Cosa fa#
Interroga i database WHOIS per ottenere registrazione e ownership di un indirizzo IP o dominio. Utile in DFIR per identificare chi controlla un IP sospetto: paese, provider, ASN, contatto abusi.
TL;DR#
whois 117.11.88.124
# → organizzazione, paese, ASN, range IP assegnatoSintassi#
whois <ip-o-dominio>
Comandi essenziali#
| Comando | Cosa fa |
|---|---|
whois 117.11.88.124 | Info su IP: organizzazione, paese, ASN |
whois evil.com | Info su dominio: registrar, data registrazione, nameserver |
Output chiave da leggere#
NetRange: 117.0.0.0 - 117.255.255.255 ← blocco assegnato
CIDR: 117.0.0.0/8
NetName: CHINANET-SH ← nome del blocco
Organization: China Telecom ← provider
Country: CN ← paese
OrgAbuseEmail: abuse@example.com ← contatto per segnalazioniwhois da' informazioni sull'owner del blocco IP (provider o AS), non sull'utente finale. La citta' esatta richiede un tool di geolocalizzazione (iplocation.net, ipinfo.io). Per l'ownership e' piu' affidabile di qualsiasi geolocalizzatore.
Scenario Reale#
In un'analisi pcap (CyberDefenders WebStrike) l'IP sorgente era 117.11.88.124. whois ha confermato il blocco assegnato a China Telecom e la citta' Tianjin — prima evidenza sull'origine geografica dell'attaccante.
In un SOC, whois e' il primo passo quando si vede un IP sconosciuto nei log: prima di bloccare, si verifica se e' un provider legittimo, un'ASN nota come fonte di attacchi, o un range di hosting anonimo.
Collegato a#
- network — categoria
- dfir — usato nel triage di IP sospetti
- webstrike — challenge dove e' stato usato per identificare l'attaccante
