如何利用WHOIS查询IP的来源？

三个NIC负责全世界所有IP的分配.理论上三个NIC的数据库涵\x0d\x0a盖了所有的IP.我下面以APNIC为例说明怎么操作.登录到APNIC\x0d\x0a的主页上www。apnic。net选择APNICWWWWhoisSearch\x0d\x0a在框中填上填入你想查询的ip地址:61.130.34.5(我随机选择的)\x0d\x0aAPNIC的返会的结果为:\x0d\x0a\x0d\x0aWhoisSearchresultsfor'61.130.34.5'...\x0d\x0ainetnum:61.130.0.0-61.130.127.255/IP范围/\x0d\x0anetname:CNINFONET-ZJ/网络名称/\x0d\x0adescr:CNINFONETZhejiangprovincenetwork/网络描述1/\x0d\x0adescr:DataCommunicationDivision/网络描述2/\x0d\x0adescr:ChinaTelecom/网络描述3/\x0d\x0acountry:CN/国家/\x0d\x0aadmin-c:CH93-AP/网管/\x0d\x0atech-c:YC30-AP/技术网管/\x0d\x0amnt-by:MAINT-CHINANET/网络标识/\x0d\x0amnt-lower:MAINT-CHINANET-ZJ\x0d\x0achanged:hostmaster@ns.chinanet.cn.net20000101/联系人邮件地址/\x0d\x0asource:APNIC/信息来源/\x0d\x0a\x0d\x0aperson:ChinanetHostmaster\x0d\x0aaddress:A12,Xin-Jie-Kou-WaiStreet\x0d\x0acountry:CN\x0d\x0aphone:+86-10-62370437\x0d\x0afax-no:+86-10-62053995\x0d\x0ae-mail:hostmaster@ns.chinanet.cn.net\x0d\x0anic-hdl:CH93-AP\x0d\x0amnt-by:MAINT-CHINANET\x0d\x0achanged:hostmaster@ns.chinanet.cn.net20000101\x0d\x0asource:APNIC\x0d\x0a\x0d\x0aperson:YICHUNWANG\x0d\x0aaddress:NO378YAN'ANROAD,HANGZHOU,ZHEJIANGPROVINCE,310006\x0d\x0acountry:CN\x0d\x0aphone:+86-571-7015441\x0d\x0afax-no:+86-571-7015514\x0d\x0ae-mail:ycwang@dcb.hz.zj.cn\x0d\x0anic-hdl:YC30-AP\x0d\x0amnt-by:MAINT-CHINANET-ZJ\x0d\x0achanged:ycwang@dcb.hz.zj.cn20000328\x0d\x0asource:APNIC\x0d\x0a\x0d\x0aperson:YICHUNWANG\x0d\x0aaddress:NO378YAN'ANROAD,HANGZHOU,ZHEJIANGPROVINCE,310006\x0d\x0acountry:CN\x0d\x0aphone:+86-571-7015441\x0d\x0afax-no:+86-571-7015514\x0d\x0ae-mail:ycwang@dcb.hz.zj.cn\x0d\x0anic-hdl:YC30-AP\x0d\x0amnt-by:MAINT-CHINANET-ZJ\x0d\x0achanged:ycwang@dcb.hz.zj.cn20000328\x0d\x0asource:APNIC\x0d\x0a\x0d\x0adgse注:"/"之间的部分是我加的注释\x0d\x0a\x0d\x0a从返回的信息大概可以推断出此IP来自中国电信CHINANET浙江163.\x0d\x0a当然这样查到的信息是相当笼统的.\x0d\x0a\x0d\x0a几个注意的问题:\x0d\x0a1)Whois是一种官方提供的信息,目的是为了保证整个Internet运行环境的\x0d\x0a协调统一和网络畅通无阻.Whois是针对Internet目录所提供的信息检索\x0d\x0a服务,是网络重要的目录服务之一.\x0d\x0a2)目前国内流传一种叫"IP搜索客"的共享软件是私人编写的,提供的IP的来\x0d\x0a源往往有限(限于国内),且结果有时很不准确,但是有些结果却精确的\x0d\x0a可怕,比如最新的版本甚至可以通过IP准确定位于某个城市,或者某个大\x0d\x0a学的某个试验室(好可怕的说呵呵).\x0d\x0a3)并非所有位于大陆的网络全部向APNIC注册,比如国内建校园网较早的清华\x0d\x0a大学,北京大学等,以北京大学为例(162.105.0.0~~162.105.255.255)在\x0d\x0aAPNIC上查不到结果,却可以在ARIN上查到结果.\x0d\x0a4)有些国内的用户使用的ISP是国外(比如ENI)的,那么查询的的数据库就\x0d\x0a不能选择为APNIC,而应该是ARIN.

1、NSLOOKUP

nslookup命令几乎在所有的PC操作系统上都有安装，用于查询DNS的记录，查看域名解析是否正常，在网络故障的时候用来诊断网络问题。信息安全人员，可以通过返回的信息进行信息搜集。

2、DIG

Dig也是对DNS信息进行搜集的工具，dig 相比nsllooup不光功能更丰富，首先通过默认的上连DNS服务器去查询对应的IP地址，然后再以设置的dnsserver为上连DNS服务器。

3、Whois

whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。

网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

5、主动信息搜集

Recon-ng是一个信息搜集的框架，它之于信息搜集完全可以和exploit之于metasploit framework、社会工程学之于SET。

5、主动信息搜集

主动信息搜集是利用一些工具和手段，与搜集的目标发生一些交互，从而获得目标信息的一种行为。主动信息搜集的过程中无法避免会留下一些痕迹。

whodatchicken什么软件，WhoDat项目 WhoDat项目是whoisxmlapi数据或ElasticSearch中任何whois数据的前端。 它集成了whois数据，当前的IP分辨率和被动DNS。 除了为分析师提供交互式，可枢转的应用程序进行研究之外，它还具有API，该API允许以JSON或列表格式输出。 WhoDat最初是由（ 撰写的。 原始实现使用PHP，并且可以在该存储库的目录下。 该代码由和用Python重新编写，可在目录下。 PHP版本留给了想要运行它的人，但是它不像Python实现那样功能全面或可扩展，因此不受支持。 有关PHP实现的更多信息，请参见。 有关Python实现的更多信息，请继续阅读... 先决条件 pyDat是python 2.7应用程序，需要运行以下命令： ElasticSearch安装在某处（支持版本5.2->6.x，已测试最高6.3.1） python软件包：

---