逆向 WHOIS 正确方式！

Source: Dev.to

🕵️‍♂️ 我是如何追踪到使用我的借记卡购买的域名的

一个真实的 OSINT 调查

最近，我陷入了一种奇怪的境地。认识的某人使用 我的借记卡信息 购买了一个域名。此时，问题已经不再是金钱——而是 声誉。我决心找出那个域名。

🧾 我所了解的

我并不是毫无线索。我拥有：

• 精确的交易时间
• 注册商：Namecheap
• 对购买者的强烈怀疑（很可能是个人域名）

这很快就变成了一场小型网络调查。

🔍 尝试 1：Reverse WHOIS API

方法

• 使用 .edu 邮箱登录（不允许使用 Gmail 账户）
• 查询条件为：
  • 注册商 → Namecheap
  • 日期范围 → 购买当天
  • 关键字 → 疑似邮箱

问题
Reverse WHOIS 按 日期 存储数据，而不是精确到分钟。我抓取了 当日通过 Namecheap 注册的所有域名 → 大约 23,000 个域名。数量太多。

🔎 缩小搜索范围

我根据已知信息寻找模式：

• 最可能的用途 → 个人网站
• 高价位暗示有认真意图
• 印度个人域名很少使用 .xyz、.ai 等后缀 → .com 最为可能

筛选后列表：约 5,200 个域名 – 仍然太多，无法手动逐一验证。

🤖 AI 过滤实验

我让 AI 生成一个脚本，功能如下：

• 每批处理 1,000 个域名
• 将它们发送到 Gemini API，并使用提示语识别出看起来像印度男性个人网站的域名

脚本返回了过滤后的结果，但我想要的域名不在其中。Reverse WHOIS 可能遗漏：

• 隐私保护的注册信息
• 未缓存的条目

结果：尝试 1 失败

🏦 尝试 2：联系注册商

我联系了 Namecheap 支持，关于这笔欺诈交易。他们：

• 冻结了账户
• 退款给我

但他们拒绝透露该域名。

结果：尝试 2 失败

🗂 尝试 3：ICANN CZDS 区域文件

我通过 ICANN CZDS 请求了区域文件。

问题：

• 批准需要时间；.com 请求更慢
• 不提供回溯下载；该域名已经被下线

结果：未得出结论

🔐 尝试 4：证书透明日志 (crt.sh)

我了解到，如果域名使用 HTTPS，则其 SSL 证书必须出现在 CT 日志中。

步骤

1. 查询 crt.sh
2. 通过 Postgres 连接并在 5‑分钟窗口内运行批量查询

问题

• 连接中断
• SSL 错误
• 处理速度慢

已取得进展，但尚未成功。

🚀 尝试 5：Google BigQuery + crt.sh 数据集

步骤

1. 已连接到数据集。
2. 查询了购买小时内签发的证书。
3. 过滤出 .com 域名。

时间窗口从 700 → 200 个域名缩减。对剩余条目进行手动扫描后，我找到了目标域名并将其匹配到对应人物。

结果：成功

🤯 Plot Twist

后来我发现该域名 在原始 Reverse WHOIS 结果中出现。我忽略了它，因为我怀疑数据集的完整性，并且过于信任 AI 过滤。如果我手动核查了 5,200 个域名，我本可以更早发现它。

🧠 Lessons Learned

• 始终验证你的数据 – AI 有帮助，但永远不要假设数据完整。
• 互联网数据集并不完美 – 每个数据集只捕获现实的一部分。
• OSINT 需要耐心 – 急躁会比复杂性更拖慢调查进度。
• 自动化有帮助；手动验证才是关键。
• 证书透明日志是金矿。

🏁 最终思考

• 仔细核对你的数据。
• 相信，但要验证。
• 培养耐心。

互联网总会留下痕迹——只要你知道去哪里寻找。

再见。