WHOIS & RDAP
Deep-Dive

Das klassische WHOIS-Protokoll basiert auf dem RFC 3912-Standard und sendet seit Jahrzehnten unstrukturierte Textdaten über den TCP-Port 43. Da dieses System weder standardisierte Ausgabeformate noch eine native Internationalisierung (z.B. für IDN-Domains) unterstützt, hat die IETF das Registration Data Access Protocol (RDAP) als offiziellen Nachfolger entwickelt. RDAP läuft via HTTP/HTTPS und liefert die Registrierungsdaten in einer semantisch strukturierten, maschinenlesbaren JSON-Struktur zurück. Unser Deep-Dive-Tool aggregiert Daten aus beiden Welten: Es fragt parallel die klassischen WHOIS-Server der Registrare sowie die modernen REST-Endpunkte der zuständigen Network Coordination Center (wie RIPE, ARIN oder APNIC) ab, um Ihnen ein lückenloses, technisch verifiziertes Audit jeder Domain bereitzustellen.

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sind die Zeiten komplett offener Eigentümerdaten vorbei. ICANN verpflichtet Registrare und Registries seither zur Anonymisierung personenbezogener Daten. Der große Vorteil von RDAP gegenüber dem alten WHOIS-Protokoll liegt hier in seiner Granularität. Während Port-43-Abfragen oft nur pauschale 'Redacted for Privacy'-Blöcke ausgeben, erlaubt die JSON-Struktur von RDAP eine exakte Differenzierung. Unser Tool schlüsselt für Sie auf, welche juristischen Entitäten (z.B. Unternehmen statt Privatpersonen), technischen Ansprechpartner (Tech-C) oder Abuse-Kontakte für die Meldung von Rechtsverletzungen und Spam trotz Datenschutzklauseln im System transparent hinterlegt sind.

Ein Herzstück des RDAP- und WHOIS-Datenstroms sind die Status-Metadaten, die im Extensible Provisioning Protocol (EPP) definiert sind. Diese Steuerungscodes bestimmen die Handlungsfähigkeit einer Domain. Unser Parser übersetzt diese kryptischen Systemmeldungen in klare Handlungsempfehlungen: - **clientTransferProhibited / serverTransferProhibited:** Die Domain ist gegen unbefugte Anbieterwechsel geschützt (Domain-Hijacking-Schutz). - **redemptionPeriod (Grace Period):** Die Domain wurde gekündigt oder ist abgelaufen, befindet sich jedoch in einer exklusiven Karenzzeit, in der der bisherige Inhaber sie reaktivieren kann. - **pendingDelete:** Die Löschphase läuft unumkehrbar. Nach Ablauf dieses Zeitfensters wird die Domain wieder für die Allgemeinheit freigegeben. Unser Tool überwacht diese Phasen sekundengenau.

Cybersecurity-Analysten und Incident Response Teams nutzen unseren WHOIS- & RDAP-Explorer zur proaktiven Bedrohungsanalyse (Threat Intelligence). Beim Audit einer verdächtigen Domain analysiert das Tool nicht nur das Registrierungsdatum, sondern vergleicht sekundäre Merkmale. Durch die Verknüpfung der ausgelesenen autonomen Systeme (ASN), der verantwortlichen Registrar-IDs (IANA-IDs) und den historischen Update-Zyklen der Root-Nameserver lassen sich Muster erkennen. So entlarven Sie Typosquatting (Domain-Namensdiebstahl) und können bösartige Infrastrukturen wie Command-and-Control-Server (C2) isolieren, noch bevor diese Schaden anrichten.

Für Entwickler und Systemadministratoren ist das Parsen von alten WHOIS-Textwüsten ein Albtraum, da fast jeder Registrar ein eigenes proprietäres Ausgabeformat nutzt (Regular Expressions scheitern hier reihenweise). RDAP löst dieses Problem durch eine standardisierte JSON-Objektstruktur. Objekte wie `entities`, `nameservers` und `events` (für Zeitstempel) erlauben eine fehlerfreie, automatisierte Weiterverarbeitung in Ihren eigenen Skripten und Monitoring-Tools. Unser Tool bereitet diese JSON-Payload visuell perfekt auf und bietet Ihnen gleichzeitig den direkten Zugriff auf den rohen RDAP-Quelltext für Ihre Automatisierungs-Pipelines.