全球IP的whois信息获取与情报挖掘

什么是whois信息?

Whois是一种网络协议,也是一种网络服务,能够让客户端查询域名或者IP是否注册,以及注册人的相关信息。我们通常所说的whois信息就是通过whois查询到的信息。IP whois信息即是IP的是否注册使用以及注册人(或机构)的信息。

全球的IP地址的分配都由国际组织ICANN(互联网名称与数字地址分配机构)进行分配和管理。由于互联网最早由美国发明出来,所以最早的负责分配IP地址的机构是IANA(互联网号码分配机构)。1998年12月ICANN与IANA签订协议,正式将IANA组织纳入到ICANN旗下。

ICANN是互联网名称与数字地址分配机构。ICANN 总部位于加利福尼亚州滨德尔湾,是加利福尼亚州的一家非营利性公司,成立于1998年9月18日,旨在监督之前由其他组织(尤其是 IANA)直接代表美国政府执行的许多与互联网相关的任务。

全球五大区域性互联网注册机构

由于ICANN作为一个全球性机构,不便于直接将IP或域名分配到具体的使用机构上,所以就全球就成立了五大区域互联网注册机构(RIR),分别管理亚太地区(APNIC)、非洲地区(AFRINIC)、美洲地区(ARIN)、拉丁美洲地区(LACNIC)、欧洲地区(RIPE)的互联网注册事宜。

全球五大区域性互联网注册机构直接管理区域内的互联网注册接入事宜,但是区域内仍然有很多国家和地区实体,五大区域性互联网注册机构可能还是管理不过来。于是每个实体内部也成了对应的地区性互联网注册机构以区域性互联网注册机构对接,负责管理本地区的互联网注册事宜。所以一个IP的whois信息,是由注册用户提交给区域性互联网注册机构,,再由地区性互联网注册机构上报到区域性互联网注册机构。

全球IP whois信息获取与情报挖掘-LMLPHP

如何查询ip whois信息

IP whois信息由IP的whois服务器提供对外的查询接口,通过whois协议就可以直接查询。IP地址的whois信息,由各大区域性互联网注册机构提供whois服务对外开放查询。如下图通过命令查询”114.114.114.114”的whois信息,图中清晰的显示了查询的whois服务器(whois.apnic.net)是亚太地区互联网注册机构维护的服务器。

全球IP whois信息获取与情报挖掘-LMLPHP

IP whois和域名whois信息的区别

从CNNIC官网政策上可以看到要注册IP地址必须要成为CNNIC的IP分配联盟会员,成为会员就必须是组织机构。所以ip只会由企业所有,而域名则可以为企业或个人所有。从费用上可以看到注册的IP地址越多越便宜。一年的成本费用,1个C段大约要7千元,最便宜2个A段54万元,平均为60元每各IP每年。域名的注册就会相对很容易,且持有价格便宜,因为理论上域名的数量是无上限的。

全球IP whois信息获取与情报挖掘-LMLPHP

选取中国电信基站IP、赛尔网络教育网IP、公共DNS(114.114.114.114)这三个IP查询其对应的WHOIS信息,发现注册信息都是真实的,都代表了注册单位的信息,而不会包括终端用户的信息。

下图所示为某大学教育网IP,获得的IP地址都是对应的注册单位的信息是CERNET-CN

,描述信息为中国教育研究网络。

全球IP whois信息获取与情报挖掘-LMLPHP

下图所示查询某运营商手机基站出口的IP地址,查询出来的whois信息为中国电信浙江节点,未能通过语义上展示出其他信息来。

全球IP whois信息获取与情报挖掘-LMLPHP

但是查询114.114.114.114获得的whois信息,确是注册单位“南京信风网络科技有限公司”的注册信息。

全球IP whois信息获取与情报挖掘-LMLPHP

如何批量获取IP的whois信息

由于IP的whois信息是注册单位的真实信息,这些信息都是统一使用的英文语言,所以这些信息有很大的价值可以挖掘。于是乎批量的获取这些IP WHOIS信息就特别有价值了。

通过whois服务器批量查询

这是最容易想到的办法了,少量的IP通过whois服务器查询,是一个比较容易的办法,但是大批量的对whois服务器发起请求和查询,可能会被whois服务器封禁请求查询IP。

向5大RIR机构提出申请批量获得whois信息

向5个RIR机构提出申请是批量获得whois信息是最为可行的方法,5个RIR机构掌握着所有的IP的whois信息,其在官方已经给出了相关的申请方式和手续。但是不同的RIR机构对于信息审批要求都不一样,且最复杂的拉丁美洲,需要将申请文件,邮寄至LACNIC总部。最终申请是否通过可能存在着很大的不确定性。

全球IP whois信息获取与情报挖掘-LMLPHP

全球IP whois信息获取与情报挖掘-LMLPHP

使用RIR公开有限字段信息进行挖掘

相比较于批量获得完整的ip whois信息,使用RIR公开的有限字段批量数据来进行挖掘,也是一个不错的选择。RIR会公开少量有必要的IP whois信息,特别是包括路由信息,这些对互联网是必要的。

下图是几个有限公开信息的截图,可以看到敏感信息都进行了***号处理。同时最为需要注意的是,这些公开信息的时效性和准确性,都不完整正常,需要进行一些甄别和识别,可能才会产生比较大的预期价值。

全球IP whois信息获取与情报挖掘-LMLPHP

全球IP whois信息获取与情报挖掘-LMLPHP

数据挖掘价值与应用场景

识别IP的归属国家

这个确实是一个很小的知识点,但是很多时候,不了解背景知识的人,不容易找到正确答案。

全球IP whois信息获取与情报挖掘-LMLPHP

全球IP whois信息获取与情报挖掘-LMLPHP

生产IP的网络运营商信息

通过IP的whois信息可以生产这个IP是教育网的IP,还是阿里云的云主机的IP,这些IP的基础的whois信息中是包含最基础的信息。

全球IP whois信息获取与情报挖掘-LMLPHP

生产IP的网络场景信息

比如通过以下关键字,可以研判该IP是家庭宽带adsl的IP地址:

全球IP whois信息获取与情报挖掘-LMLPHP

用来进行追踪溯源

追踪到国外这个IP属于美国派拓网络安全公司

全球IP whois信息获取与情报挖掘-LMLPHP

参考链接:

https://www.cnnic.cn/n4/2022/0801/c84-275.html

https://www.cnnic.cn/n4/2022/0818/c84-346.html

https://www.arin.net/reference/research/bulkwhois/

https://www.lacnic.net/2472/2/lacnic/request-bulk-whois-access

03-18 20:33