Thiago Teixeira
EN | PT

whois

Consulta dados de registro de domínio e IP em servidores WHOIS / RDAP.

Reconhecimento e Monitoramento de Rede Nativo do SO CLI Praticado em Lab Windows Linux macOS

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

whois consulta os dados de registro por trás de um domínio ou bloco de IP: registrar, titular (quando não redigido), name servers, datas de criação/expiração, dono do ASN e contato de abuse.

Em threat-intel é OSINT de base:

  • Domínio recém-registrado é forte indicador de phishing.
  • Mesmo titular/e-mail em vários domínios expoz clusters de infraestrutura do atacante.
  • O contato abuse do netblock é quem você aciona para derrubar um IP malicioso.

O WHOIS moderno está sendo substituído pelo RDAP (CLI rdap), que retorna JSON estruturado.

Casos de uso

  • Triagem de domínio de phishing (idade, registrar, contato)
  • Encontrar domínios irmãos sob o mesmo titular
  • Identificar contato de abuse de netblock malicioso

Exemplo

whois example.com
whois 8.8.8.8