1997
Expiration Date: 03-dec-2010
>>> Last update of whois database: Mon, 15 Dec 2008 15:54:43 EST <<<>>> Last update of whois database: Mon Dec 15 21:48:58 2008 <<<
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: CASADELLIBRO.COM
Registrar: NOMINALIA INTERNET S.L.
Whois Server: whois.nominalia.com
Referral URL: http://www.nominalia.com
Name Server: NS1.ACENS.NET
Name Server: NS2.ACENS.NET
Status: ok
Updated Date: 02-dec-2008
Creation Date: 04-dec-1997
Expiration Date: 03-dec-2010
>>> Last update of whois database: Mon, 15 Dec 2008 15:54:43 EST <<<>>> Last update of whois database: Mon Dec 15 21:48:58 2008 <<<
No he puesto todo el resultado ya que ocuparía espacio innecesario. En un momento y con un solo comando nos hemos hecho con la dirección, el código postal, el número de teléfono y de fax, los servidores de nombre de dominio (DNS) primario y secundiaro, la fecha de creación, la fecha de actualización, la fecha de expiración... os preguntaréis ¿pero qué demonios es toda esa parrafada que nos sale? pues vienen a ser los términos de uso. Si quieres saber mejor que dice, utiliza el traductor de google =P.
Ahora vamos con los RIR. Los RIR (Regional Internet Registries) almacenan información útil relacionada con bloques de red. En otras palabras, son bases de datos WHOIS que almacenan datos con dependencia de un emplazamiento. Existen por tanto varias regiones lógicas y geográficas en las cuales se almacena información sobre nombres de dominio y direcciones IP. De esta manera distinguimos 5 grandes áreas geográficas dentro del planeta y cada una de ellas con su propio servidor WHOIS:
- América del Norte: ARIN (American Registry for Internet Numbers) www.arin.net
- Europa: RIPE (Réseaux IP Européens) www.ripe.net
- Africa: AfrNIC (African Network Information Center) www.afrnic.net
- Latino America y Caribe: LACNIC (Latino American and Caribbean Network Information Centre) www.lacnic.net
- Asia y Pacífico: APNIC (Asia Pacific Network Information Centre) www.apnic.net
Cada una de estas bases de datos contienen información específica de su territorio. No esperes encontrar información de una página asiática en ripe.net. Vamos a realizar a continuación una consulta en una de estas bases de datos. El comando ahora sufrirá una pequeña modificación. Añadiremos "-h" para indicar el host que vamos a consultar. Vamos a realizar ahora una consulta a Nestle. Lo primero que vamos a hacer es ir a google y escribir "Nestle" para dar con la página original. Nos sale en primer lugar "www.nestle.es". Ahora, para cerciorarnos de qué base de datos consultar, vamos a "www.utrace.de" y consultamos. Parece ser que el servidor está en Londres. Por tanto utilizaremos la base de datos de Europa (ripe.net). Vamos a ello:
sh4van3@Sh4van3-laptop:~$ whois nestle -h whois.ripe.net
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '195.226.192.0 - 195.226.207.255'
inetnum: 195.226.192.0 - 195.226.207.255
netname: NESTLE
descr: Nestle IP-Network
country: IT
admin-c: BG277-RIPE
tech-c: PF331-RIPE
tech-c: CA137-RIPE
status: ASSIGNED PA
mnt-by: RIPE-NCC-LOCKED-MNT
remarks: Maintainer RIPE-NCC-NONE-MNT removed and object
remarks: LOCKED by the RIPE NCC due to
remarks: deprecation of the NONE authentication scheme.
remarks: Please visit the following URL to unlock this object
remarks: http://www.ripe.net/db/none-deprecation-042004.html
source: RIPE # Filtered
person: Bergamini Giorgio
address: Viale Richard 5=09
address: 20143 Milano Italy=20
phone: +39 2 81817376
fax-no: +39 2 89123435
e-mail: Giorgio.Bergamini@IT01.NESTLE.COM
nic-hdl: BG277-RIPE
source: RIPE # Filtered
person: Comi Aurelio
address: Viale Richard 5=09
address: 20143 Milano Italy=20
phone: +39 2 81817378
fax-no: +39 2 89123435
e-mail: Aurelio.Comi@IT01.NESTLE.COM
nic-hdl: CA137-RIPE
source: RIPE # Filtered
person: Peter Franke
address: Wostok Verlag
address: Chodowieckistr. 30
address: D-10405 Berlin
phone: +49-30-44008037
nic-hdl: PF331-RIPE
mnt-by: DENIC-P
source: RIPE # Filtered
% Information related to '195.193.9.0 - 195.193.9.255'
inetnum: 195.193.9.0 - 195.193.9.255
netname: NESTLE
descr: Nestle Nederland b.v.
country: NL
admin-c: AC1574-RIPE
tech-c: AC1574-RIPE
status: ASSIGNED PA
mnt-by: NLNET-MNT
mnt-lower: NLNET-MNT
source: RIPE # Filtered
person: A Couperus
address: Nestle Nederland b.v.
address: Diemermere 40
address: NL-1112 XH Diemen
address: The Netherlands
phone: +31 20 3696969
nic-hdl: AC1574-RIPE
source: RIPE # Filtered
% Information related to '195.71.155.192 - 195.71.155.223'
inetnum: 195.71.155.192 - 195.71.155.223
netname: NESTLE
descr: Nestle Deutschland AG
descr: Lyoner Strasse 23
descr: 60523 Frankfurt
country: DE
admin-c: MK4523-RIPE
tech-c: MWH6-RIPE
status: ASSIGNED PA
mnt-by: MDA-Z
source: RIPE # Filtered
role: mediaWays Hostmaster
address: Telefonica Deutschland GmBH
address: Huelshorstweg 30
address: Postfach 185
address: D-33415 Verl
phone: +49 5246 80 1244
fax-no: +49 5246 80 2081
e-mail: abuse@telefonica.de
e-mail: hostmaster@telefonica.de
e-mail: ncc@telefonica.de
admin-c: ABEN1-RIPE
admin-c: PTA7-RIPE
tech-c: ABEN1-RIPE
tech-c: PTA7-RIPE
nic-hdl: MWH6-RIPE
mnt-by: MDA-Z
source: RIPE # Filtered
person: Marcus Klimm
address: Nestle Deutschland AG
address: Lyoner Strasse 23
address: 60523 Frankfurt
address: DE
phone: +49 69 6671 3966
fax-no: +49 69 6671 4276
e-mail: marcus.klimm@de.nestle.com
nic-hdl: MK4523-RIPE
mnt-by: MDA-Z
source: RIPE # Filtered
% Information related to 'ORG-NPS2-RIPE'
organisation: ORG-NPS2-RIPE
org-name: Nestle Polska S.A.
org-type: OTHER
address: Szturmowa 2
address: Warszawa 02-678
address: Poland
phone: +48 22 6072342
e-mail: wojciech.krypiak@pl.nestle.com
mnt-ref: IPARTNERS-MNT
mnt-ref: Nestle-PL-MNT
mnt-by: IPARTNERS-MNT
mnt-by: Nestle-PL-MNT
source: RIPE # Filtered
% Information related to 'ORG-NNS5-RIPE'
organisation: ORG-NNS5-RIPE
org-name: Nestle Nespresso S.A.
org-type: OTHER
address: Rte du Lac 3, CH-1094 Paudex
e-mail: stephane.rouiller@nespresso.com
mnt-ref: AS6730-MNT
mnt-by: AS6730-MNT
source: RIPE # Filtered
% Information related to 'LNF3-RIPE'
person: Lactalis Nestle Frischprodukte
address: Lactalis Nestle Frischprodukte
address: Grafenaustr. 7
address: CH-6300 Zug
phone: +41 41 7276520
e-mail: martin_wohlgemuth@nestle.com
nic-hdl: LNF3-RIPE
source: RIPE # Filtered
% Information related to 'LNF4-RIPE'
person: Lactalis Nestle Frischprodukte
address: Lactalis Nestle Frischprodukte
address: Grafenaustr. 7
address: CH-6300 Zug
phone: +41 41 7276520
e-mail: martin_wohlgemuth@nestle.com
nic-hdl: LNF4-RIPE
source: RIPE # Filtered
% Information related to 'NAN23-RIPE'
person: Nespresse AG Nestle
address: Nestle Nespresso SA
address: Zl Es Mottes 0
address: 1580 Avenches
address: Switzerland
phone: +41793557128
e-mail: m.streit@virtual-networks.ch
mnt-by: CH-GREEN-MNT
nic-hdl: NAN23-RIPE
source: RIPE # Filtered
% Information related to 'NPL3-RIPE'
person: Nestle Pakistan Limited
address: Khanewal Kabirwala Road
Kabirwala, District Khanewal
Pakistan
abuse-mailbox: Abid.Zafar@pk.nestle.com
phone: +92 6512 411433
nic-hdl: NPL3-RIPE
mnt-by: oxieparabolen-mnt
source: RIPE # Filtered
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '195.226.192.0 - 195.226.207.255'
inetnum: 195.226.192.0 - 195.226.207.255
netname: NESTLE
descr: Nestle IP-Network
country: IT
admin-c: BG277-RIPE
tech-c: PF331-RIPE
tech-c: CA137-RIPE
status: ASSIGNED PA
mnt-by: RIPE-NCC-LOCKED-MNT
remarks: Maintainer RIPE-NCC-NONE-MNT removed and object
remarks: LOCKED by the RIPE NCC due to
remarks: deprecation of the NONE authentication scheme.
remarks: Please visit the following URL to unlock this object
remarks: http://www.ripe.net/db/none-deprecation-042004.html
source: RIPE # Filtered
person: Bergamini Giorgio
address: Viale Richard 5=09
address: 20143 Milano Italy=20
phone: +39 2 81817376
fax-no: +39 2 89123435
e-mail: Giorgio.Bergamini@IT01.NESTLE.COM
nic-hdl: BG277-RIPE
source: RIPE # Filtered
person: Comi Aurelio
address: Viale Richard 5=09
address: 20143 Milano Italy=20
phone: +39 2 81817378
fax-no: +39 2 89123435
e-mail: Aurelio.Comi@IT01.NESTLE.COM
nic-hdl: CA137-RIPE
source: RIPE # Filtered
person: Peter Franke
address: Wostok Verlag
address: Chodowieckistr. 30
address: D-10405 Berlin
phone: +49-30-44008037
nic-hdl: PF331-RIPE
mnt-by: DENIC-P
source: RIPE # Filtered
% Information related to '195.193.9.0 - 195.193.9.255'
inetnum: 195.193.9.0 - 195.193.9.255
netname: NESTLE
descr: Nestle Nederland b.v.
country: NL
admin-c: AC1574-RIPE
tech-c: AC1574-RIPE
status: ASSIGNED PA
mnt-by: NLNET-MNT
mnt-lower: NLNET-MNT
source: RIPE # Filtered
person: A Couperus
address: Nestle Nederland b.v.
address: Diemermere 40
address: NL-1112 XH Diemen
address: The Netherlands
phone: +31 20 3696969
nic-hdl: AC1574-RIPE
source: RIPE # Filtered
% Information related to '195.71.155.192 - 195.71.155.223'
inetnum: 195.71.155.192 - 195.71.155.223
netname: NESTLE
descr: Nestle Deutschland AG
descr: Lyoner Strasse 23
descr: 60523 Frankfurt
country: DE
admin-c: MK4523-RIPE
tech-c: MWH6-RIPE
status: ASSIGNED PA
mnt-by: MDA-Z
source: RIPE # Filtered
role: mediaWays Hostmaster
address: Telefonica Deutschland GmBH
address: Huelshorstweg 30
address: Postfach 185
address: D-33415 Verl
phone: +49 5246 80 1244
fax-no: +49 5246 80 2081
e-mail: abuse@telefonica.de
e-mail: hostmaster@telefonica.de
e-mail: ncc@telefonica.de
admin-c: ABEN1-RIPE
admin-c: PTA7-RIPE
tech-c: ABEN1-RIPE
tech-c: PTA7-RIPE
nic-hdl: MWH6-RIPE
mnt-by: MDA-Z
source: RIPE # Filtered
person: Marcus Klimm
address: Nestle Deutschland AG
address: Lyoner Strasse 23
address: 60523 Frankfurt
address: DE
phone: +49 69 6671 3966
fax-no: +49 69 6671 4276
e-mail: marcus.klimm@de.nestle.com
nic-hdl: MK4523-RIPE
mnt-by: MDA-Z
source: RIPE # Filtered
% Information related to 'ORG-NPS2-RIPE'
organisation: ORG-NPS2-RIPE
org-name: Nestle Polska S.A.
org-type: OTHER
address: Szturmowa 2
address: Warszawa 02-678
address: Poland
phone: +48 22 6072342
e-mail: wojciech.krypiak@pl.nestle.com
mnt-ref: IPARTNERS-MNT
mnt-ref: Nestle-PL-MNT
mnt-by: IPARTNERS-MNT
mnt-by: Nestle-PL-MNT
source: RIPE # Filtered
% Information related to 'ORG-NNS5-RIPE'
organisation: ORG-NNS5-RIPE
org-name: Nestle Nespresso S.A.
org-type: OTHER
address: Rte du Lac 3, CH-1094 Paudex
e-mail: stephane.rouiller@nespresso.com
mnt-ref: AS6730-MNT
mnt-by: AS6730-MNT
source: RIPE # Filtered
% Information related to 'LNF3-RIPE'
person: Lactalis Nestle Frischprodukte
address: Lactalis Nestle Frischprodukte
address: Grafenaustr. 7
address: CH-6300 Zug
phone: +41 41 7276520
e-mail: martin_wohlgemuth@nestle.com
nic-hdl: LNF3-RIPE
source: RIPE # Filtered
% Information related to 'LNF4-RIPE'
person: Lactalis Nestle Frischprodukte
address: Lactalis Nestle Frischprodukte
address: Grafenaustr. 7
address: CH-6300 Zug
phone: +41 41 7276520
e-mail: martin_wohlgemuth@nestle.com
nic-hdl: LNF4-RIPE
source: RIPE # Filtered
% Information related to 'NAN23-RIPE'
person: Nespresse AG Nestle
address: Nestle Nespresso SA
address: Zl Es Mottes 0
address: 1580 Avenches
address: Switzerland
phone: +41793557128
e-mail: m.streit@virtual-networks.ch
mnt-by: CH-GREEN-MNT
nic-hdl: NAN23-RIPE
source: RIPE # Filtered
% Information related to 'NPL3-RIPE'
person: Nestle Pakistan Limited
address: Khanewal Kabirwala Road
Kabirwala, District Khanewal
Pakistan
abuse-mailbox: Abid.Zafar@pk.nestle.com
phone: +92 6512 411433
nic-hdl: NPL3-RIPE
mnt-by: oxieparabolen-mnt
source: RIPE # Filtered
Bueno, podéis ver la cantidad de datos que nos ofrece. Hasta nos da información sobre el rango de IP's utilizado =O!
Ahora vamos a hacer algo un poco más atrevido (espero que no me investiguen por esto). Probad a buscar cni.es (página web del Centro Nacional de Inteligencia español) con Whois y os saldrá algo así:
sh4van3@Sh4van3-laptop:~$ whois cni.es
Este TLD no dispone de servidor whois, pero puede acceder a la información de whois en
https://www.nic.es/
Este TLD no dispone de servidor whois, pero puede acceder a la información de whois en
https://www.nic.es/
Elegimos el primero y pulsamos en "ver datos". Nos llevará a otra página con información sobre el dominio. Podéis ver que hay 3 personas encargadas cada una de una función: Contacto administrativo, contacto técnico y contacto de facturación. Cada una de ellas tiene un nic. Si le damos a la flechita nos revelará información personal sobre cada una de estas personas.
No pongo capturas de imagen con los nombres, calle, teléfono, etc... de los agentes porque igual me meto en un lío. Quiero que quede constancia de que he mostrado una técnica conocida mediante la cual, cualquier atacante se podría haber hecho con datos privados del administrador del sistema.
_________________________________________________________________________________
1. Azuma - 2009-10-06:
Muy bueno shav! Es imprescindible conocer un mínimo el whois, y perfectamente explicado, sigue así! ;)
---------------------------------------------------------------
