当你想知道「这个网站是谁买的?」、「这个域名什么时候到期?」、「这个 IP 地址属于哪个组织?」——WHOIS 就是解答这些问题的工具。WHOIS(读作「who is」)是互联网最古老的查询协议之一,从 1982 年就开始运作,至今仍是域名管理、安全调查与数字取证的基础工具。
1. 什么是 WHOIS?
WHOIS 是一种基于 TCP 的查询/响应协议(RFC 3912),用来查询域名、IP 地址和自治系统(AS)的登记信息。它的设计非常简单:向 WHOIS 服务器发送查询字符串,服务器返回纯文本格式的登记数据。
WHOIS 的数据来源是各大域名登记机构(Registry)和域名注册商(Registrar)维护的数据库。整个体系采用分散式架构:
- ICANN:负责监管全球顶级域名(gTLD)如 .com、.org 的政策
- 各区域互联网登记机构(RIR):如 APNIC(亚太)、ARIN(北美)、RIPE NCC(欧洲)负责 IP 地址的分配记录
- 国家代码域名(ccTLD)机构:如 CNNIC 管理 .cn 域名的 WHOIS 数据
WHOIS 最早由 Elizabeth Feinler 在 1970 年代末为 ARPANET 设计,用来追踪网络上的用户和主机信息。1982 年正式以 RFC 812 标准化,至今已超过 40 年。
2. WHOIS 能查到哪些信息?
一条完整的域名 WHOIS 记录通常包含以下字段:
| 字段 | 说明 | 示例 |
|---|---|---|
| Domain Name | 查询的域名 | example.com |
| Registrar | 域名注册商 | GoDaddy, Namecheap |
| Creation Date | 域名首次登记日期 | 1995-08-14T04:00:00Z |
| Updated Date | 最后更新日期 | 2023-08-13T07:18:12Z |
| Registry Expiry Date | 域名到期日 | 2024-08-13T04:00:00Z |
| Name Servers | DNS 服务器地址 | ns1.example.com |
| Domain Status | 域名状态码 | clientTransferProhibited |
| Registrant | 域名持有人(可能被遮蔽) | Privacy Protected |
2.1 域名状态码解读
WHOIS 返回的状态码由 ICANN 标准化,常见状态如下:
- clientTransferProhibited:禁止域名转移到其他注册商(最常见,防止域名被盗转)
- clientUpdateProhibited:禁止更新域名信息
- clientDeleteProhibited:禁止删除域名
- pendingDelete:域名即将被删除,进入赎回期
- redemptionPeriod:到期后的赎回期(通常 30 天),可高价赎回
- serverHold:被登记机构暂停解析(通常因违规或法律原因)
3. WHOIS 数据格式解析
以下是一条典型的 WHOIS 查询响应示例(以 example.com 示意):
Domain Name: EXAMPLE.COM
Registry Domain ID: 2138514_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.iana.org
Updated Date: 2023-08-14T07:18:12Z
Creation Date: 1995-08-14T04:00:00Z
Registry Expiry Date: 2024-08-13T04:00:00Z
Registrar: RESERVED-Internet Assigned Numbers Authority
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: A.IANA-SERVERS.NET
Name Server: B.IANA-SERVERS.NET
DNSSEC: signedDelegation4. 常见应用场景
4.1 域名到期日监控
域名到期是许多灾难的根源——有知名企业因忘记续约导致网站突然无法访问,甚至被竞争对手抢注。透过 WHOIS 查询到期日,可以建立到期前提醒机制。
2003 年,微软忘记续约 hotmail.co.uk,导致网站暂时失效。2018 年,Pay.gov(美国政府支付网站)因域名到期造成服务中断。定期监控域名到期日是任何组织的基本运维任务。
4.2 域名抢注侦测
竞争对手可能抢注与你品牌相似的域名。定期透过 WHOIS 查询可以侦测这类行为,及早采取法律行动或反抢注。
4.3 安全调查与钓鱼网站追踪
安全研究人员在调查钓鱼攻击或恶意网站时,WHOIS 是第一个查询来源:
- 确认域名的建立日期(新域名往往是钓鱼攻击的指标)
- 追踪同一个 Registrar 或联系信息下的其他恶意域名
- 比对Name Server,找出使用相同基础设施的相关攻击群组
4.4 IP 地址溯源
IP WHOIS 查询可以找出 IP 地址归属的组织、地理区域,以及濒用申诉联系信息(Abuse Contact),可用于举报 DDoS 或垃圾邮件来源。
# 命令行 WHOIS 查询
whois example.com # 查询域名
whois 8.8.8.8 # 查询 IP 地址
whois AS15169 # 查询自治系统号码5. WHOIS 的限制:GDPR 与隐私遮蔽
WHOIS 的最大转折点发生在 2018 年 5 月:欧盟《通用数据保护条例》(GDPR)正式生效,要求保护域名持有人的个人数据。此后,大多数 gTLD 的 WHOIS 数据都经过隐私遮蔽处理,持有人的真实姓名、邮箱和地址信息已大量移除。
域名的技术信息(到期日、Name Server、建立日期、状态码)通常不受隐私遮蔽影响,仍可公开查询。执法机关可透过法律程序向 Registrar 要求披露持有人信息。
6. WHOIS vs RDAP:新一代查询协议
传统 WHOIS 有纯文本格式难以解析、各机构格式不统一、不支持 HTTPS 加密等缺点。IETF 在 2015 年制定了 RDAP(Registration Data Access Protocol)作为继任者:
| 特性 | WHOIS | RDAP |
|---|---|---|
| 数据格式 | 纯文本(不统一) | JSON(标准化) |
| 传输协议 | TCP Port 43(明文) | HTTPS(加密) |
| 程序化查询 | 需要解析纯文本 | 直接解析 JSON |
| 国际化支持 | 有限(ASCII 为主) | 完整 Unicode 支持 |
| ICANN 要求 | 逐步废弃中 | 2019 年起 gTLD 强制支持 |
7. 小结
WHOIS 是互联网透明度的基石——它让域名和 IP 地址的归属可被查询,为网络问责制提供基础。尽管 GDPR 的隐私遮蔽削弱了个人信息的可查性,WHOIS 在域名监控、到期日追踪、安全调查和 IP 溯源等场景的实用价值依然不减。理解 WHOIS 的运作原理与限制,能让你在域名管理和网络安全工作中更高效地使用这个工具。