Das Internet bietet eine Fülle von Informationen. Dazu gehören auch Auskünfte über den zugehörigen Anbieter in Form von Kontaktinformationen zu Domains und IP-Adressen. Freilich sollte man wissen, wie man darauf zugreift.

Wer abseits der alltäglichen Internet-Dienste wie WWW und E-Mail ins Netz schaut, sieht: Im Internet existieren eine Menge Verzeichnisdienste. Einige davon konzentrieren sich fast ausschließlich auf rein technische Informationen, zum Beispiel der “Domain Name Service” DNS, der Rechnernamen wie www.zpid.de in die dazugehörigen IP-Adressen wie 136.199.85.13 übersetzt und umgekehrt.

Andere Verzeichnisse enthalten gleichermaßen technische wie “soziale” Daten, speichern zum Beispiel neben einem Benutzernamen und einem Kennwort auch E-Mail-Adressen, Telefonnummern oder Postanschriften. Beispiele aus dieser Gruppe wären der auch unter dem Namen Yellow Pages bekannte “Network Information Service” NIS/NIS+ von Sun oder das “Lightweight Directory Access Protocol” LDAP, das auch als Active Directory im Zuge der Windows-Integration unter Linux immer häufiger genutzt wird.

Gleichsam hinter den Kulissen und von den Meisten unbemerkt fristet ein Veteran sein Schattendasein unter den Internet-Verzeichnissen: NICNAME, besser bekannt unter dem Spitznamen whois. Dabei sind die darüber erhältlichen Daten häufig sehr wertvoll, erlauben sie es doch, so abstrakte Informationen wie eine IP-Adresse in die reale Welt zurückzuverfolgen.

Wer eine Domain registriert oder eine feste IP-Adresse besitzt, wird in zentralen Datenbanken eingetragen. Der whois-Dienst liefert nun die Zuordnung zwischen einer technischen Internet-Adresse, also einem Domain-Namen oder einer IP-Adresse, und der dafür verantwortlichen Person oder Organisation in der realen Welt.

Zu abstrakt? Dann fragen Sie whois zum Beispiel nach der Domain zpid.de (Listing 1). Er sagt Ihnen dann unter anderem, dass diese Domain der “Zentralstelle für Psychologische Information und Dokumentation” gehört. Sie erfahren, dass die Ansprechpartnerin für alle Verwaltungsfragen eine Frau Britta Wiesenhütter ist, während die Technik von Helmut Steffes im Rechenzentrum der Uni Trier erledigt wird. Zu all dem erhalten Sie neben den entsprechenden E-Mail-Adressen auch noch Telefon- und Faxnummern sowie die Postanschriften. Genug, um im Ernstfall schnell und zuverlässig Kontakt aufzunehmen, auch außerhalb des Internets.

[mas@lemon mas]$ whois -h whois.ripe.net zpid.de
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
% The object shown below is NOT in the RIPE database.
% It has been obtained by querying a remote server:
% (whois.denic.de) at port 43.
% To see the object stored in the RIPE database
% use the -R flag in your query
%
%REFERRAL START
% Copyright (c)2001 by DENIC
%
% Restricted rights.
%
%
% Except for agreed Internet operational purposes, no part of this
% information may be reproduced, stored in a retrieval system, or
% transmitted, in any form or by any means, electronic, mechanical,
% recording, or otherwise, without prior permission of the DENIC
% on behalf of itself and/or the copyright holders. Any use of this
% material to target advertising or similar activities are explicitly
% forbidden and will be prosecuted. The DENIC requests to be notified
% of any such activities or suspicions thereof.
domain:      zpid.de
descr:       Zentralstelle fuer Psychologische Informationen und Dokumentation
descr:       Universitaet Trier
descr:       Universitaetsring 15
descr:       54296 Trier
descr:       Germany
nserver:     dns.zpid.de 136.199.8.101
nserver:     dns2.zpid.de 136.199.8.129
nserver:     ws-nue1.win-ip.dfn.de
status:      connect
changed:     lastchange@denic.de 20020109
source:      DENIC
[admin-c]
Type:         PERSON
Name:         Britta Wiesenhuetter
Address:      Institute for Psychology Information (ZPID)
Address:      Trier University
Address:      Universitaetsring 15
City:         Trier
Pcode:        54296
Country:      DE
Changed:      lastchange@denic.de 20020109
Source:       DENIC
[tech-c][zone-c]
Type:         PERSON
Name:         Helmut Steffes
Address:      Universitaet Trier
Address:      Rechenzentrum
Address:      Universitaetsring 15
City:         Trier
Pcode:        54296
Country:      DE
Phone:        +49 651  *   
Fax:          +49 651  *   
Email:             *@uni-trier.de
Changed:      lastchange@denic.de 20020109
Source:       DENIC
%REFERRAL END

whois-Datenbanken sind nicht einheitlich aufgebaut; das Ergebnis einer whois-Anfrage soll für einen Menschen lesbar sein, nicht für eine Maschine. Sie erhalten auf Ihre Anfragen immer mehrerlei Adressen, meistens aufgeschlüsselt nach den Verantwortungsbereichen “Recht” und “Technik”.

Im internationalen Sprachgebrauch teilt man die Zuständigkeiten auf drei bis vier Personen auf, und zwar wie folgt: Der Registrant ist legaler Inhaber der Domain, hat im täglichen Betrieb aber wenig damit zu tun. Erster Ansprechpartner und rechtlicher Vertreter ist stattdessen der Administrative Contact. Die gesamte technische Abwicklung erledigt der Technical Contact, der auch im Falle eines Missbrauchs als erstes angeschrieben werden sollte. Schließlich gibt es bei einigen Registries noch einen separaten Billing Contact für die Abrechnung.

Bei uns in Deutschland ist das alles etwas anders. DENIC kennt ebenfalls vier Personentypen, aber ihre Aufgabenteilung entspricht nicht der international üblichen. Die als descr bezeichnete Person oder Organisation ist gleichzeitig Domain-Inhaber und Vertragspartner. Der rechtliche Vertreter heißt admin-c. Auf technischer Seite verteilt sich die Verantwortung auf den Web-Hoster, der Web-Seiten speichert und anbietet (tech-c), sowie den DNS-Hoster, der den Nameserver für die Domain betreibt (zone-c).

Datenlager

Aus Listing 1 sehen Sie, dass Sie whois normalerweise zwei Argumente übergeben: Zum einen die Domain oder IP-Adresse, über die Sie eine Auskunft wünschen, zum anderen den Datenbank-Server, der abgefragt werden soll. Mindestens zwei verschiedene whois-Programme mit etwas unterschiedlicher Syntax sind im Umlauf: Manchmal trennen Sie die gesuchte Domain mit einem Klammeraffen vom Server, manchmal geben Sie den whois-Server mit der Option -h an. Schreiben Sie also entweder

whois domain.de@whois.server.net

oder

whois -h whois.server.net domain.de

Aber woher wissen Sie, welcher whois-Server zuständig ist? Wer eine Internet-Domain oder eine IP-Adresse erwirbt, registriert diese bei einem zentralen Datenbankverwalter, einer so genannten Registry. Welche Registry das im konkreten Fall ist, hängt von der Top-Level-Domain ab, also vom letzten Bestandteil des Domain-Namens: Für .de-Domains ist es DENIC, das “Deutsche Network Information Centre”. Derartige nationale Info-Zentren existieren für jede Landes-Domain auf der Welt.

Dazu kommen die allgemeinen Top-Level-Domains: .com-, .net-, .org– und .edu-Domains waren ursprünglich unter dem gemeinsamen Dach von InterNIC versammelt. Diese wurde jedoch zerschlagen; die Nachfolge haben gleich mehrere Firmen angetreten, die sich das Geschäft mit den Domain-Namen jetzt teilen müssen. Weitere Registries kümmern sich um die “neuen” Domains wie .info, .biz oder .name.

Für IP-Adressen existieren drei verschiedene Organisationen: Die “American Registry for Internet Numbers” (ARIN) ist für Nord-, Mittel- und Südamerika zuständig, die Vereinigung der “Réseaux IPEuropéens” (RIPE) für Europa und das “Asia Pacific Network Information Centre” (APNIC) für Asien.

Jede Registry betreibt ihren eigenen whois-Server. Tabelle 1 listet die wichtigsten Top-Level-Domains mit den zugehörigen Servern und lüftet zudem das Rätsel, warum Listing 1 für eine deutsche Domain auch whois.ripe.net abfragen darf. Sogar die Zuständigkeiten für Top-Level-Domains erfahren Sie so, für die de-Domain beispielsweise mit

whois -h whois.iana.org de

Spam bekämpfen

Sehen wir uns am Beispiel der Rückverfolgung einer Werbe-Mail an, wie man whois in der Praxis benutzt. Wenn Sie eine lästige Spam-Mail erhalten, ist der Verantwortliche zunächst nur als IP erkennbar: Sie sehen in den Headern (Listing 2 zeigt ein Beispiel), von wo aus die Nachricht an Ihren eigenen Mail-Server übergeben wurde.

From Latricia212375@nederlands.com  Fri Jul 12 22:01:35 2002
Return-Path: <Latricia212375@nederlands.com>
Delivered-To: GMX delivery to seligm@gmx.de
Received: (qmail 24601 invoked by uid 0); 10 Jul 2002 14:40:16 -0000
Received: from unknown (HELO portalger.com.dz) (193.194.93.132)
  by mx0.gmx.net (mx010-rz3) with SMTP; 10 Jul 2002 14:40:16 -0000
Received: from finansfyrste.com ([217.37.137.73] unverified) by portalger.com.dz with Microsoft SMTPSVC(5.0.2195.2966);
         Wed, 10 Jul 2002 09:03:19 +0100
Message-ID: <00004afc079e$00001fe4$00004b9e@finansfyrste.com>
To: <K12643@ft.com>
From: "Marjie" <Latricia212375@nederlands.com>
Subject: You interested?OJZXRYYLFB
[…]

Relevant für die Suche nach dem Übeltäter sind in erster Linie die Received:-Zeilen. Dabei dürfen wir nur den Zeilen vertrauen, die unser eigener Server produziert hat, alles andere wird oft gefälscht sein. Im Beispiel ist das die Zeile von mx0.gmx.net, der die Mail von der IP-Adresse 193.194.93.132 erhalten hat. Wenn wir diese IP im DNS suchen, kommen wir zu keinem Ergebnis:

[mas@lemon mas]$ host 193.194.93.132
Host not found.

Also bemühen wir whois! Da wir nicht wissen, ob die IP in Europa, Amerika oder Asien liegt, fragen wir einfach mal den amerikanischen Server von ARIN. Dieser liefert uns entweder direkt ein Ergebnis oder teilt uns zumindest mit, welcher whois-Server zuständig ist. (Die beiden anderen IP-basierten Server von RIPE und APNIC sind da leider nicht so nett.)

Seine Antwort (nachzulesen in Listing 3): “Diese Adressen sind an europäische Nutzer weitervergeben worden. Kontaktinformationen erhalten Sie aus der RIPE-Datenbank …” Na also!

[mas@lemon mas]$ whois 193.194.93.132@whois.arin.net
[whois.arin.net]
European Regional Internet Registry/RIPE NCC (NETBLK-RIPE)
   These addresses have been further assigned to European users.
   Contact info can be found in the RIPE database, via the
   WHOIS and TELNET servers at whois.ripe.net, and at
   http://www.ripe.net/perl/whois/
[…]

[mas@lemon mas]$ whois 193.194.93.132@whois.ripe.net
[whois.ripe.net]
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
inetnum:      193.194.93.128 - 193.194.93.159
netname:      PortAlger-net
descr:        Port Alger
descr:        Algiers
country:      DZ
admin-c:      AG1167-RIPE
tech-c:       MB2389-RIPE
status:       ASSIGNED PA
notify:       tech@mail.     *.net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   *.dz  20010712
source:       RIPE
route:        193.194.64.0/19
descr:        CERIST-PRIVIDER-NET
origin:       AS3208
mnt-by:       AS3208-MNT
changed:      elmaouhab@   *.dz 20011022
source:       RIPE
person:       Azeddine Guioua
address:      2 Rue d'ANGKOR
address:      Alger Port
address:      Algiers
phone:        +213 21       
fax-no:       +213 21      
e-mail:       guioua@    .dz
nic-hdl:      AG1167-RIPE
notify:       tech@mail.     .net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   .dz  20010712
source:       RIPE
person:       Meriem Berahma
address:      2 Rue d'ANGKOR
address:      Alger Port
address:      Algiers
phone:        +213 21       
fax-no:       +213 21      
e-mail:       guioua@   .dz
nic-hdl:      MB2389-RIPE
notify:       tech@mail.     .net.dz
mnt-by:       AS3208-MNT
changed:      elmaouhab@   .dz  20010712
source:       RIPE

Fragen wir also whois.ripe.net (Listing 4), und schon haben wir zwei Ansprechpartner. Die Informationen (über “Port Alger”), die whois uns liefert, stimmen sogar überein mit der Begrüßungsmeldung des Spam-Lieferanten gegenüber GMX. Dort hieß es:

Received: from unknown (HELO portalger.com.dz) (193.194.93.132)

Offenbar betreibt in Algerien also jemand einen offenen Mail-Server, dessen DNS-Daten zudem noch unvollständig konfiguriert sind. Wenn wir wollten, könnten wir die Schuldigen jetzt aufklären. Oder wir könnten vermuten, dass die von portalger.com.dz übergebene IP 217.37.137.73 vielleicht wirklich real ist, und sie wiederum in whois einspeisen …

Ausblick

Der Verzeichnisdienst whois bietet eine einfache Methode für die Zuordnung realer Personen zu Domain-Namen und selbst zu numerischen IP-Adressen. Unbestritten ist, dass es sich bei der Veröffentlichung dieser Daten um eine Belastung der Privatsphäre handelt. Die in whois gespeicherten Informationen sind schließlich für jedermann zugänglich! Hinzu kommt, dass viele Spammer in der Vergangenheit einfach die whois-Datenbanken ausgelesen haben, um an E-Mail-Adressen zu gelangen.

Die Zukunft dieses Dienstes ist daher ungewiss. Viele Registries sind dazu übergegangen, den Zugriff auf ihre Datenbanken einzuschränken. Pro IP-Adresse sind beispielsweise nur noch zwanzig Anfragen in einer Stunde erlaubt. Einige nationale Server haben den echten whois-Zugriff sogar ganz abgeschaltet oder auf die allernotwendigsten technischen Daten reduziert und erlauben nur noch eine eingeschränkte Suche über das WWW.

Eines jedoch ist sicher: Solange whois läuft, liefert uns dieser Dienst interessante Einblicke hinter die Kulissen des Internets.