Zapytania zewnętrzne

Zapytania do zewnętrznych źródeł danych — rekordów rejestrów, baz geograficznych, handshake'ów TLS, globalnych resolverów DNS. Nic z tego nie zostawia śladu na celu; to wszystko zapytania side-channel.

WHOIS

Odpytuje ekosystem WHOIS o domenę albo adres IP, podążając za łańcuchem odesłań, żeby dostać rekord autorytatywny, a nie tylko odpowiedź najwyższego poziomu.

• Wejście — domena (example.com, dr-online.pl) albo IP (8.8.8.8, 2001:4860::).
• Łańcuch — do 5 odesłań. Każda odpowiedź wyświetlana jest pod nagłówkiem Serwer N/M, więc widzisz, który rejestr dostarczył które pole.
• Widok sparsowany — pary klucz/wartość pogrupowane logicznie (rejestrator, abonent, kontakt techniczny, nameservery, daty).
• Widok surowy — przełącz, żeby zobaczyć pełen tekst zwrócony przez serwer, dokładnie tak, jak przyszedł.

Wiele rejestrów ukrywa pola kontaktowe abonenta w ramach RODO. Spodziewaj się REDACTED FOR PRIVACY na większości ccTLD-ów i domen .com/.net.

Wskazówki

• Domena — łańcuch zwykle idzie przez rejestr (IANA → rejestr TLD → rejestrator) i się kończy.
• Adres IP — trafisz do RIR-a (RIPE, ARIN, APNIC, LACNIC, AFRINIC). inetnum / NetRange mówi ci, jaki jest prawdziwy blok sieciowy.
• Świeżość — dane WHOIS są tak stare, jak ostatnia aktualizacja rejestru. Daty utworzenia/wygaśnięcia są zwykle autorytatywne; kontakty potrafią się spóźniać.

GeoIP

Zamienia IP na fizyczną lokalizację i tożsamość sieciową. Używa geo-API DR-ONLINE; działa dla IPv4 i IPv6.

• Adres — kraj, kod kraju, region/stan, miasto, kod pocztowy, strefa czasowa.
• Sieć — ISP / organizacja, numer AS, nazwa ASN.
• Współrzędne — szerokość i długość geograficzna, naniesione na interaktywną mapę (pinezka, zoom, rotacja).

Dokładność bywa różna. IP dostawców chmurowych, węzły wyjściowe VPN i operatorzy komórkowi często rozwiązują się do siedziby operatora, a nie końcowego użytkownika. Dane na poziomie miasta traktuj jako wskazówkę, nie fakt.

Typowe zastosowania

• Triage — abuzywne IP w twoich logach. Kraj + ISP mówi, czy blokować, czy negocjować.
• Model mentalny opóźnień — jeśli twój traceroute zatrzymuje się we Frankfurcie, DE, a cel jest w Sydney, AU, pozostały budżet RTT to ocean.
• Debug CDN-a — który węzeł edge odpowiada? Skonfrontuj z propagacją DNS.

Certyfikat SSL / TLS

Łączy się z hostem na porcie TCP, kończy handshake TLS i rozkłada łańcuch certyfikatów, który serwer przedstawił. Tylko do odczytu — po handshake nie są wysyłane żadne bajty.

• Host — nazwa hosta albo IP.
• Port — domyślnie 443. Użyj 465 dla SMTPS, 636 dla LDAPS, 993 dla IMAPS, 5671 dla AMQPS itd.
• Łańcuch — każdy certyfikat, który serwer przysłał, od liścia w górę. Każdy wpis pokazuje:
  • Subject (CN i pełny DN).
  • Issuer (kto podpisał).
  • Ważność (Not Before, Not After) — z czytelnym ostrzeżeniem, jeśli data wygaśnięcia jest bliska albo przekroczona.
  • Numer seryjny.
  • Algorytm podpisu (np. sha256WithRSAEncryption, ecdsa-with-SHA384).
  • Klucz publiczny — algorytm i długość w bitach.
  • Odciski palców — SHA-1 i SHA-256.
  • Subject Alternative Names (SAN) — każda nazwa DNS / IP, dla której certyfikat jest ważny.
  • Key usage, extended key usage (server auth, client auth, code signing…).
  • HPKP pins (jeśli ustawione), URL respondera OCSP, punkty dystrybucji CRL.

Całościowy wynik ma kolor: TRUSTED (zielony), jeśli łańcuch waliduje się względem systemowego magazynu zaufania, NOT TRUSTED (pomarańczowy), jeśli kończy się, ale nie łączy z żadnym znanym rootem, FAILED (czerwony), jeśli handshake się nie powiódł.

Certyfikaty self-signed i z wewnętrznego CA pokażą się jako NOT TRUSTED. To nie błąd — to znaczy, że lokalny system nie ma tego CA w magazynie zaufania. Jeśli chcesz zielony, zainstaluj go osobno.

Propagacja DNS

Odpytuje tę samą domenę w ~45 publicznych resolverach na całym świecie i porównuje odpowiedzi. Gdy właśnie zmieniłeś rekord A, to pokazuje, jak daleko dotarła zmiana.

• Domena — nazwa do rozwiązania (tylko rekord A).
• Wynik per-serwer — nazwa dostawcy, IP resolvera, flaga, rozwiązany adres. Spinner w trakcie, czerwony krzyżyk przy timeoucie/błędzie.
• Mapa — każdy odpowiadający serwer rozmieszczony według przybliżonej lokalizacji; zgodne odpowiedzi grupują się kolorystycznie.
• Resolvery — Google, Cloudflare, Quad9, OpenDNS, Yandex, 114DNS, Comodo, AdGuard, CleanBrowsing, Neustar, Verisign, DNS.WATCH, AliDNS, DNSPod, Baidu, 360 Secure, CNNIC, Hurricane, puntCAT, Censurfridns, UncensoredDNS, DNS.SB, Nawala, SafeDNS, CIRA Shield, Dyn, Alternate DNS — w USA, EU, APAC, Ameryce Południowej.

Narzędzie przerywa każdego pojedynczego resolvera po 5 sekundach — zawieszone zapytania nie blokują reszty.

Wersja darmowa pozwala na jeden pełny przebieg na instalację; kolejne uruchomienia wymagają PRO. Chroni to publiczne resolvery przed bombardowaniem przez aplikację.

Typowe zastosowania

• Po zmianie DNS — weryfikacja rolloutu sterowanego TTL-em między kontynentami.
• Różne odpowiedzi dla tej samej domeny — czerwona flaga: split-horizon, porwanie DNS albo regionalny GeoDNS działający zgodnie z zamysłem. Sprawdź TTL-e.
• Timeouty z jednego klastra — ten dostawca leży, nie twoja domena.