Differenza tra whois di un hostname e un IP [chiuso]

1

Stavo leggendo il libro Metasploit di No Starch quando mi sono imbattuto in un segmento che mostrava i risultati dell'esecuzione del comando "whois" su un nome host e quindi sul suo IP corrispondente solo per ottenere risultati diversi.

> whois secmaniac.net [*] exec: whois secmaniac.net Registered through: GoDaddy.com Domain Name: SECMANIAC.NET Created on:.. ..

Quindi, usando Netcraft, è stato trovato l'IP per questo dominio.

> whois 75.118.185.142 [*] exec: whois 75.118.185.142 WideOpenWest Finance LLC WIDEOPENWEST (NET-75-118-0-0-1) 75.118.0.0 - 75.118.255.255 WIDEOPENWEST OHIO WOW-CL11-1-184-118-75 (NET-75-118-184-0-1) 75.118.184.0 - 75.118.191.255

In che modo esattamente questi due producono risultati diversi? Se la mia comprensione è corretta, i nomi degli host e gli IP sono due facce della stessa medaglia con il server DNS che suona Harvey Dent.

    
posta Izy- 14.12.2017 - 17:22
fonte

4 risposte

2

Questo è normale. La proprietà della maggior parte dei domini non corrisponderà agli indirizzi IP a cui puntano. Dove si "abbinano" è per gli ISP e le organizzazioni molto grandi. In genere non corrispondono alle piccole aziende e ai domini personali.

La ragione di ciò è che gli ISP e le organizzazioni molto grandi avranno effettivamente i loro indirizzi IP, ma le aziende più piccole generalmente li affittano da un ISP. Questo non è affatto garantito. Anche le grandi organizzazioni possono ancora affittare migliaia di indirizzi IP da un'altra azienda.

Sebbene possiedo il mio dominio, lo indico a un indirizzo IP di proprietà di Amazon. Stackexchange punta i propri domini su indirizzi IP di proprietà di Fastly.

Gli indirizzi IP possono esistere ed essere di proprietà anche se non ci sono domini che li indirizzano. I domini possono puntare a indirizzi IP che non esistono o persino indirizzi IP che non possono essere posseduti, come 127.0.0.1 . I domini possono puntare a più indirizzi IP.

Oltre a tutto ciò, la definizione di "matching" non è chiara. Anche quando una società possiede sia i domini che gli indirizzi IP, il record restituito da un comando whois è ancora diverso e richiede un po 'di corrispondenza fuzzy intelligente per determinare che rappresenta la stessa entità. Ad esempio Amazon:

whois del dominio:

Domain Name: AMAZON.COM
Registry Domain ID: 281209_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2014-04-30T19:24:35Z
Creation Date: 1994-11-01T05:00:00Z
Registry Expiry Date: 2022-10-31T04:00:00Z
Registrar: MarkMonitor Inc.  
Registrar IANA ID: 292
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.2083895740

whois di uno dei loro indirizzi IP:

OrgName:        Amazon.com, Inc.
OrgId:          AMAZON-4
Address:        1918 8th Ave
City:           SEATTLE
StateProv:      WA
PostalCode:     98101-1244
Country:        US
RegDate:        1995-01-23
Updated:        2017-01-28
Ref:            https://whois.arin.net/rest/org/AMAZON-4

E Google: whois di google.com:

Domain Name: GOOGLE.COM
Registry Domain ID: 2138514_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.markmonitor.com
Registrar URL: http://www.markmonitor.com
Updated Date: 2011-07-20T16:55:31Z
Creation Date: 1997-09-15T04:00:00Z
Registry Expiry Date: 2020-09-14T04:00:00Z
Registrar: MarkMonitor Inc.
Registrar IANA ID: 292
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.2083895740

whois di un indirizzo IP di Google:

NetRange:       172.217.0.0 - 172.217.255.255
CIDR:           172.217.0.0/16
NetName:        GOOGLE
NetHandle:      NET-172-217-0-0-1
Parent:         NET172 (NET-172-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS15169
Organization:   Google LLC (GOGL)
RegDate:        2012-04-16
Updated:        2012-04-16
Ref:            https://whois.arin.net/rest/net/NET-172-217-0-0-1

Anche i campi non sono coerenti tra diversi server whois. Amazon invia OrgName mentre Google invia Organization .

Potrebbero non essere nemmeno coerenti all'interno di una singola organizzazione. Questo è di proprietà di Facebook:

NetRange:       69.171.224.0 - 69.171.255.255
CIDR:           69.171.224.0/19
NetName:        TFBNET3
NetHandle:      NET-69-171-224-0-1
Parent:         NET69 (NET-69-0-0-0-0)
NetType:        Direct Assignment
OriginAS:       AS32934
Organization:   Facebook, Inc. (THEFA-3)
RegDate:        2010-08-05
Updated:        2012-02-24
Ref:            https://whois.arin.net/rest/net/NET-69-171-224-0-1
OrgName:        Facebook, Inc.
OrgId:          THEFA-3
Address:        1601 Willow Rd.
City:           Menlo Park
StateProv:      CA
PostalCode:     94025
Country:        US
RegDate:        2004-08-11
Updated:        2012-04-17
Ref:            https://whois.arin.net/rest/org/THEFA-3

Anche questo è di proprietà di Facebook:

inet6num:       2a03:2880::/29
netname:        IE-FACEBOOK-201100822
country:        IE
org:            ORG-FIL7-RIPE
admin-c:        RD4299-RIPE
tech-c:         RD4299-RIPE
status:         ALLOCATED-BY-RIR
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      fb-neteng
mnt-routes:     fb-neteng
created:        2015-09-24T12:59:37Z
last-modified:  2016-04-14T10:48:51Z
source:         RIPE # Filtered
organisation:   ORG-FIL7-RIPE
org-name:       Facebook Ireland Ltd
org-type:       LIR
address:        4 GRAND CANAL SQUARE ,
                GRAND CANAL HARBOUR ,
address:        D2
address:        Dublin
address:        IRELAND
phone:          +0016505434800
fax-no:         +0016505435325
admin-c:        PH4972-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        fb-neteng
mnt-by:         RIPE-NCC-HM-MNT
abuse-c:        RD4299-RIPE
created:        2011-04-07T13:16:29Z
last-modified:  2017-10-30T14:51:29Z
source:         RIPE # Filtered
    
risposta data 14.12.2017 - 18:41
fonte
1

Stai essenzialmente interrogando due database diversi gestiti da organizzazioni diverse, quindi non c'è quasi mai la possibilità che le cose vengano sincronizzate, poiché anche le registrazioni in entrambi i database non vengono eseguite contemporaneamente.

Accade semplicemente che puoi utilizzare lo stesso strumento e il medesimo protocollo per eseguire entrambe le query, ma sono completamente estranei, così come i dati restituiti.

Quando si fa un whois con un nome di dominio si sta interrogando un registro di nomi di dominio, noto anche come registro TLD, ottenendo il suo stato autorevole sui nomi dei domini in un determinato TLD per delega dal DNS radice che coinvolge sia tecniche che non operazioni tecniche. Vedi il sito IANA all'indirizzo link per l'elenco corrente di loro e nota che ogni pagina ha un link al loro specifico whois server (whois è un protocollo molto mal definito senza servizio (standard) per scoprire il server appropriato né per passare da uno all'altro in caso di registri sottili)

Quando si esegue una query whois, per impostazione predefinita, con un indirizzo IP si sta eseguendo una query su un registro IP chiamato anche RIR, che sono molto pochi (vedere link ), in cui sono presenti centinaia di registri di nomi di dominio. Nel risultato vedrai a chi è assegnato questo blocco, se possibile.

Le politiche di registrazione in entrambi i casi, così come i requisiti di idoneità o il controllo sui dati forniti sono molto diversi tra i due mondi precedenti. Dove chiunque può acquistare (in realtà più simile a un affitto) un nome di dominio e semplicemente tenerlo senza alcun tipo di servizio attivo su di esso, non è così semplice acquistare indirizzi IP / blocchi. Nell'ultimo caso è spesso necessario dimostrare il proprio utilizzo in anticipo, poiché lo spazio degli indirizzi IP è molto più limitato (almeno prima di IPv6) rispetto al nome di dominio uno.

Ho detto per impostazione predefinita sopra perché puoi tecnicamente fare una query whois con un IP verso un registro di nomi di dominio (ma dovrai aggiungere un flag al tuo client whois per indirizzare il registro del nome del dominio specifico whois come query di default i RIR). In tal caso, in base al Registro di sistema, è possibile che venga restituita come risposta l'elenco dei server dei nomi registrati in questo registro e con l'IP registrato registrato con essi. Vedere l'esempio nella sezione "Nameserver Data:" su link ( quindi questo di fatto si applica principalmente ai registri gTLDs che utilizzano host come oggetti e non attributi nel gergo EPP).

    
risposta data 14.12.2017 - 20:05
fonte
0

hostnames and IPs are two sides of the same coin

No, non lo sono.

In questo contesto, un nome host è semplicemente un'etichetta pubblicata associata a un indirizzo IP (ha una semantica diversa per un dispositivo HTTP e un host stesso). Non c'è nulla che impedisca di aggiungere un record A a un dominio di cui faccio riferimento 75.118.185.142. L'unico vincolo rilevante è che non riesco a registrare SECMANIAC.NET perché questo appartiene già a qualcun altro. Se fossi cattivo, potrei creare un server DNS con una zona per SECMANIAC.NET - ma nessuno dovrebbe riferirti a nessuna query DNS.

OTOH, gli indirizzi IP hanno un vincolo specifico che sono (in qualche misura) instradabili - cioè legati a una posizione fisica.

Questo è il motivo per cui i record raramente corrispondono ai record PTR, ad eccezione delle organizzazioni su larga scala.

    
risposta data 14.12.2017 - 17:33
fonte
0

Mentre un particolare nome host e un particolare indirizzo IP possono appartenere allo stesso host, ci sono due diversi spazi per i nomi in gioco, con diverse entità che "possiedono" (o sono responsabili di tali indirizzi).

DNS

quando registri un dominio che possiedi, ne sei responsabile, puoi assegnare / creare sottodomini e nomi di host. Ma questi sono solo nomi - nessun indirizzo IP fornito.

IP

Per rendere accessibile qualsiasi host devi dargli un indirizzo IP e "tutti" su internet devono sapere quali percorsi utilizzare per accedervi. Quindi devi ottenere quell'indirizzo da qualcuno che fornisce connettività. Qui abbiamo solo gli indirizzi IP, non sono necessari nomi.

    
risposta data 14.12.2017 - 17:36
fonte

Leggi altre domande sui tag