WHOIS + GeoIP combo

Wat doet deze WHOIS + GeoIP combo?

Deze tool combineert twee veelgebruikte queries in één klik. Voor een domein wordt een directe TCP-verbinding gemaakt naar de relevante WHOIS-server (op poort 43, het standaard WHOIS-protocol uit RFC 3912) — niet via een tussenliggende API. Daarna wordt het domein naar IP geresolved en die IP gaat door een GeoIP-lookup voor land, stad en organisatie-info.

Wat je in het resultaat ziet:

• Registrar — bij wie het domein is geregistreerd (bijv. Hostnet, TransIP, GoDaddy)
• Registratie- en expiry-datum — wanneer het domein is aangemaakt en wanneer het verloopt. Tool waarschuwt automatisch bij <90 dagen geldig (oranje) en <30 dagen (rood)
• Nameservers — welke DNS-servers de records van dit domein beheren. Vaak een goede indicator van waar het domein "echt" gehost wordt
• Domain status flags — bijv. clientTransferProhibited (mag niet zonder toestemming verhuisd worden) of clientHold (geblokkeerd door registrar). Geeft inzicht in eventuele restricties
• DNSSEC — of het domein cryptografische validatie van DNS-records ondersteunt
• IP-locatie — land, regio, stad, organisatie/ISP, ASN en timezone van het hosting-IP

Wanneer is deze tool nuttig?

• Domein-onderzoek bij phishing of fraude-vermoeden — wie heeft het domein geregistreerd, wanneer, en waar staat de hosting? Een 2-dagen-oud domein gehost op een Russisch IP is een heel ander signaal dan een 10-jarig domein bij een Nederlandse hoster.
• Domein-expiry monitoring — check je eigen domein-portfolio in één run. De tool flagged automatisch bijna-verlopen domeinen.
• Concurrent-research — bij welke registrar zit een concurrent? Welke nameservers gebruiken ze (kan technologie-keuzes verraden)? Hoe oud is hun domein?
• Pre-aankoop validatie — voordat je een domein koopt: check status (geen pendingDelete), expiry-datum en eventuele restricties.
• Hosting-locatie verifiëren — waar staat een specifiek IP daadwerkelijk? Belangrijk voor latency-overwegingen, juridische context (GDPR, dataresidency) en compliance.
• Migratie-voorbereiding — bij een hosting-overstap zien waar het oude IP zat, en valideren of de nieuwe locatie beter is.

Hoe lees je het WHOIS-resultaat?

Domain status flags — wat betekenen ze?

• ok / active — domein werkt normaal, geen restricties
• clientTransferProhibited — registrar heeft transfer-lock aangezet. Standaard bij vrijwel alle goede registrars (anti-hijacking maatregel). Voor verhuizing eerst uitzetten.
• clientUpdateProhibited — wijzigingen aan registrant-info of nameservers zijn geblokkeerd zonder authenticatie
• clientHold / serverHold — domein is gepauzeerd (vaak betalingsachterstand of juridisch dispuut). Site werkt niet
• pendingDelete — domein verloopt binnen 30 dagen en is vrijwel verloren
• redemptionPeriod — domein verlopen, kan nog gered worden tegen hoge fee (~80-150 euro)

DNSSEC: aan of uit? DNSSEC voegt cryptografische handtekeningen toe aan DNS-records, zodat resolvers kunnen verifiëren dat antwoorden niet zijn vervalst. Aanbevolen voor zakelijke domeinen, vereist bij sommige overheids-domeinen. Standaard niet aan bij de meeste consumenten-registrars — moet je zelf activeren.

Privacy-noot bij WHOIS

Sinds GDPR (mei 2018) maskeren de meeste registries persoonsgegevens van particuliere registranten. Wat je wél altijd ziet: registrar, datums, nameservers en domain status. Voor zakelijke registranten is contact-info soms publiek; voor particulieren staat er meestal "REDACTED FOR PRIVACY" of vergelijkbaar. Je kunt nog steeds contact zoeken via het registrar's privacy-relay-adres als dat is opgegeven.

Verschil tussen WHOIS-types

Thin WHOIS — de registry geeft alleen technische data (registrar, NS, datums). Voor gedetailleerde info moet je de WHOIS-server van de registrar zelf bevragen. Geldt voor .com en .net (Verisign).

Thick WHOIS — de registry zelf heeft alle data en geeft een complete response in één query. Geldt voor .nl (SIDN), .org, .be, .de en de meeste ccTLDs. Tool detecteert thin-responses en volgt de referral automatisch.