Who's who im Netz

Verzeichnisdienst whois

01.09.2002
Das Internet bietet eine Fülle von Informationen. Dazu gehören auch Auskünfte über den zugehörigen Anbieter in Form von Kontaktinformationen zu Domains und IP-Adressen. Freilich sollte man wissen, wie man darauf zugreift.

Wer abseits der alltäglichen Internet-Dienste wie WWW und E-Mail ins Netz schaut, sieht: Im Internet existieren eine Menge Verzeichnisdienste. Einige davon konzentrieren sich fast ausschließlich auf rein technische Informationen, zum Beispiel der "Domain Name Service" DNS, der Rechnernamen wie www.zpid.de in die dazugehörigen IP-Adressen wie 136.199.85.13 übersetzt und umgekehrt.

Andere Verzeichnisse enthalten gleichermaßen technische wie "soziale" Daten, speichern zum Beispiel neben einem Benutzernamen und einem Kennwort auch E-Mail-Adressen, Telefonnummern oder Postanschriften. Beispiele aus dieser Gruppe wären der auch unter dem Namen Yellow Pages bekannte "Network Information Service" NIS/NIS+ von Sun oder das "Lightweight Directory Access Protocol" LDAP, das auch als Active Directory im Zuge der Windows-Integration unter Linux immer häufiger genutzt wird.

Gleichsam hinter den Kulissen und von den Meisten unbemerkt fristet ein Veteran sein Schattendasein unter den Internet-Verzeichnissen: NICNAME, besser bekannt unter dem Spitznamen whois. Dabei sind die darüber erhältlichen Daten häufig sehr wertvoll, erlauben sie es doch, so abstrakte Informationen wie eine IP-Adresse in die reale Welt zurückzuverfolgen.

Wer eine Domain registriert oder eine feste IP-Adresse besitzt, wird in zentralen Datenbanken eingetragen. Der whois-Dienst liefert nun die Zuordnung zwischen einer technischen Internet-Adresse, also einem Domain-Namen oder einer IP-Adresse, und der dafür verantwortlichen Person oder Organisation in der realen Welt.

Zu abstrakt? Dann fragen Sie whois zum Beispiel nach der Domain zpid.de (Listing 1). Er sagt Ihnen dann unter anderem, dass diese Domain der "Zentralstelle für Psychologische Information und Dokumentation" gehört. Sie erfahren, dass die Ansprechpartnerin für alle Verwaltungsfragen eine Frau Britta Wiesenhütter ist, während die Technik von Helmut Steffes im Rechenzentrum der Uni Trier erledigt wird. Zu all dem erhalten Sie neben den entsprechenden E-Mail-Adressen auch noch Telefon- und Faxnummern sowie die Postanschriften. Genug, um im Ernstfall schnell und zuverlässig Kontakt aufzunehmen, auch außerhalb des Internets.

Listing 1

whois

-Anfrage für

zpid.de
[mas@lemon mas]$ whois -h whois.ripe.net zpid.de
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
% The object shown below is NOT in the RIPE database.
% It has been obtained by querying a remote server:
% (whois.denic.de) at port 43.
% To see the object stored in the RIPE database
% use the -R flag in your query
%
%REFERRAL START
% Copyright (c)2001 by DENIC
%
% Restricted rights.
%
%
% Except for agreed Internet operational purposes, no part of this
% information may be reproduced, stored in a retrieval system, or
% transmitted, in any form or by any means, electronic, mechanical,
% recording, or otherwise, without prior permission of the DENIC
% on behalf of itself and/or the copyright holders. Any use of this
% material to target advertising or similar activities are explicitly
% forbidden and will be prosecuted. The DENIC requests to be notified
% of any such activities or suspicions thereof.
domain:      zpid.de
descr:       Zentralstelle fuer Psychologische Informationen und Dokumentation
descr:       Universitaet Trier
descr:       Universitaetsring 15
descr:       54296 Trier
descr:       Germany
nserver:     dns.zpid.de 136.199.8.101
nserver:     dns2.zpid.de 136.199.8.129
nserver:     ws-nue1.win-ip.dfn.de
status:      connect
changed:     lastchange@denic.de 20020109
source:      DENIC
[admin-c]
Type:         PERSON
Name:         Britta Wiesenhuetter
Address:      Institute for Psychology Information (ZPID)
Address:      Trier University
Address:      Universitaetsring 15
City:         Trier
Pcode:        54296
Country:      DE
Changed:      lastchange@denic.de 20020109
Source:       DENIC
[tech-c][zone-c]
Type:         PERSON
Name:         Helmut Steffes
Address:      Universitaet Trier
Address:      Rechenzentrum
Address:      Universitaetsring 15
City:         Trier
Pcode:        54296
Country:      DE
Phone:        +49 651  *   
Fax:          +49 651  *   
Email:             *@uni-trier.de
Changed:      lastchange@denic.de 20020109
Source:       DENIC
%REFERRAL END

(Aus rechtlichen Gründen sind einige Informationen im gedruckten Beispiel gelöscht. Es steht Ihnen frei, die Anfrage für diese oder irgend eine andere Domain selbst durchzuführen, dann erhalten Sie alle Daten.)

whois-Datenbanken sind nicht einheitlich aufgebaut; das Ergebnis einer whois-Anfrage soll für einen Menschen lesbar sein, nicht für eine Maschine. Sie erhalten auf Ihre Anfragen immer mehrerlei Adressen, meistens aufgeschlüsselt nach den Verantwortungsbereichen "Recht" und "Technik".

Im internationalen Sprachgebrauch teilt man die Zuständigkeiten auf drei bis vier Personen auf, und zwar wie folgt: Der Registrant ist legaler Inhaber der Domain, hat im täglichen Betrieb aber wenig damit zu tun. Erster Ansprechpartner und rechtlicher Vertreter ist stattdessen der Administrative Contact. Die gesamte technische Abwicklung erledigt der Technical Contact, der auch im Falle eines Missbrauchs als erstes angeschrieben werden sollte. Schließlich gibt es bei einigen Registries noch einen separaten Billing Contact für die Abrechnung.

Bei uns in Deutschland ist das alles etwas anders. DENIC kennt ebenfalls vier Personentypen, aber ihre Aufgabenteilung entspricht nicht der international üblichen. Die als descr bezeichnete Person oder Organisation ist gleichzeitig Domain-Inhaber und Vertragspartner. Der rechtliche Vertreter heißt admin-c. Auf technischer Seite verteilt sich die Verantwortung auf den Web-Hoster, der Web-Seiten speichert und anbietet (tech-c), sowie den DNS-Hoster, der den Nameserver für die Domain betreibt (zone-c).

Datenlager

Aus Listing 1 sehen Sie, dass Sie whois normalerweise zwei Argumente übergeben: Zum einen die Domain oder IP-Adresse, über die Sie eine Auskunft wünschen, zum anderen den Datenbank-Server, der abgefragt werden soll. Mindestens zwei verschiedene whois-Programme mit etwas unterschiedlicher Syntax sind im Umlauf: Manchmal trennen Sie die gesuchte Domain mit einem Klammeraffen vom Server, manchmal geben Sie den whois-Server mit der Option -h an. Schreiben Sie also entweder

whois domain.de@whois.server.net

oder

whois -h whois.server.net domain.de

Aber woher wissen Sie, welcher whois-Server zuständig ist? Wer eine Internet-Domain oder eine IP-Adresse erwirbt, registriert diese bei einem zentralen Datenbankverwalter, einer so genannten Registry. Welche Registry das im konkreten Fall ist, hängt von der Top-Level-Domain ab, also vom letzten Bestandteil des Domain-Namens: Für .de-Domains ist es DENIC, das "Deutsche Network Information Centre". Derartige nationale Info-Zentren existieren für jede Landes-Domain auf der Welt.

Dazu kommen die allgemeinen Top-Level-Domains: .com-, .net-, .org- und .edu-Domains waren ursprünglich unter dem gemeinsamen Dach von InterNIC versammelt. Diese wurde jedoch zerschlagen; die Nachfolge haben gleich mehrere Firmen angetreten, die sich das Geschäft mit den Domain-Namen jetzt teilen müssen. Weitere Registries kümmern sich um die "neuen" Domains wie .info, .biz oder .name.

Für IP-Adressen existieren drei verschiedene Organisationen: Die "American Registry for Internet Numbers" (ARIN) ist für Nord-, Mittel- und Südamerika zuständig, die Vereinigung der "Réseaux IP Européens" (RIPE) für Europa und das "Asia Pacific Network Information Centre" (APNIC) für Asien.

Jede Registry betreibt ihren eigenen whois-Server. Tabelle 1 listet die wichtigsten Top-Level-Domains mit den zugehörigen Servern und lüftet zudem das Rätsel, warum Listing 1 für eine deutsche Domain auch whois.ripe.net abfragen darf. Sogar die Zuständigkeiten für Top-Level-Domains erfahren Sie so, für die de-Domain beispielsweise mit

whois -h whois.iana.org de

Tabelle 1: Registries und ihre <C>whois<C>-Server

Zuständigkeitsbereich whois-Server Name/Zuständigkeit
Gesamtes Internet
root (Welche Registry ist für welche Top-Level-Domain verantwortlich?) whois.iana.org Internet Assigned Numbers Authority
IP-Adressen
IP-Adressen in Amerika whois.arin.net American Registry for Internet Numbers
IP-Adressen in Europa whois.ripe.net Réseaux IP Européens
IP-Adressen in Asien whois.apnic.net Asia Pacific Network Information Centre
Nationale whois-Server (Beispiele)
Europa whois.ripe.net RIPE leitet whois-Anfragen innerhalb Europas an die nationalen Server weiter
.at whois.aco.net Österreich
.cc whois.nic.cc Cocos-Inseln
.ch whois.nic.ch Schweiz
.de whois.denic.de Deutschland
.fr whois.nic.fr Frankreich
.nu whois.nic.nu Niue
.se whois.nic-se.se Schweden
.tv whois.tv Tuvalu
.uk whois.nic.uk Großbritannien
.ws whois.samoanic.ws West-Samoa
Klassische Top-Level-Domains
.com rs.internic.net Kommerz
.net rs.internic.net Dienstleister für das Internet
.org rs.internic.net Vereine
.edu rs.internic.net Schulen und Universitäten
.gov whois.nic.gov US-Regierung
.mil whois.nic.mil US-Militär
.int whois.iana.org Internationale Organisationen
Die "neuen" Top-Level-Domains
.info whois.afilias.net schwer zu sagen
.biz whois.biz Firmen
.aero whois.nic.aero Luftfahrtindustrie
.coop whois.nic.coop Genossenschaften
.museum whois.museum Museen
.name whois.nic.name Individuen

Kasten 1: Das

whois

-Protokoll

Für technisch Interessierte ist whois leider ziemlich langweilig. Das Protokoll – Einzelheiten finden Sie in [1] – lässt sich in drei oder vier Sätzen erschöpfend beschreiben. Der Client baut eine TCP-Verbindung zum Server auf Port 43 auf. Er sendet eine Anfrage, gefolgt von CR+LF. Der Server antwortet mit dem gewünschten Objekt und trennt die Verbindung.

Die Anfrage besteht in der Regel nur aus dem Suchtext, z. B. zpid.de. RFC954 sieht zusätzlich einen Hilfe-Befehl (ein isoliertes Fragezeichen) vor, aber schon hier divergieren die diversen Server-Implementationen: Nicht alle unterstützen tatsächlich eine Hilfsfunktion. Die meisten Server erlauben auf die eine oder andere Art noch eine Auswahl der Datenbank für die Suche, z.B. "nur Personen" oder "nur Domainnamen".

Spam bekämpfen

Sehen wir uns am Beispiel der Rückverfolgung einer Werbe-Mail an, wie man whois in der Praxis benutzt. Wenn Sie eine lästige Spam-Mail erhalten, ist der Verantwortliche zunächst nur als IP erkennbar: Sie sehen in den Headern (Listing 2 zeigt ein Beispiel), von wo aus die Nachricht an Ihren eigenen Mail-Server übergeben wurde.

Listing 2

Der Header einer Spam-Mail

From Latricia212375@nederlands.com  Fri Jul 12 22:01:35 2002
Return-Path: <Latricia212375@nederlands.com>
Delivered-To: GMX delivery to seligm@gmx.de
Received: (qmail 24601 invoked by uid 0); 10 Jul 2002 14:40:16 -0000
Received: from unknown (HELO portalger.com.dz) (193.194.93.132)
  by mx0.gmx.net (mx010-rz3) with SMTP; 10 Jul 2002 14:40:16 -0000
Received: from finansfyrste.com ([217.37.137.73] unverified) by portalger.com.dz with Microsoft SMTPSVC(5.0.2195.2966);
         Wed, 10 Jul 2002 09:03:19 +0100
Message-ID: <00004afc079e$00001fe4$00004b9e@finansfyrste.com>
To: <K12643@ft.com>
From: "Marjie" <Latricia212375@nederlands.com>
Subject: You interested?OJZXRYYLFB
[…]

Relevant für die Suche nach dem Übeltäter sind in erster Linie die Received:-Zeilen. Dabei dürfen wir nur den Zeilen vertrauen, die unser eigener Server produziert hat, alles andere wird oft gefälscht sein. Im Beispiel ist das die Zeile von mx0.gmx.net, der die Mail von der IP-Adresse 193.194.93.132 erhalten hat. Wenn wir diese IP im DNS suchen, kommen wir zu keinem Ergebnis:

[mas@lemon mas]$ host 193.194.93.132
Host not found.

Also bemühen wir whois! Da wir nicht wissen, ob die IP in Europa, Amerika oder Asien liegt, fragen wir einfach mal den amerikanischen Server von ARIN. Dieser liefert uns entweder direkt ein Ergebnis oder teilt uns zumindest mit, welcher whois-Server zuständig ist. (Die beiden anderen IP-basierten Server von RIPE und APNIC sind da leider nicht so nett.)

Seine Antwort (nachzulesen in Listing 3): "Diese Adressen sind an europäische Nutzer weitervergeben worden. Kontaktinformationen erhalten Sie aus der RIPE-Datenbank …" Na also!

Listing 3

Wer ist für eine IP-Adresse zuständig?

[mas@lemon mas]$ whois 193.194.93.132@whois.arin.net
[whois.arin.net]
European Regional Internet Registry/RIPE NCC (NETBLK-RIPE)
   These addresses have been further assigned to European users.
   Contact info can be found in the RIPE database, via the
   WHOIS and TELNET servers at whois.ripe.net, and at
   http://www.ripe.net/perl/whois/
[…]

Listing 4

Wer ist der Spammer?

[mas@lemon mas]$ whois 193.194.93.132@whois.ripe.net
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum:      193.194.93.128 - 193.194.93.159
netname:      PortAlger-net
descr:        Port Alger
descr:        Algiers
country:      DZ
admin-c:      AG1167-RIPE
tech-c:       MB2389-RIPE
status:       ASSIGNED PA
notify:       tech@mail.     *.net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   *.dz  20010712
source:       RIPE
route:        193.194.64.0/19
descr:        CERIST-PRIVIDER-NET
origin:       AS3208
mnt-by:       AS3208-MNT
changed:      elmaouhab@   *.dz 20011022
source:       RIPE
person:       Azeddine Guioua
address:      2 Rue d'ANGKOR
address:      Alger Port
address:      Algiers
phone:        +213 21       
fax-no:       +213 21      
e-mail:       guioua@    .dz
nic-hdl:      AG1167-RIPE
notify:       tech@mail.     .net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   .dz  20010712
source:       RIPE
person:       Meriem Berahma
address:      2 Rue d'ANGKOR
address:      Alger Port
address:      Algiers
phone:        +213 21       
fax-no:       +213 21      
e-mail:       guioua@   .dz
nic-hdl:      MB2389-RIPE
notify:       tech@mail.     .net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   .dz  20010712
source:       RIPE

Fragen wir also whois.ripe.net (Listing 4), und schon haben wir zwei Ansprechpartner. Die Informationen (über "Port Alger"), die whois uns liefert, stimmen sogar überein mit der Begrüßungsmeldung des Spam-Lieferanten gegenüber GMX. Dort hieß es:

Received: from unknown (HELO portalger.com.dz) (193.194.93.132)

Offenbar betreibt in Algerien also jemand einen offenen Mail-Server, dessen DNS-Daten zudem noch unvollständig konfiguriert sind. Wenn wir wollten, könnten wir die Schuldigen jetzt aufklären. Oder wir könnten vermuten, dass die von portalger.com.dz übergebene IP 217.37.137.73 vielleicht wirklich real ist, und sie wiederum in whois einspeisen …

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Stets gut informiert
    Deutsche Webseiten bieten meist ein Impressum mit wichtigen Informationen zum Anbieter – das gilt aber nicht immer, und für ausländische Seiten erst recht nicht. Kommandozeilentools für Linux geben die gesuchte Auskunft.
  • Sicher und zuverlässig
    Funktioniert Ihr Netzwerk wie gewünscht? Ist es sicher? Mit den passenden Werkzeugen überprüfen Sie jeden Aspekt des Netzes und sichern es mit einfachen Maßnahmen gegen den Großteil möglicher Angriffe ab.
  • Domaingrabber beklaut Unix-User
  • Ein Blick hinter die Kulissen: dig und DNS
    Der Domain Name Service (DNS) übersetzt zwischen benutzerfreundlichen Rechnernamen und computerfreundlichen IP-Adressen. Diesmal wollen wir uns nicht ansehen, wie man das einrichtet, sondern einen Blick hinter die Kulissen werfen. Ein kleines Programm spielt für uns Spion.
  • Sicher hinterlegt
    Das auf schnelle Transfers hin optimierte Programm Tarsnap hilft beim Backup wichtiger Daten. Die verschlüsselten Dateien legt es in Amazon S3 Cloud ab – zu moderaten Preisen.
Kommentare

Infos zur Publikation

LU 12/2014: ANONYM & SICHER

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 4 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...
Brother Drucker MFC-7420
helmut berger, 11.11.2014 12:40, 1 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu 14.04-Nutzer...
Treiber für Drucker brother MFC-7420
helmut berger, 10.11.2014 16:05, 2 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu12.14-Nutzer u...
Can't find X includes.
Roland Welcker, 05.11.2014 14:39, 1 Antworten
Diese Meldung erhalte ich beim Versuch, kdar zu installieren. OpenSuse 12.3. Gruß an alle Linuxf...
DVDs über einen geeigneten DLNA-Server schauen
GoaSkin , 03.11.2014 17:19, 0 Antworten
Mein DVD-Player wird fast nie genutzt. Darum möchte ich ihn eigentlich gerne abbauen. Dennoch wür...