Cloudmax 全面解讀 WHOIS 與 RDAP 的技術演進,深入探究 .tw 網域如何以結構化查詢、API 整合及動態資安事件流程,協助企業加快威脅偵測、簡化網域資產管理並大幅提升資安防護效率。
WHOIS 之後,下一代網域查詢標準: RDAP
以 .tw 網域為例
在網域安全與網路基礎設施管理中,最常被問的問題之一是:「這個網域是誰註冊的?什麼時候註冊的?它值得信任嗎?」早期,我們仰賴 WHOIS 來回答這些問題,但在安全與自動化的時代,WHOIS 顯得力不從心。
這篇文章要帶您從 WHOIS 的侷限出發,理解 RDAP (Registration Data Access Protocol) 為何出現、它改變了什麼,並透過 .tw 網域的實例,看它如何在資安領域實際發揮力量。
一、WHOIS 的時代:老派卻不可或缺
WHOIS 誕生於 1980 年代,用於查詢網域註冊資訊。輸入 whois twnic.com.tw,就能看到網域註冊人、DNS、註冊商等。
但 WHOIS 有幾個致命限制:
- 資料非結構化:各註冊局格式不同,難以自動解析。
- 缺乏安全性:明文傳輸,沒有存取控制。
- 擴充困難:沒有 API 或標準機制。
- 隱私問題:GDPR 之後,許多資料被遮蔽,結果越來越不一致。
簡單說,WHOIS 是人類讀得懂、但機器讀不懂的協定。
二、RDAP 登場:結構化、可授權、API 化
RDAP(Registration Data Access Protocol)由 IETF 與 ICANN 共同推出,設計用來取代 WHOIS。RDAP 以 HTTPS + JSON 為基礎,支援國際化、權限控管與結構化資料。
| 面向 | WHOIS | RDAP |
| 傳輸方式 | TCP (Port 43) | HTTPS |
| 格式 | 純文字 | JSON |
| 權限控管 | 無 | 有(OAuth / 權限層級) |
| 安全性 | 明文 | 加密傳輸 |
| 擴充性 | 低 | 高(REST API 架構) |
三、以 .tw 為例:台灣 RDAP 實作
台灣的 .tw、.com.tw、.net.tw、.org.tw 等網域由 TWNIC(台灣網路資訊中心) 管理,TWNIC 同時也是官方的 RDAP 提供者。
官方端點:
ccrdap.twnic.tw/tw/ 您可以用瀏覽器或命令列直接查詢:curl -sS https://ccrdap.twnic.tw/tw/domain/ iamsample.com.tw | jq .
結果是一份結構化 JSON,例如:
{
“ldhName”: ” iamsample.com.tw “,
“status”: [“ok”],
“events”: [
{“eventAction”: “registration”, “eventDate”: “2013-05-07T04:05:25Z”},
{“eventAction”: “expiration”, “eventDate”: “2026-05-07T04:05:25Z”}
],
“nameservers”: [
{“ldhName”: ” ns1.iamsample.com.tw “},
{“ldhName”: ” ns2. iamsample.com.tw “}
],
“entities”: [
{“roles”: [“registrar”], “vcardArray”: [“vcard”, [[“fn”, {}, “text”, “HINET”]]]}
]
}
四、RDAP 的關鍵欄位說明
| 欄位 | 說明 |
| ldhName | 網域名稱 |
| status | 網域狀態(active, clientTransferProhibited 等) |
| events | 註冊、更新、到期等時間點 |
| nameservers | 網域 DNS |
| entities | 註冊商與聯絡人 |
| links | 轉介至 registrar RDAP 的 URL |
五、資安視角:從 events 看出威脅信號
RDAP 的 events 欄位記錄了網域生命週期的關鍵節點:註冊時間(registration)、修改時間(last changed)、到期時間(expiration)等。
安全分析師會特別關注其中的 註冊時間,原因很單純:
- 釣魚網站與詐騙域名通常是剛註冊沒多久的。
- 合法品牌網域往往已存在多年。
範例:
“events”: [
{“eventAction”: “registration”, “eventDate”: “2025-10-12T06:32:10Z”}
]
如果某封釣魚郵件裡的連結指向這樣的域名,而註冊時間距今不到三天,那就是強烈的可疑信號。
六、Threat Intelligence 與 RDAP 的融合應用
現代 SOC 或安全研究單位,常會將 RDAP 結果與 Threat Intel Feed(威脅情報) 結合,例如 Spamhaus、Abuse.ch、VirusTotal、Google Safe Browsing。
流程可能像這樣:
- 從郵件、流量或 DNS 日誌中擷取未知網域
- 使用 RDAP 查詢 events → 取得註冊時間
- 判斷是否為「近 30 天內新註冊」網域
- 與 Threat Intel Feed 比對
- 命中清單或疑似新註冊 → 標記高風險
這樣能在釣魚攻擊爆發的初期就攔截掉許多惡意流量。
在威脅獵捕(threat hunting)或 brand monitoring 場景中,RDAP 變成一種「時間線型」證據來源 - 它幫助我們判斷「這個網域何時誕生、是否可疑、是否值得信任」。
七、常見 FAQ
幾乎所有 ICANN 授權的 gTLD(例如 .com、.net、.xyz)以及部分國別域(ccTLD,如 .tw、.jp、.uk)都已支援。
視隱私政策而定。大多數情況下,個資(例如 email、電話)會以「Redacted for privacy」呈現。
目前仍可用,但 ICANN 正推動全面改採 RDAP。未來新頂級域(TLD)都將以 RDAP 為標準查詢方式。
不只查網域,RDAP 也能查 IP 位址與自治系統(AS Number),這部分由區域網際網路註冊管理機構(RIR)提供,例如 APNIC、ARIN、RIPE NCC 等。
八、開放資源
| 類別 | 資源 |
| .tw 官方 RDAP | ccrdap.twnic.tw/tw/ |
| IANA RDAP 清單 | https://data.iana.org/rdap/dns.json |
| ICANN Lookup 工具 | https://lookup.icann.org/ |
| RDAP 測試平台 | https://client.rdap.org/ |
| 參考 RFC | RFC 7480–7484、RFC 9224(Server Implementation Guide) |
結語
WHOIS 是早期網際網路的基礎建設,而 RDAP 是它在現代隱私與安全時代的延伸與重構。對技術研究者而言,RDAP 不只是「新版本的 WHOIS」,它是一個可以與全球 DNS 基礎設施直接互動的 API。
當在進行威脅偵測、域名資產盤點、或品牌防護時,掌握 RDAP,就等於掌握了「時間」與「結構」這兩個最關鍵的維度。
歡迎轉載!請見:轉載原則。
Image by AI-generated via ChatGPT / DALL·E
