Противодействие хакерским угрозам
Модераторы: Olej, adminn, vikos
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 17:56
Olej писал(а): ↑16 мар 2023, 17:49
Сравним информацию, выдаваемую по URL и по IP:
Но если б это было всё
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ whois internetofbacteria.org | grep ^Registrant
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization:
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: Krasnodarskiy kray
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: RU
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Видите: Krasnodarskiy kray
А теперь так:
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ host internetofbacteria.org
internetofbacteria.org has address 213.159.214.240
internetofbacteria.org mail is handled by 20 mail.internetofbacteria.org.
internetofbacteria.org mail is handled by 10 mail.internetofbacteria.org.
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ whois "213.159.214.240" | grep ^address
address: 664035, Russia, Irkutsk, Surnova st. 22, office 302
address: 664035
address: Irkutsk
address: RUSSIAN FEDERATION
address: 664035, Russia, Irkutsk, Surnova st. 22, office 302
Иркутск - это в Краснодарском крае
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 18:31
Olej писал(а): ↑16 мар 2023, 17:49
Как видно - это существенно разная информация
Придётся разбираться -
Whois: практическое руководство пользователя
Вся работа whois описана в RFC 3912 (
http://tools.ietf.org/html/rfc3912) и занимает целых 4 страницы. В нескольких словах, все сводится к следующему: откройте TCP соединение на порт 43 к нужному whois серверу, пошлите запрос в определенном формате (который для конкретного whois сервера может быть каким угодно), закончите его "\r\n" и получите результат, формат которого для конкретного whois сервера также может быть каким угодно. Закрытие сервером соединения означает окончание результата. Все! Иными словами, каждый whois сервер определяет формат коммуникации по собственному усмотрению. Это уже не говоря о том, что абсолютно неочевидно, откуда взять нужный whois сервер для конкретного домена или IP адреса.
Итак, что собой представляет работа Unix-ового whois?
* Если мы ищем домен, то определяем для него домен верхнего уровня (например, «ru») и посылаем запрос на whois сервер типа ru.whois-servers.net. Если полученный результат содержит строку вида «Whois Server: <название сервера>», то посылаем запрос также на этот новый сервер и результаты объединяем.
* Если мы ищем IP адрес, то посылаем запрос на whois.arin.net (whois сервер, ответственный за Северную Америку). Если полученный результат упоминает один из известных нам региональных серверов (латиноамериканский, европейский, тихоокеанский и африканский), то посылаем запрос также на этот новый сервер и результаты объединяем.
* Для большинства whois серверов запрос посылается в формате "<домен или IP адрес>\r\n". Для двух whois серверов (whois.denic.de и whois.dk-hostmaster.dk) запрос посылается в своем особом формате.
* Пользователь имеет возможность сам указать whois сервер, к которому нужно обращаться.
Т.е., как минимум, запросы whois linux-ru.ru и whois 90.156.230.27 первонаяально летят на совершенно разные WHOIS сервера ...
1-й на :
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ host ru.whois-servers.net
ru.whois-servers.net is an alias for whois.ripn.net.
whois.ripn.net has address 212.193.111.1
whois.ripn.net has IPv6 address 2001:6d0:ffc4::1
whois.ripn.net mail is handled by 0 nomail.ripn.net.
2-й на :
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ host whois.arin.net
whois.arin.net has address 199.71.0.46
whois.arin.net has address 199.5.26.46
whois.arin.net has address 199.212.0.46
whois.arin.net has IPv6 address 2001:500:a9::46
whois.arin.net has IPv6 address 2001:500:13::46
whois.arin.net has IPv6 address 2001:500:31::46
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 18:50
Olej писал(а): ↑16 мар 2023, 18:31
1-й на :
И в этом можно убедиться на их сайте
Whois, если ввести в форму linux-ru.ru - и получить в точности ту же информацию.
А по IP эта форма ввод не принимает!
И там же официальный документ
Описание и условия использования Сервиса регистрационных данных (Whois) для реестров .RU и .РФ
Руководство Пользователя
на 8 страницах
Судя по тексту, руководство опирается на сервис/программу (так они её упоминают) для пользователя ... Windows.
Но это не так важно.
И там же, что очень полезно:
2.2.1. Описание полей ответа Программы
И конечно там нет поля address:
Код: Выделить всё
olej@R420:~$ whois linux-ru.ru
% TCI Whois Service. Terms of use:
% https://tcinet.ru/documents/whois_ru_rf.pdf (in Russian)
% https://tcinet.ru/documents/whois_su.pdf (in Russian)
domain: LINUX-RU.RU
nserver: ns1.timeweb.ru.
nserver: ns2.timeweb.ru.
nserver: ns3.timeweb.org.
nserver: ns4.timeweb.org.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: TIMEWEB-RU
admin-contact: http://timeweb.name/contact-admin
created: 2018-07-03T18:55:08Z
paid-till: 2023-07-03T18:55:08Z
free-date: 2023-08-03
source: TCI
Last updated on 2023-03-16T15:46:30Z
И как было уже сказано:
Olej писал(а): ↑16 мар 2023, 18:31
и получите результат, формат которого для конкретного whois сервера также может быть каким угодно
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 19:43
Olej писал(а): ↑16 мар 2023, 18:31
Придётся разбираться - Whois: практическое руководство пользователя
К этому времени у меня уже были определенные идеи касательно того, как должен работать «правильный» whois
Как следует из текста, автор очень невысокого мнения о
всех существующих Whois сервисах
Также хочется упомянуть сайт
http://whois.domaintools.com — лучший whois веб сервис, который мне удалось найти. Естественно, я не имел возможности видеть его исходный код, однако во многих случаях сравнение его результатов с моими служило хорошей «наводкой». Не буду озвучивать предположения касательно того, как он работает, однако по факту он показывал намного лучшие результаты, чем вышеупомянутые программы (как я уже упоминал, о возможностях Ruby Whois я сужу только по коду).
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 19:51
Olej писал(а): ↑16 мар 2023, 19:43
Как следует из текста, автор очень невысокого мнения о всех существующих Whois сервисах
Поэтому следует бы посмотреть что там поменялось ... за 10 лет:
Код: Выделить всё
olej@R420:~$ aptitude search whois
p gwhois - generic Whois Client / Server
p libnet-whois-ip-perl - Lookup whois entries of IP addresses with Perl
p libnet-whois-parser-perl - module for parsing whois information
p libnet-whois-raw-perl - Perl Module providing an API to access whois database
p libnet-xwhois-perl - Whois Client Interface for Perl5
p php-net-whois - PHP PEAR module for querying whois services
p python-cymruwhois-doc - python-cymruwhois common documentation
p python3-cymruwhois - Python library for interfacing with the whois.cymru.com service (Python 3)
p python3-whois - Python module for retrieving WHOIS information
i whois - интеллектуальный WHOIS-клиент
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 19:55
Olej писал(а): ↑16 мар 2023, 19:51
Поэтому следует бы посмотреть что там поменялось ... за 10 лет:
Код: Выделить всё
olej@R420:~$ sudo apt show gwhois
Package: gwhois
Version: 20120626-1.3
Priority: optional
Section: universe/net
Origin: Ubuntu
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Juliane Holzt <debian@julijane.de>
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Installed-Size: 116 kB
Depends: debconf (>= 0.5) | debconf-2.0, perl, libwww-perl, lynx, curl, libnet-libidn-perl
Suggests: openbsd-inetd | inet-superserver
Download-Size: 28,8 kB
APT-Manual-Installed: yes
APT-Sources: http://mirror.mirohost.net/ubuntu jammy/universe amd64 Packages
Description: generic Whois Client / Server
gwhois is a generic whois client / server. This means that it know
for many (virtually all) TLDs, IP-Ranges and Handles out there where
to ask. It queries other whois-servers as well as web-lookup forms.
.
gwhois can be used as a client, but you can invoke it as a server
(e.g. via inetd) as well for usage with a normal whois client.
Код: Выделить всё
olej@R420:~$ sudo apt install gwhois
[sudo] пароль для olej:
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово
Будут установлены следующие дополнительные пакеты:
lynx lynx-common
Предлагаемые пакеты:
openbsd-inetd | inet-superserver
Следующие НОВЫЕ пакеты будут установлены:
gwhois lynx lynx-common
Обновлено 0 пакетов, установлено 3 новых пакетов, для удаления отмечено 0 пакетов, и 4 пакетов не обновлено.
Необходимо скачать 1.772 kB архивов.
После данной операции объём занятого дискового пространства возрастёт на 5.714 kB.
Хотите продолжить? [Д/н] y
Пол:1 http://mirror.mirohost.net/ubuntu jammy/universe amd64 lynx-common all 2.9.0dev.10-1 [1.024 kB]
Пол:2 http://mirror.mirohost.net/ubuntu jammy/universe amd64 lynx amd64 2.9.0dev.10-1 [719 kB]
Пол:3 http://mirror.mirohost.net/ubuntu jammy/universe amd64 gwhois all 20120626-1.3 [28,8 kB]
Получено 1.772 kB за 1с (2.011 kB/s)
Предварительная настройка пакетов …
Выбор ранее не выбранного пакета lynx-common.
(Чтение базы данных … на данный момент установлено 536338 файлов и каталогов.)
Подготовка к распаковке …/lynx-common_2.9.0dev.10-1_all.deb …
Распаковывается lynx-common (2.9.0dev.10-1) …
Выбор ранее не выбранного пакета lynx.
Подготовка к распаковке …/lynx_2.9.0dev.10-1_amd64.deb …
Распаковывается lynx (2.9.0dev.10-1) …
Выбор ранее не выбранного пакета gwhois.
Подготовка к распаковке …/gwhois_20120626-1.3_all.deb …
Распаковывается gwhois (20120626-1.3) …
Настраивается пакет lynx-common (2.9.0dev.10-1) …
Настраивается пакет lynx (2.9.0dev.10-1) …
update-alternatives: используется /usr/bin/lynx для предоставления /usr/bin/www-browser (www-browser) в автоматическом режиме
Настраивается пакет gwhois (20120626-1.3) …
Обрабатываются триггеры для mailcap (3.70+nmu1ubuntu1) …
Обрабатываются триггеры для doc-base (0.11.1) …
Обработка 1 добавленный файл doc-base...
Обрабатываются триггеры для man-db (2.10.2-1) …
Код: Выделить всё
olej@R420:~$ apt content gwhois
/.
/etc
/etc/gwhois
/etc/gwhois/pattern
/usr
/usr/bin
/usr/bin/gwhois
/usr/share
/usr/share/doc
/usr/share/doc/gwhois
/usr/share/doc/gwhois/changelog.Debian.gz
/usr/share/doc/gwhois/copyright
/usr/share/doc/gwhois/NEWS.Debian.gz
/usr/share/doc/gwhois/README.RIPE
/usr/share/doc/gwhois/TODO
/usr/share/lintian
/usr/share/lintian/overrides
/usr/share/lintian/overrides/gwhois
/usr/share/man
/usr/share/man/man1
/usr/share/man/man1/gwhois.1.gz
Код: Выделить всё
olej@R420:~$ gwhois --help
gwhois - generic whois
Version 20100728
Usage: gwhois {options} [query]
Try find information about the query (might be multiple words).
If no query is given, use the first line from stdin
Options:
-C dir setting an alternate configuration directory
default /etc/gwhois
-h host selecting a fixed whois server for this query
-m method:host host Defining a mirror for a given method and host.
-L use lynx -source instead of LWP::Simple
-v output version of pattern table(s)
-?, --help printing this text
Код: Выделить всё
olej@R420:/etc$ ls -l /etc/gwhois/pattern
-rw-r--r-- 1 root root 40292 янв 3 2021 /etc/gwhois/pattern
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 20:08
Olej писал(а): ↑16 мар 2023, 18:31
Т.е., как минимум, запросы whois linux-ru.ru и whois 90.156.230.27 первонаяально летят на совершенно разные WHOIS сервера ...
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ gwhois linux-ru.ru | head -n2
Process query: 'linux-ru.ru'
Querying whois.ripn.net:43 with whois.
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ gwhois 90.156.230.27 | head -n3
Process query: '90.156.230.27'
Query recognized as IPv4.
Querying whois.ripe.net:43 with whois.
Т.е. запрос идёт к одному серверу whois.ripe.net:
Код: Выделить всё
olej@R420:~/2023/own.BOOKs/NatioLang/natiolang.cod/regex.cod$ host whois.ripe.net
whois.ripe.net has address 193.0.6.135
whois.ripe.net has IPv6 address 2001:67c:2e8:22::c100:687
А уже он перебрасывает рекурсивно запрос в зависимости от его вида
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 16 мар 2023, 20:12
Olej писал(а): ↑16 мар 2023, 19:55
Поэтому следует бы посмотреть что там поменялось ... за 10 лет:
Код: Выделить всё
olej@R420:~$ apt show python3-whois
Package: python3-whois
Version: 0.8-1
Priority: optional
Section: universe/python
Source: python-whois
Origin: Ubuntu
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Hugo Lefeuvre <hle@debian.org>
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Installed-Size: 41,0 kB
Depends: python3-simplejson, whois, python3:any
Homepage: https://github.com/DDarko/python-whois/
Download-Size: 8.900 B
APT-Sources: http://mirror.mirohost.net/ubuntu jammy/universe amd64 Packages
Description: Python module for retrieving WHOIS information
This Python wrapper for the "whois" command has a simple interface to access
parsed WHOIS data for a given domain.
.
It is able to extract data for many of the popular TLDs (com, org, net, biz,
info, pl, jp, uk, nz, ...) and queries WHOIS servers directly instead of
going through an intermediate web service.
Код: Выделить всё
olej@R420:~$ sudo apt install python3-whois
[sudo] пароль для olej:
Чтение списков пакетов… Готово
Построение дерева зависимостей… Готово
Чтение информации о состоянии… Готово
Следующие НОВЫЕ пакеты будут установлены:
python3-whois
Обновлено 0 пакетов, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 4 пакетов не обновлено.
Необходимо скачать 8.900 B архивов.
После данной операции объём занятого дискового пространства возрастёт на 41,0 kB.
Пол:1 http://mirror.mirohost.net/ubuntu jammy/universe amd64 python3-whois all 0.8-1 [8.900 B]
Получено 8.900 B за 0с (31,4 kB/s)
Выбор ранее не выбранного пакета python3-whois.
(Чтение базы данных … на данный момент установлено 536457 файлов и каталогов.)
Подготовка к распаковке …/python3-whois_0.8-1_all.deb …
Распаковывается python3-whois (0.8-1) …
Настраивается пакет python3-whois (0.8-1) …
Код: Выделить всё
olej@R420:~$ apt content python3-whois
/.
/usr
/usr/lib
/usr/lib/python3
/usr/lib/python3/dist-packages
/usr/lib/python3/dist-packages/whois
/usr/lib/python3/dist-packages/whois-0.8.egg-info
/usr/lib/python3/dist-packages/whois/_1_query.py
/usr/lib/python3/dist-packages/whois/_2_parse.py
/usr/lib/python3/dist-packages/whois/_3_adjust.py
/usr/lib/python3/dist-packages/whois/__init__.py
/usr/lib/python3/dist-packages/whois/tld_regexpr.py
/usr/share
/usr/share/doc
/usr/share/doc/python3-whois
/usr/share/doc/python3-whois/changelog.Debian.gz
/usr/share/doc/python3-whois/copyright
Но это в точности тот клиент (
https://github.com/DDarko/python-whois/), который мы независимо устанавливали раньше с pip.
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 17 мар 2023, 13:49
Удивительные вещи выясняются
:
Код: Выделить всё
olej@R420:~$ host internetofbacteria.org
internetofbacteria.org has address 213.159.214.240
internetofbacteria.org mail is handled by 10 mail.internetofbacteria.org.
internetofbacteria.org mail is handled by 20 mail.internetofbacteria.org.
Код: Выделить всё
olej@R420:~$ whois 213.159.214.240 | grep ^address
address: 664035, Russia, Irkutsk, Surnova st. 22, office 302
address: 664035
address: Irkutsk
address: RUSSIAN FEDERATION
address: 664035, Russia, Irkutsk, Surnova st. 22, office 302
Запомнили
: Иркутск
Теперь смотрю онлайн -
https://ip2geolocation.com...
- internetofbacteria.org
Код страны RU
55°44'19.0"N 37°36'24.5"E
И это город Подольск ... равноудалённый от Тула, Тверь, Владимир, Рязань, Калуга, Владимир ... но Иркутск там поблизости не видится
Смотрю его регистратора:
Код: Выделить всё
olej@R420:~$ whois internetofbacteria.org | grep ^Registrar
Registrar WHOIS Server: http://whois.registrar.eu
Registrar URL: http://www.openprovider.com
Registrar: Hosting Concepts B.V. d/b/a Registrar.eu
Registrar IANA ID: 1647
Registrar Abuse Contact Email: abuse@registrar.eu
Registrar Abuse Contact Phone: +31.104482297
Ещё раз -
https://ip2geolocation.com...
- openprovider.com
Код страны US
37°45'03.6"N 97°49'19.2"W
вдхр. Чини, Канзас
Olej
-
Olej
- Писатель
- Сообщения: 21338
- Зарегистрирован: 24 сен 2011, 14:22
- Откуда: Харьков
-
Контактная информация:
Непрочитанное сообщение
Olej » 17 мар 2023, 19:18
По каким алгоритмам работают этот и другие многочисленные гелокаторы по IP?
Есть ли локальные такие гелокаторы-приложения, с консольным, CLI, желательно интерфейсом?
Olej
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя
