Поскольку Интернет по сути начиналась с нескольких связанных между собой компьютеров, управляемых операционной системой сегодня известной под названием Unix, большинство административных и клиентских процедур, работающих в Сети были первоначально разработаны для Unix-систем. В свое время даже Usenet могли читать только Unix-машины и те люди, которые в совершенстве владели его запутанной системой команд. Некоторые, закаленные в боях ветераны все еще живы, и Вы иногда можете заметить, как мы общаемся, друг с другом на непонятном языке, перекидываемся странными терминами, так что Вам остается только гадать о чем это мы.
Многие процедуры, используемые в Сети, были воспроизведены в более дружественных пользователю вариантах для таких платформ как Windows, Windows 95 и MacIntosh. Этот урок представляет собой введение в основные процедуры, используемые системными администраторами (сисадминами) для выявления возникающих проблем в Сети. К счастью, большинство из этих процедур можно также использовать для поиска источника спама.
Беззастенчивая реклама.
(Я не имею ничего общего с компанией, но мне нравится их продукт).
Мой любимый набор процедур - NetScan Tools для Windows 95. Он обладает очень хорошим интерфейсом пользователя и включает в себя самые разнообразные процедуры, кроме WHOIS - их мы обсудим в последующих уроках, поскольку процедура WHOIS сама по себе тема обширная.
На этом уроке мы начнем знакомиться с процедурой WHOIS.
База данных WHOIS представляет собой массив имен доменов. Вы уже, наверное, знаете, что компьютеры Сети не "говорят" на "человеческом" языке. Компьютеры Сети общаются друг с другом на языке IP адресов (адресов Протокола Интернет). Чтобы эти адреса имели смысл, в базе данных они должны соответствовать именам доменов. Если бы я работал на Unix-системе, я бы набирал такие команды:
whois comp-sol.com
или
whois 156.46.104.0
или
whois 'NETBLK-SPRINT-CF284F'
Основное, что Вы должны понять - это то, что информацию из базы данных WHOIS можно запрашивать различными способами. Иногда Вы можете получить огорошивающий ответ от InterNIC, но обычно полученная информация позволяет проследить следы спамера дальше. Если Вы не знаете с чего начать, просто наберите WHOIS "что-нибудь" и посмотрите, что Вы получите. Вы ничего не испортите и никого не разозлите.
Запрос по имени домена
Если Вы запрашиваете информацию об имени домена, например "spamsolvers.com" и получаете от InterNIC ответ "Записей не найдено", это значит, что введенное Вами имя не является законным именем домена, так как InterNIC распоряжается всеми именами доменов, заканчивающихся на .com. И некоторыми именами доменов, заканчивающихся на .net, .org и .edu. Обратите, пожалуйста, внимание, что для того чтобы получить положительный ответ, Вы должны указать "spamsolvers.com", а не "www.spamsolvers.com" или "spammachine.spamsolvers.com". Нас интересует только последняя часть имени домена после первой точки. Часть имени до "spamsolvers.com" указывает на машину, принадлежащую этой организации, но оно присваивается владельцами организации, а не InterNIC. Теперь об имени домена. Если Вы запрашиваете информацию о домене в США, и он получен законно, Вы должны получить ответ, который выглядит примерно так:
whois comp-sol.com
The InterNIC Registration Services Host contains ONLY Internet
Information (Networks, ASN's, Domains, and POC's).
Please use the whois server at nic.ddn.mil for MILNET Information.
Давайте разберем эту информацию и посмотрим, что она означает.
Computer Solutions of Kenosha (COMP-SOL-DOM)
2031 22nd Avenue
Kenosha, WI 53140
US
Так, предположительно это организация, называющаяся "Computer Solutions of Kenosha", расположенная в штате Висконсин, г. Кеноша. Строка "(COMP-SOL-DOM)" говорит, что "comp-sol" действительно имя домена. Пожалуйста, помните, что спамеры знают об именах доменов и процедуре WHOIS. Они часто указывают фиктивную информацию, когда регистрируют имя домена в InterNIC. Это нарушение правил, но InterNIC на настоящий момент отказывается что-либо предпринимать по этому поводу. Тем не менее, во многих случаях эта информация оказывается верной. Хотя бы потому, что InterNIC должен иметь способ взимать плату за использование имени домена. Если предоставленная информация полностью фиктивна, спамер, по всей видимости, не намерен платить по счетам, а просто собирается пользоваться именем домена до тех пор, пока не истечет срок его аренды, а затем зарегистрирует новое. Давайте продолжим.
Administrative Contact, Technical Contact, Zone Contact:
Mattocks, Bill (BM561) bmattocks@COMP-SOL.COM
(414)551-8088
Billing Contact:
Mattocks, Bill (BM561) bmattocks@COMP-SOL.COM
(414)551-8088
Эта часть ответа говорит нам, кто отвечает за домен, кто оплачивает счета, кто обеспечивает его работу, и т.д. Опять же, предполагается, что это достоверная информация и опять же это далеко не всегда так. В любом случае у нас теперь есть электронный адрес, по которому направлять претензии. У нас появился и номер телефона, на случай если нам захочется предъявить претензии таким образом.
Record last updated on 06-Sep-97.
Record created on 09-Aug-95.
Database last updated on 12-Sep-97 04:47:08 EDT.
Эта часть информации не очень интересна. Она означает ровно то, что в ней написано, т.е. когда было зарегистрировано имя домена и когда оно последний раз менялось.
Примечание: Помните наш последний урок о DejaNews? Если дата в поле "Record last updated" относительно свежая, это означает, что стоит поискать в информацию об интересующем Вас домене на случай, если кто-нибудь из борцов со спамом уже разместил в Usenet информацию из базы данных WHOIS. Спамеры, переходя от провайдера к провайдеру "уносят" с собой свой домен, а это отразится в архивах DejaNews. Это всего лишь еще одна маленькая часть информации, но она может Вам помочь проверить, действительно ли спамер тот человек, от которого Вы получили спам и действительно ли тот домен, которым Вы интересуетесь представляет собой домен спамеров. Детали, решают все.
Domain servers in listed order:
DARKSTAR.NOMAD.NET 156.46.104.2
NOMAD.NET 156.46.104.1
Наконец, информация о серверах домена. Сервер домена - это просто машина, которая "переводит" имя домена в IP адрес, когда кто-нибудь что-нибудь посылает на этот домен. В данном случае, если кто-нибудь захочет попасть на страничку www.comp-sol.com, их запрос будет обслужен одной или обеими машинами, указанными выше. Это важно знать, так как спамер может иметь вышестоящим провайдером одну организацию, а обслуживать его запросы по именам доменов (DNS) может другая организация. Эта вторая организация может оказаться еще одним местом, куда можно направить претензию.
Domain servers in listed order:
NS7.CYBERPROMO.COM 205.199.2.250
NS5.CYBERPROMO.COM 205.199.212.50
NS8.CYBERPROMO.COM 207.124.161.65
NS9.CYBERPROMO.COM 207.124.161.50
Увидев эти адреса, Вы сразу знаете, что имеете дело лично с Королем спама. Для многих из нас, постоянных участников NANAE, этот список доменов является окончательным и не подлежащим сомнению доказательством, что подозрительный домен представляет собой "инкубатор спамеров", а отправитель сообщения - спамер. Мы склоняемся ко мнению, что Cyberpromo не поддерживает ни одного порядочного домена.
Увидеть этот список адресов все равно, что во время купания в океане увидеть акулий плавник, направляющийся в Вашу сторону.
Как с помощью WHOIS найти владельца IP адресов
Как мы уже говорили выше, процедура WHOIS может быть использована и для других целей, не только для получения информации о домене. Например, ею можно воспользоваться, чтобы выяснить, кому принадлежат определенные IP адреса:
whois 156.46.104.1
[rs.internic.net]
[No name] (NOMAD4-HST)
Hostname: NOMAD.NET
Address: 156.46.104.1
System: IBM PC 486/66 running DOS/IPAD
Record last updated on 03-Aug-95.
Database last updated on 12-Sep-97 04:47:08 EDT.
Давайте посмотрим, кому принадлежит лицензия. Для этого заменим последнее число IP адреса нулем. В данном случае это выглядит так:
whois 156.46.104.0
[rs.internic.net]
No match for "156.46.104.0".
Теперь:
whois 156.46.0.0
[rs.internic.net]
alpha dot net, corp. (NET-ALPHA)
324 East Wisconsin Avenue, Suite 609
Milwaukee WI, 53202
Netname: ALPHA
Netnumber: 156.46.0.0
Coordinator:
Chase, Tim (TC15) support@ALPHA.NET
414-274-7040
Domain System inverse mapping provided by:
HOMER.ALPHA.NET 156.46.10.10
HELEN.ALPHA.NET 156.46.10.20
Record last updated on 10-Jan-96.
Database last updated on 12-Sep-97 04:47:08 EDT.
Ну вот и полезная информация! Что мы видим? Мы видим, что блок IP адресов (который часто называют "лицензией класса C") принадлежит совсем другой организации. В данном случае - alpha dot net corp, из Милуоки, штат Висконсин. У нас есть имя и электронный адрес человека, а также номер телефона. Запомните, что эта организация является вышестоящим провайдером для спамера, и скорее всего сама не приветствует спамеров. Поэтому свою претензию к ним мы сформулируем соответствующим образом, чтобы не обидеть хороших людей.
Если и на этом шаге мы не получим результата, мы можем и дальше заменять числа в IP адресе нулями, пока не доберемся до владельца всего блока лицензий. Опять-таки у нас появится адрес для претензий.
Чем дальше мы уходим от спамера, тем меньше вероятность того, что мы имеем дело с терпимыми к спаму людьми. Если они получат достаточно жалоб, они МОГУТ принять меры, а фразу "виноват стрелочник"мы все неоднократно слышали. В конечном счете, кому-то придется взять на себя ответственность и, возможно, закрыть счета спамера. Об этом надо помнить.
Что делать, если WHOIS дает неоднозначный ответ
Иногда, WHOIS выдает не один, а несколько ответов на запрос. Вот пример:
whois mattocks
[rs.internic.net]
Mattocks E-mail Service (MATTOCKS-DOM) MATTOCKS.COM
Mattocks, Bill (BM561) bmattocks@COMP-SOL.COM (414)551-8088
Mattocks, Bill (BM1199) bmattocks@COMP-SOL.COM (414)551-8088
Mattocks, Christopher (CM3732) kolis@LVWEBMASTERS.COM 6024884305
Mattocks, Darryl (DM812) darryl.mattocks@BOOKSHOP.CO.UK
Mattocks, Jeff (MJ100-ORG) JeffMattocks@MSN.COM (360) 896-8150
Чтобы выделить информацию из одной записи базы данных, надо дать запрос в формате "!ххх", где ххх - квалификатор, указанный в скобках следом за первым именем.
И конечно же, вместе с ответом на такой запрос WHOIS выдает инструкции как сузить критерий поиска. Надо просто набрать "!" и следом информацию, указанную в скобках.
Наберите:
whois '!BM561'
Поиск информации об иностранных доменах:
Во многих странах существуют организации, эквивалентные InterNIC в США, которые работают по точно такому же принципу. Базы данных некоторых из них можно просматривать с помощью WHOIS, только надо указать ей соответствующую базу для поиска.
В других случаях, с помощью поискового сервера можно найти страничку, откуда непосредственно можно осуществлять просмотр базы данных.