WHOIS и DNS на практика - първият истински инструмент в OSINT арсенала
Какво ще научиш в тази тема
В тази тема влизаме в първия истински практически слой на OSINT анализа - WHOIS и DNS.
Това не са “тайни хакерски инструменти”. Това са публични технически записи, които интернет използва всеки ден. Разликата е, че повечето хора минават покрай тях като покрай заключена врата, без да разберат, че ключът стои на масата.
- Какво е WHOIS и какво може да покаже за един домейн.
- Какво е DNS и защо е основата на интернет адресите.
- Кои DNS записи са важни при OSINT анализ.
- Как да използваш whois, dig, host и nslookup.
- Какво е reverse DNS и кога е полезно.
- Как Certificate Transparency и crt.sh помагат за откриване на поддомейни.
- Как да разпознаваш съмнителни домейни, фалшиви сайтове и технически червени лампи.
- Къде е етичната граница, която не трябва да се преминава.
Защо WHOIS и DNS преди всичко друго?
В предишните теми говорихме какво е OSINT & Cyber Bunker и какво представлява самата дисциплина. Сега е време за първия истински инструмент.
И не е случайно, че започваме с WHOIS и DNS.
Когато попаднеш на нещо съмнително в интернет - сайт, имейл, линк, профил или онлайн магазин - първият въпрос рядко трябва да бъде “кой човек стои зад това?”. Първият по-разумен въпрос е:
Преди да питаш за хората, питаш инфраструктурата.
Машината не се впечатлява от хубав дизайн, агресивни промоции, фалшиви ревюта и маркетингови лозунги. Тя отговаря според записите, които вижда. А понякога точно тези записи казват повече от цяла страница с “Ние сме лидер на пазара”.
Един сайт може да изглежда като сериозен бизнес.
Но домейнът му може да е регистриран преди 6 дни.
Един онлайн магазин може да обещава “оригинални продукти на 70% отстъпка”.
Но DNS записите му може да изглеждат като набързо сглобена барака в буря.
Точно затова WHOIS и DNS са първата стъпка. Не защото дават цялата истина, а защото дават първата техническа следа.
Passive OSINT - безопасният старт
WHOIS, DNS lookup и Certificate Transparency са част от така наречения passive OSINT.
Това означава, че не атакуваш, не сканираш агресивно, не се опитваш да пробиеш нищо и не изпращаш подозрителен трафик към чужда система. Просто четеш публично достъпни записи, които така или иначе съществуват.
Това е правилният старт за всеки начинаещ анализатор, защото учи на три важни неща:
- Наблюдение - да виждаш какво вече е публично.
- Проверка - да сравняваш данни от различни източници.
- Корелация - да свързваш малки технически следи в по-голяма картина.
Тук няма магия. Има търпение, логика и дисциплина.
OSINT не е да “познаеш”. OSINT е да провериш.
Какво е WHOIS - с прости думи
WHOIS се произнася “ху-из” и буквално идва от английското who is - “кой е”.
В контекста на интернет WHOIS е система за справка на информация около регистрирани домейни. Когато някой регистрира домейн - например dtgarage.eu - тази регистрация оставя техническа следа.
Тази следа може да включва:
- кога е регистриран домейнът;
- кога изтича регистрацията;
- през кой регистратор е регистриран;
- кои nameserver-и обслужват домейна;
- какъв е текущият статус на домейна;
- дали има публично видими контактни или технически данни;
- дали има индикации за промени, заключване или проблеми със статуса.
Не всичко от тази информация е винаги публично видимо. След GDPR в Европа личните данни в много WHOIS записи са скрити, особено когато собственикът е физическо лице. Но дори когато личните данни липсват, техническите детайли често са достатъчни, за да започнеш първичен анализ.
WHOIS отговаря на въпроси като:
- От колко време съществува този домейн?
- Кога изтича регистрацията?
- През кой регистратор е минала регистрацията?
- Кои nameserver-и управляват домейна?
- Има ли странен статус като clientHold, pendingDelete или друг проблемен флаг?
- Има ли история на промени? - това обикновено се вижда чрез специализирани услуги, не винаги от стандартния WHOIS.
На пръв поглед тези въпроси изглеждат сухи. Но в OSINT контекст те често са разликата между:
и
А интернет е пълен с тостери, които се правят на iPhone.
Какво е DNS - с прости думи
DNS означава Domain Name System.
Най-простото обяснение е: DNS е телефонният указател на интернет.
Когато напишеш dtgarage.eu в браузъра си, компютърът ти не знае как да отиде там само по името. Имената са удобни за хората. Машините работят с IP адреси. DNS прави превода между двете.
Но DNS не е само “домейн към IP”. DNS държи цяла зона от записи, всеки със своя функция.
- A запис - сочи домейна към IPv4 адрес.
- AAAA запис - сочи домейна към IPv6 адрес.
- MX запис - показва кой сървър приема имейли за домейна.
- NS запис - показва кои nameserver-и управляват DNS зоната.
- TXT запис - текстови записи, често използвани за SPF, DKIM, DMARC и верификации.
- CNAME запис - алиас, който насочва едно име към друго.
- SOA запис - Start of Authority, основният авторитетен запис за DNS зоната.
- PTR запис - reverse DNS запис, който връща име от IP адрес.
Защо това има значение за OSINT?
Защото DNS записите често разказват истории, които собственикът на домейна не е планирал да разказва публично.
Например:
- Стар поддомейн, забравен от години, но още активен.
- MX запис, който показва кой имейл провайдър се използва.
- TXT запис с Google, Microsoft, Meta или друг тип верификация.
- SPF запис, който издава кои системи имат право да изпращат имейл от името на домейна.
- Nameserver-и, които показват дали се използва Cloudflare, хостинг компания, собствен DNS или нещо по-екзотично.
- Липса на DMARC при домейн, който уж изпраща официална бизнес кореспонденция.
DNS не говори красиво.
DNS говори технически.
А техническият език, когато знаеш как да го четеш, понякога е по-честен от рекламния.
WHOIS на практика - онлайн инструменти
Преди да минем в терминала, ето няколко удобни онлайн инструмента, които работят директно през браузър:
- who.is - бърз и лесен WHOIS lookup.
- whois.domaintools.com - повече детайли и исторически данни, част от функциите са платени.
- lookup.icann.org - официален ICANN lookup за много домейн зони.
- eurid.eu - полезен при .eu домейни, защото EURid управлява .eu зоната.
Примерно, ако провериш dtgarage.eu, ще видиш информация от този тип:
При .eu домейни личните данни на физически лица обикновено не се показват публично. Това е нормално и не е “скриване от подозрение”. Това е част от политиките за защита на личните данни.
Но техническата информация остава ценна.
Какво гледам в WHOIS отговора?
- Дата на регистрация. Домейн на 5 дни, който продава скъпа техника, заслужава внимание.
- Дата на изтичане. Сериозни бизнеси често подновяват домейните си навреме и за по-дълъг период.
- Регистратор. Не всеки непознат регистратор е проблем, но регистрацията през съмнителни или масово използвани от злоупотреби услуги е сигнал.
- Nameserver-и. Cloudflare, Hetzner, SiteGround, GoDaddy, собствен DNS - всеки избор казва нещо за инфраструктурата.
- Status. Флагове като clientHold, pendingDelete или други необичайни статуси заслужават проверка.
Нито един от тези елементи сам по себе си не е доказателство. Но OSINT не работи с един сигнал. Работи с картина.
Една следа е шум.
Две следи са посока.
Пет следи вече приличат на история.
WHOIS в терминала - истинският път
Онлайн инструментите са удобни, но терминалът дава по-директно усещане. Не защото браузърните услуги са лоши, а защото в терминала виждаш суровия отговор без много украса.
На Debian/Ubuntu:
На Fedora:
На Arch Linux:
Проверка на домейн:
На macOS командата whois обикновено идва предварително налична.
На Windows имаш няколко варианта - Sysinternals WHOIS от Microsoft, WSL, или външен PowerShell модул. За сериозна работа WSL е най-чистото решение, защото ти дава Linux среда без да напускаш Windows.
Резултатът от whois dtgarage.eu е суров текст. Не се плаши от него. Суровият текст е добра новина - там има по-малко грим и повече данни.
Малък трик с grep:
grep е приятелят, който не говори много, но намира точно каквото трябва. Ще го срещаме често в този раздел.
DNS на практика - онлайн инструменти
За DNS има няколко много полезни онлайн инструмента:
- mxtoolbox.com - класика за A, MX, TXT, blacklist проверки и имейл диагностика.
- dnschecker.org - показва DNS отговори от различни глобални локации.
- intodns.com - прави цялостен преглед на DNS зоната и показва предупреждения.
- dns.google - чист lookup през Google Public DNS.
- cloudflare-dns.com - полезен за проверка през Cloudflare resolver.
Ако направиш MX lookup за dtgarage.eu, ще видиш кой сървър приема имейлите за домейна.
Ако направиш TXT lookup, може да видиш записи като:
- SPF - кои сървъри могат да изпращат имейл от името на домейна.
- DKIM - криптографски подпис за имейлите.
- DMARC - политика какво да се случва с подозрителни или фалшифицирани имейли.
- site verification записи - Google, Microsoft, Meta, Zoho и други услуги.
Това е важен индикатор.
Сериозен домейн, който изпраща официална кореспонденция, обикновено има поне базова имейл защита. Липсата на SPF, DKIM или DMARC не доказва измама, но говори за слаб контрол. А слабият контрол е мястото, където измамите обичат да си свият гнездо.
DNS в терминала - dig, host и nslookup
Терминалът отново дава най-чистия достъп.
Първо, инсталираме нужните инструменти.
Debian/Ubuntu:
Fedora:
Arch Linux:
След това имаме три основни команди.
dig - инструментът за сериозни DNS заявки
dig е най-полезният инструмент, когато искаш повече контекст. Той показва не само отговора, но и информация за query time, resolver, sections и други детайли.
Командата
dig +short е особено удобна, когато искаш само резултата без целия шум.Пример:
host - бърза и четима проверка
host е удобен за бърза справка. Не е толкова подробен като dig, но често върши работа за секунди.
nslookup - старата класика
nslookup е стар, но все още полезен. Голямото му предимство е, че работи native и на Windows.
Кой кога?
- dig - когато искаш детайлен и сериозен DNS анализ.
- host - когато искаш бърза проверка.
- nslookup - когато си на Windows или искаш универсална базова команда.
Reverse DNS - от IP назад към име
Понякога нямаш домейн. Имаш IP адрес.
Тогава идва reverse DNS или PTR lookup. Това е обратната посока - от IP адрес към име.
Примери:
При добре конфигурирани публични услуги може да получиш смислен PTR запис. Например IP адресът може да сочи към име на хост, услуга, дата център или доставчик.
Но има една важна подробност:
Reverse DNS не винаги е настроен.
Липсата на PTR запис не е автоматично проблем. А наличието на PTR запис не е автоматично доказателство. Това е просто още една следа.
В OSINT анализа следите не се боготворят. Те се сравняват.
Certificate Transparency и crt.sh - златната мина за поддомейни
Това вече е една идея по-напреднало, но е прекалено полезно, за да го оставим за по-късно.
Certificate Transparency е публичен лог на SSL/TLS сертификати, издадени от публични Certificate Authority-та. Когато за даден домейн или поддомейн се издаде сертификат, запис за това често попада в публичните CT логове.
Защо това е важно?
Защото чрез тези логове можеш да видиш домейни и поддомейни, които не винаги ще откриеш с обикновен DNS lookup.
Пример:
За поддомейни:
%25 е URL-encoded версия на символа %. В този контекст той работи като wildcard при търсенето.
Какво може да видиш там?
- сертификати за основния домейн;
- сертификати за поддомейни;
- дати на издаване;
- кой Certificate Authority е издал сертификата;
- стари поддомейни, които вече не се използват;
- неочаквани записи, които заслужават проверка.
За собственик на инфраструктура това е прекрасен self-audit инструмент. Ако откриеш сертификат за поддомейн, който не разпознаваш, това е сигнал да провериш.
За OSINT анализатор това е начин да картографира публичното лице на една инфраструктура без агресивно сканиране.
Това е красотата на passive OSINT - стоиш тихо, но виждаш много.
Реален пример - как се чете един съмнителен домейн
Да си представим хипотетична ситуация.
Получаваш линк към сайт:
Сайтът предлага лаптопи, телефони и техника на половин цена. Дизайнът е лъскав, има брояч “офертата изтича след 12 минути”, има фалшиви ревюта и бутон “Плати сега”.
Много хора биха погледнали сайта и биха казали: “Изглежда професионално.”
OSINT човекът не гледа само повърхността. Той гледа следите.
1. WHOIS проверка
- Кога е регистриран домейнът?
- Кога изтича регистрацията?
- Кой е регистраторът?
- Има ли странен статус?
- Съвпада ли възрастта на домейна с твърденията на сайта?
Ако сайтът твърди “работим от 2014 година”, но домейнът е регистриран преди 12 дни, това вече не е жълта лампа. Това е прожектор.
2. DNS проверка
- Към какъв IP сочи домейнът?
- Има ли MX записи?
- Има ли TXT записи за SPF, DKIM или DMARC?
- Кои nameserver-и се използват?
- Има ли поддомейни?
- Има ли следи от набързо сглобена инфраструктура?
Сайт за онлайн търговия без ясна имейл инфраструктура е странен. Не е автоматично измама, но е странен.
3. Certificate Transparency проверка
- Кога е издаден първият SSL сертификат?
- Има ли сертификати само от последните дни?
- Има ли поддомейни като admin, panel, shop, dev, test?
- Има ли нещо, което не съвпада с публичната история на сайта?
Никой от тези сигнали сам не е присъда. Но когато се съберат няколко:
- нов домейн;
- евтина или масово злоупотребявана TLD зона;
- липса на нормални имейл записи;
- нов SSL сертификат;
- лошо написани условия;
- агресивен маркетинг;
- само крипто или съмнителни плащания;
тогава картината вече започва да мирише на изгорял кабел.
И тук не говорим за параноя. Говорим за нормална дигитална хигиена.
За TLD зоните - важна забележка
Често ще чуеш, че домейни с разширения като .xyz, .top, .click, .icu и други подобни са “измамни”.
Това не е правилен извод.
По-точното е следното:
Някои евтини TLD зони често се срещат в масови измамни кампании, защото са евтини, лесни за регистрация и удобни за бързо изгаряне. Но това не означава, че всеки домейн с такова разширение е измама.
TLD зоната е сигнал, не доказателство.
Истинският анализ идва от комбинацията:
- възраст на домейна;
- WHOIS данни;
- DNS записи;
- SSL история;
- съдържание на сайта;
- начин на плащане;
- контактна информация;
- репутация;
- външни споменавания;
- логическа съвместимост между всички тези неща.
Една червена лампа може да е случайност.
Пет червени лампи вече са коледна украса на измамата.
Какво НЕ е WHOIS/DNS анализ
Тук трябва да сложим ясна граница.
WHOIS и DNS анализът не са:
- начин да тормозиш собственик на сайт;
- опит да търсиш лични адреси на хора;
- оправдание да публикуваш чужди данни;
- игра “да видим кой стои зад това и да го изложим”;
- заместител на здравия разум;
- доказателство за вина само по себе си.
WHOIS и DNS анализът са:
- техническа проверка на публична информация;
- инструмент за самозащита;
- начин да разбереш по-добре собствената си инфраструктура;
- метод за оценка на доверие към непознат сайт;
- първа стъпка при проверка на онлайн измами;
- част от пасивен, етичен OSINT подход.
Линията е същата като в целия раздел:
Свободата да знаеш не е разрешение да вредиш.
Малък OSINT комплект за начало
Ако започваш сега, не ти трябват 50 инструмента. Трябват ти няколко, които разбираш добре.
В браузъра:
- who.is - WHOIS lookup.
- lookup.icann.org - официален ICANN lookup.
- mxtoolbox.com - DNS, MX, TXT, blacklist и имейл проверки.
- dnschecker.org - DNS от различни глобални локации.
- intodns.com - здравен преглед на DNS зоната.
- crt.sh - Certificate Transparency и поддомейни.
В терминала:
- whois - класическа WHOIS справка.
- dig - сериозни DNS заявки.
- host - бързи DNS проверки.
- nslookup - базова DNS проверка, удобна и на Windows.
- grep - филтриране на резултати.
Това е напълно достатъчно за 80% от ежедневните начални проверки.
Останалите 20% идват по-късно:
- passive DNS;
- DNS history;
- IP geolocation;
- ASN lookup;
- subdomain enumeration;
- infrastructure mapping;
- email security analysis;
- phishing infrastructure detection.
Но не бързай. В OSINT бързият човек често вижда по-малко. Търпеливият вижда връзките.
Практическо упражнение
За да не остане темата само теория, направи следното упражнение върху собствен домейн или върху публичен домейн, който имаш право да анализираш пасивно.
1. WHOIS проверка:
Отговори си:
- Кога е регистриран домейнът?
- Кой е регистраторът?
- Какви nameserver-и използва?
- Има ли странни статуси?
2. DNS проверка:
Отговори си:
- Към какъв IP сочи домейнът?
- Има ли имейл сървъри?
- Има ли SPF, DKIM или DMARC?
- Кои nameserver-и управляват зоната?
3. Certificate Transparency:
Провери:
- Има ли поддомейни?
- Има ли стари записи?
- Има ли нещо, което не очакваш?
Целта не е да “хванеш някого”. Целта е да се научиш да четеш следи.
Финална мисъл
Когато гледаш един домейн чрез WHOIS и DNS, не виждаш цялата истина. Виждаш техническия отпечатък - начина, по който този домейн се представя пред мрежата.
Но точно този отпечатък е нещото, което много измамни сайтове не успяват да фалшифицират добре.
Можеш да направиш красив сайт за един следобед.
Не можеш да направиш домейн на 5 години за един следобед.
Можеш да копираш текстове, снимки и ревюта.
Но трудно можеш да копираш цялата техническа история, DNS логика, сертификатна следа и инфраструктурна последователност на истински проект.
WHOIS и DNS не дават красив отговор. Дават суров отговор.
А суровият отговор често е най-близо до истината.
SEO ключови думи: WHOIS, DNS, OSINT инструменти, dig команда, host команда, nslookup, whois команда, passive OSINT, Certificate Transparency, crt.sh, MX запис, TXT запис, SPF, DKIM, DMARC, проверка на домейн, дата на регистрация на домейн, nameserver, reverse DNS, PTR запис, dnschecker, mxtoolbox, intodns, OSINT за начинаещи, домейн анализ, защита от измами, фалшив сайт, проверка на онлайн магазин, кибер хигиена, OSINT България, Cyber Bunker, DTGaraGe
Автор: Тони Ангелчовски | Ексклузивно за DTGaraGe
Копирането и препубликуването без разрешение не е позволено 
Подкрепи проекта: https://dtgarage.eu/donate