當你想知道「這個網站是誰買的?」、「這個域名什麼時候到期?」、「這個 IP 位址屬於哪個組織?」——WHOIS 就是解答這些問題的工具。WHOIS(讀作「who is」)是網際網路最古老的查詢協定之一,從 1982 年就開始運作,至今仍是網域管理、資安調查與數位鑑識的基礎工具。
1. 什麼是 WHOIS?
WHOIS 是一種基於 TCP 的查詢/回應協定(RFC 3912),用來查詢網域名稱、IP 位址和自治系統(AS)的登記資訊。它的設計非常簡單:向 WHOIS 伺服器發送查詢字串,伺服器回傳純文字格式的登記資料。
WHOIS 的資料來源是各大網域登記機構(Registry)和域名註冊商(Registrar)維護的資料庫。整個體系採用分散式架構:
- ICANN:負責監管全球頂層域名(gTLD)如 .com、.org 的政策
- 各區域網際網路登記機構(RIR):如 APNIC(亞太)、ARIN(北美)、RIPE NCC(歐洲)負責 IP 位址的分配記錄
- 國家代碼域名(ccTLD)機構:如台灣的 TWNIC 管理 .tw 域名的 WHOIS 資料
WHOIS 最早由 Elizabeth Feinler 在 1970 年代末為 ARPANET 設計,用來追蹤網路上的使用者和主機資訊。1982 年正式以 RFC 812 標準化,至今已超過 40 年。
2. WHOIS 能查到哪些資訊?
一筆完整的域名 WHOIS 記錄通常包含以下欄位:
| 欄位 | 說明 | 範例 |
|---|---|---|
| Domain Name | 查詢的域名 | example.com |
| Registrar | 域名註冊商 | GoDaddy, Namecheap |
| Registry Domain ID | 登記機構內部識別碼 | 2138514_DOMAIN_COM-VRSN |
| Creation Date | 域名首次登記日期 | 1995-08-14T04:00:00Z |
| Updated Date | 最後更新日期 | 2023-08-13T07:18:12Z |
| Registry Expiry Date | 域名到期日 | 2024-08-13T04:00:00Z |
| Name Servers | DNS 伺服器位址 | ns1.example.com |
| Domain Status | 域名狀態碼 | clientTransferProhibited |
| Registrant | 域名持有人(可能被遮罩) | Privacy Protected |
2.1 域名狀態碼解讀
WHOIS 回傳的狀態碼由 ICANN 標準化,常見狀態如下:
- clientTransferProhibited:禁止域名移轉到其他註冊商(最常見,防止域名被盜移走)
- clientUpdateProhibited:禁止更新域名資訊
- clientDeleteProhibited:禁止刪除域名
- pendingDelete:域名即將被刪除,進入贖回期
- redemptionPeriod:到期後的贖回期(通常 30 天),可高價贖回
- serverHold:被登記機構暫停解析(通常因違規或法律原因)
3. WHOIS 資料格式解析
以下是一筆典型的 WHOIS 查詢回應範例(以 example.com 示意):
Domain Name: EXAMPLE.COM
Registry Domain ID: 2138514_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.iana.org
Registrar URL: http://res-dom.iana.org
Updated Date: 2023-08-14T07:18:12Z
Creation Date: 1995-08-14T04:00:00Z
Registry Expiry Date: 2024-08-13T04:00:00Z
Registrar: RESERVED-Internet Assigned Numbers Authority
Domain Status: clientDeleteProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: A.IANA-SERVERS.NET
Name Server: B.IANA-SERVERS.NET
DNSSEC: signedDelegation資料以鍵值對(key: value)格式呈現,不同登記機構的欄位名稱略有差異,但核心資訊基本一致。
4. 常見應用場景
4.1 網域到期日監控
域名到期是許多災難的根源——有知名企業因忘記續約導致網站突然無法訪問,甚至被競爭對手搶注。透過 WHOIS 查詢到期日,可以建立到期前提醒機制。
2003 年,微軟忘記續約 hotmail.co.uk,導致網站暫時失效。2018 年,Pay.gov(美國政府支付網站)因域名到期造成服務中斷。定期監控域名到期日是任何組織的基本維運任務。
4.2 域名搶注偵測
競爭對手可能搶注與你品牌相似的域名(如 example-shop.com、exmaple.com 的誤植域名)。定期透過 WHOIS 查詢可以偵測這類行為,及早採取法律行動或反搶注。
4.3 資安調查與釣魚網站追蹤
資安研究人員在調查釣魚攻擊或惡意網站時,WHOIS 是第一個查詢來源:
- 確認域名的建立日期(新域名往往是釣魚攻擊的指標)
- 追蹤同一個 Registrar 或聯絡資訊下的其他惡意域名
- 比對Name Server,找出使用相同基礎設施的相關攻擊群組
4.4 IP 位址溯源
IP WHOIS 查詢(向 RIR 查詢)可以找出:
- IP 位址歸屬的組織或 ISP
- IP 位址的地理區域(國家/地區層級)
- 負責人的濫用申訴聯絡資訊(Abuse Contact),可用於舉報 DDoS 或垃圾郵件來源
# 命令列 WHOIS 查詢
whois example.com # 查詢域名
whois 8.8.8.8 # 查詢 IP 位址(Google DNS)
whois AS15169 # 查詢自治系統號碼(Google)5. WHOIS 的限制:GDPR 與隱私遮罩
WHOIS 的最大轉折點發生在 2018 年 5 月:歐盟《通用資料保護規範》(GDPR)正式生效,要求保護域名持有人的個人資料。此後,大多數 .com、.net 等 gTLD 的 WHOIS 資料都經過隱私遮罩處理:
| GDPR 前 | GDPR 後 |
|---|---|
| 持有人真實姓名 | Privacy Protected / Redacted for Privacy |
| 持有人電子郵件 | 代理電子郵件或完全遮罩 |
| 持有人電話 | 已移除 |
| 持有人地址 | 已移除或僅顯示國家 |
這意味著現在的 WHOIS 查詢,個人持有的域名幾乎無法取得持有人的真實聯絡資訊。企業或政府機構的域名通常仍會顯示組織名稱,但聯絡人資訊仍可能被遮罩。
域名的技術資訊(到期日、Name Server、建立日期、狀態碼)通常不受隱私遮罩影響,仍可公開查詢。執法機關也可透過法律程序向 Registrar 要求揭露持有人資訊。
6. WHOIS vs RDAP:新一代查詢協定
傳統 WHOIS 協定有幾個明顯缺點:純文字格式難以程式化解析、各登記機構格式不統一、不支援 HTTPS 加密傳輸。為此,IETF 在 2015 年制定了 RDAP(Registration Data Access Protocol)作為繼任者。
| 特性 | WHOIS | RDAP |
|---|---|---|
| 資料格式 | 純文字(不統一) | JSON(標準化) |
| 傳輸協定 | TCP Port 43(明文) | HTTPS(加密) |
| 程式化查詢 | 需要解析純文字 | 直接解析 JSON |
| 國際化支援 | 有限(ASCII 為主) | 完整 Unicode 支援 |
| 存取控制 | 無 | 支援認證後的差異化資料 |
| ICANN 要求 | 逐步廢棄中 | 2019 年起 gTLD 強制支援 |
ICANN 自 2019 年起要求所有 gTLD 的 Registrar 必須支援 RDAP。RDAP 的查詢端點為標準 HTTPS URL,例如:
# RDAP 查詢示例(直接用瀏覽器或 curl)
https://rdap.verisign.com/com/v1/domain/example.com
https://rdap.apnic.net/ip/1.1.1.1
# 透過 IANA 的 Bootstrap 服務自動路由
https://rdap.org/domain/example.com
https://rdap.org/ip/8.8.8.87. 使用場景指南
7.1 ✅ 確認域名可購買性 → WHOIS 查詢
在購買域名前,用 WHOIS 確認域名是否已被註冊、持有人是誰、到期日為何(是否即將釋出)。
7.2 ✅ 定期監控自有域名 → 設定到期提醒
建議在到期前 60 天、30 天、7 天分別設定提醒。許多 Registrar 提供自動續約選項,但仍應確保信用卡資訊有效。
7.3 ✅ 資安事件調查 → WHOIS + Passive DNS
調查可疑域名時,結合 WHOIS 的域名登記資訊與 Passive DNS 的歷史解析記錄,可以重建攻擊者的基礎設施全貌。
7.4 ✅ 濫用申訴 → IP WHOIS 找 Abuse Contact
遭受垃圾郵件或 DDoS 攻擊時,透過 IP WHOIS 找到對應 ISP 的 Abuse 聯絡信箱(通常是 [email protected]),提交投訴工單。
7.5 ❌ 找出域名持有人個資 → GDPR 後不可行
2018 年 GDPR 後,個人持有域名的聯絡資訊已大量遮罩,WHOIS 無法再可靠地查出持有人身份。需要透過法律程序或其他管道。
8. 常見問題
8.1 WHOIS 查詢是免費的嗎?
基本的 WHOIS 查詢完全免費,可以透過命令列工具(whois)或線上工具直接查詢。部分商業服務提供批量查詢、歷史記錄或監控功能,則需要付費。
8.2 WHOIS 資料是即時的嗎?
域名資料通常在更新後數分鐘到數小時內同步到 WHOIS 伺服器,但實際延遲因登記機構而異。DNS 傳播(NS 記錄更新)則需要 24~48 小時全球生效,這與 WHOIS 資料更新是兩件不同的事。
8.3 為什麼我的域名 WHOIS 顯示「Privacy Protected」?
你的 Registrar 啟用了「WHOIS 隱私保護」(Privacy Shield)服務,用代理資訊替換你的真實聯絡資料。這是正常且建議的設定,可以防止垃圾郵件和資訊騷擾。大多數 Registrar 提供免費或低成本的隱私保護服務。
8.4 如何查詢已到期但尚未釋出的域名?
域名到期後會進入「贖回期」(Redemption Period,通常 30 天),此時原持有人仍可高價贖回。之後進入「等待刪除期」(Pending Delete,約 5 天),最終釋出供公眾重新註冊。在這段期間,WHOIS 仍會顯示相關狀態碼,可透過 Drop-catching 服務監控並在釋出瞬間搶注。
8.5 RDAP 和 WHOIS 哪個更準確?
RDAP 提供更結構化、更標準化的資料,且支援 HTTPS 加密,是未來的趨勢。但目前兩者的核心資料內容(到期日、Name Server 等)差異不大。對於程式化處理,RDAP 的 JSON 格式明顯優於 WHOIS 的純文字。
9. 小結
WHOIS 是網際網路透明度的基石——它讓域名和 IP 位址的歸屬可被查詢,為網路問責制提供基礎。儘管 GDPR 的隱私遮罩削弱了個人資訊的可查性,WHOIS 在域名監控、到期日追蹤、資安調查和 IP 溯源等場景的實用價值依然不減。理解 WHOIS 的運作原理與限制,能讓你在域名管理和網路安全工作中更有效率地使用這個工具。