马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
谈到VPS离不开的一个话题就是VPS的ip质量问题,这是一个相当玄学且让人头大的话题。 - 什么是ip质量?
- 怎么判断ip质量?
- 什么网站是准的,什么是不准的?
- 我需要什么样的ip?
这都是相当复杂的话题,今天就结合目前已有的常见方法和我个人的使用体验来给小白/MJJ们总结一下这方面的问题,希望能对大家有所帮助。 本文不含任何aff和夹带私货的推荐,所有推荐都是我的使用后的主观感受,是否适用还请自行判断。如果遗漏了网站还请佬友在评论区补充,一经采纳发放福利,佬友的技术纠正是本文不断更新的最大动力。
下面文章分为多个章节,每个章节回答的问题为: - 什么是ip质量,ip质量的影响有哪些?
- 我需要什么的样子的ip?
- 有哪些常见的ip检测手段(无需获取ip使用权限)
- 有哪些常见的ip检测手段(已经获取ip使用权限)
- 有哪些参考资料和想法?
本文为科普文,面向小白,所有涉及的陌生概念会详细,无需任何其他文章辅助即可食用。
1.定义ip质量ip质量其实就是指用户使用这个ip在访问网站时受到风控的强度。 同样的一个网站,有些ip进去就是畅通无阻,随意的注册账号/验证银行卡/过学生验证/薅羊毛,而有些ip进去上来就是一个cloudflare(下文中简称为cf)盾骑脸,选择完红绿灯就是斑马线就是公交车,然后失败再来一次,进去之后注册失败银行卡验证失败,明明是同一张卡,别人成功而你失败,亦或是你的地区不支持这个服务。 其实这本质上就是ip质量在影响你的服务体验情况。 对于网站方而言,针对爬虫/正常用户/敏感用户 采用不同的风控手段是很有必要的,因为资源是有限的,当然优先供应给目标用户/正常用户,其次才是敏感用户,针对可疑用户当然是用验证码来确认情况。而网站确认一个用户的正常与否,很大一部分占比就是你的ip地址,这串简单的数字 例如IPv4:8.8.8.8 IPv6:2001:4860:4860::8888 通过这串数字,网站可以知道地理位置/ISP和网络类型/IP类型和质量/行为模式等信息进而决定采取不同风控策略。 ISP:向用户提供互联网接入服务的公司或组织。例如中国电信、中国联通、AT&T、HKT等
例如
gemini方发现你是来自CN的用户
gemini因地区禁用1610×771 88.8 KB
chatgpt发现你是滥用用户甚至爬虫
GPT降智890×335 64.6 KB
cf发现你是机房而且机器人流量占比达90%
cloudflare验证码357×546 55.5 KB
以及各种薅羊毛验证学生验证银行卡等场合,尤其是涉及金融时这种现象更加明显。
这不完全是因为ip质量,但ip是风控占比最大的原因。 那么,网站方到底是怎么知道我们的ip情况呢?地理位置/ISP/网络类型 是可以确认的,ip的滥用和行为模式是怎么确认的呢?(假设我是第一次出现在这个网站,那它应该没有任何我的信息) 这一切信息实际上是使用了IP数据库:一个用于存储IP地址对应的地理位置、ISP、网络类型、威胁情报等信息的数据库,用于IP地址查询和分析的数据库。
图为maxmind数据库1212×904 125 KB
简单说就是:给你一个IP,告诉你这个IP的"身份证信息"。 这些专业数据库通过蜜罐/数据共享/主动扫描探测/abuse行为主动上报/地理位置定位等方式来记录一个ip的行为。比如说你的ip昨天去爬了别人网站100万次,前天又在线上金融欺诈,上周发了1000万封垃圾邮件被举报等情况。这些情况被详细的记录下来,形成完整的数据库,这样网站方一查询就知道你的来龙去脉,并根据信息给你不同的风控等级。 蜜罐: 部署大量"诱饵"服务器,假装是脆弱的网站、邮件服务器,记录所有访问这些"陷阱"的IP,因为正常用户不会访问,只有扫描器/攻击者会中招
数据共享:各个安全公司互相交换威胁情报
主动扫描探测: 探测开放端口、服务类型,识别tor出口、检测网络响应特征
地理位置定位: 通过网络延迟推算距离,结合GPS、WiFi等定位
除了专业的公开数据库,网站通常也会维护一个私人数据库,这个数据库一般是不公开的,无法查询,专门记录你的ip在网站上的行为。比如你的ip是正常的,但是昨天在这里注册了10个号,前天又申请了很多退款,而且一天居然24小时都在高强度请求资料,这很不合理,很有可能会风控。 至此,网站方在看到你访问网站时只要在公开数据库和私有数据库中一查询你的ip就知道你到底有没有干坏事,是什么样ip。如果你是家庭ip,之前从来没干过坏事,那你大概率是真的在家里,一定是正常用户,那就尽量不要风控,避免影响用户体验;如果你是爬虫,就会触发严格的风控机制。 实际上除了ip之外,实际上网站很多时候还会检测 - TCP/WebSocket延迟差异:TCP延迟 ? WebSocket延迟
- DNS解析异常:测试访问不存在域名的响应时间和方式
- 地理距离矛盾:IP显示美国但延迟像亚洲用户
- WebRTC:UDP流量暴露真实IP
- DNS泄漏:DNS请求走本地而非节点
- 多IP不一致:同一会话中检测到多个不同IP地址
- TCP/IP指纹不一:检测TTL值、窗口大小、TCP选项
- 浏览器声称Windows,但TCP指纹显示Linux
- 时区不匹配:IP归属US但系统时区是HK
- 浏览器指纹异常:分辨率、字体、插件等与地理位置不符
- 网络拓扑探测:Traceroute路径分析
- 流量时序分析:请求间隔和频率模式
等信息来综合判断你的风控强度,所以这就是为什么有些佬友即使用的是真的美国朋友的家里网络还是被风控。ip质量占比很大,但ip不是所有一切。所以即使ip真的完美无懈可击,你也有破绽存在,比如握手延时这一块是你无论如何也绕不过去的。 用Windows远程桌面的话就可以完美解决问题,因为这相当于你真的在使用那台海外电脑,所以任何检测都无法识别,不过卡死了,体验很垃圾
image839×849 20.3 KB
2.什么场景适合什么ip?在讨论这个问题前,肯定要先科普一下常见的ip和各种概念。 常见ip类型ip类型- 住宅ip(ISP-Fixed Line ISP):固定线路互联网服务商,例如中国电信、AT&T等。
- 数据中心ip( DCH-Data Center/Web Hosting/Transit):云服务商机房分配的IP,云服务器、VPS、CDN,例如AWS、GCP、阿里云等
- 移动IP(MOB-Mobile ISP):手机网络运营商,手机4G/5G网络,例如中国移动、Verizon Wireless等
- 商业IP(COM-Commercial) 商业用途,企业网络。(几乎见不到)
- 教育Ip(EDU-University/College/School) 分配给教育机构的ip,一般认为是受信任的,在过学生优惠有奇效。
- GOV/ORG/CDN/LIB/MIL/SES/RSV 几乎见不到,不做介绍。
这几种就是一般专业库会区且会对我们使用造成实际影响的ip类型,一般来说,光看风控情况,一般是 住宅ip≈移动IP>商业IP>>数据中心ip(比较主观,而且感觉实际上移动ip更难被风控)。 ip小类型:原生/广播 ip原生ip就是指其注册国家与IP所在机房或实际地理位置国家一致的IP地址。注册地国家与IP定位地址的国家一致则为原生,反之则为广播。 这个实际上是CN特供的概念,国外是没有原生/广播之分的,只不过原生ip一般来说解锁要比广播IP好,而且受到的风控会小一点(可能,比较玄学),其实最大的用处应该是方便某些国人商家卖ip用。
流媒体解锁俗称解锁,就是说解锁流媒体与否。比如说最常见的netflix,就会根据你的所在地来决定解锁的地区,你的IP情况决定 解锁netflix/仅支持自制剧/待支持;youtube则会根据你的所在地给你推荐各种广告,如果你的地区被google标记为CN地区,则会不投放任何广告(俗称送中),当然也用不了Premium功能。再例如tiktok是否解锁,有些ip是不能使用tiktok的,因为被tk拉黑了。 送中这个现象还会发生在gemini/gpt上,被标记为CN地区就都用不了了。
双ISPASN所有者(AS Usage Type)和企业(Usage Type)都是双isp的现象
image754×520 27.5 KB
image1241×145 4.27 KB
这种就叫双ISP。
一般而言,一个家宽ip应有的特征就是双ISP且最好二者完全一致。
例子到了这里,你已经可以看明白常见服务商的广告标语了,来做两道简单的训练当例子吧
默认分配双isp家宽住宅美国原生IP。//双ISP+原生//这些没有具体数据的都当废话传家宝理财产品。IP纯净,Tiktok运营数据好。宿主机超大带宽,NVMe高性能固态硬盘,读写速度快。//流媒体解锁,明确保证解锁的内容,不解锁应该可以退款支持解锁美区游戏,Tiktok, Chatgpt, INS, FB营销,WHATSAPP营销,亚马逊电商,TEMU, ETSY等,支持解锁美区游戏,Netflix, HULU, DISNEY, StartZ, HBO MAX,ESPN, Amazon Prime Video等。
//肯定不是双ISP了,那就是原生ip机房,如果是ISP商家会不写吗?德国原生IP,无中国大陆优化,联通移动稳定,解锁德国Tiktok
image646×653 54.1 KB
原生ip,铁机房,下面可以看到大量库都将这个ip标记为了服务器,下方更是可以看到DISNEY+被屏蔽,意味着这个ip用不了Disney了,而且Netflix直接解锁自制剧,很多热门剧看不了了。
image645×655 53.8 KB
广播ip,为机房ip,大量流媒体不解锁,但你会发现这个被标记为服务器和滥用的情况比上面少很多,为什么流媒体解锁反而还少呢? 特地找的图,就是想告诉大家流媒体解锁和ip质量只有轻微关联,和地区有强相关,很多流媒体US轻松完成解锁,HK大概率都不解锁,尤其是ai和tk,大部分HK不解锁。可能有的ip很烂到处风控,但就是解锁全部流媒体。
实际上流媒体机器是不用专门追求ip质量的,可以去购买便宜的DNS解锁机器(DNS劫持技术来让不解锁的机器能够解锁),稳定不会掉解锁(有些原生ip解锁的机器用久了可能会掉解锁)。
怎么选择适合自己的ip?小白最常见的就是盲目追求家宽ip/原生ip,觉得这就是最好的。家宽ip的特征之一就是不稳定,有些小白刷个youtube买家宽还来问我为什么这么卡…家宽卡是很合理也是很正常的,流量去家里多逛一圈和在机房直出速度能一样吗?所以还是选择适合自己的比较合适,也不要浪费钱。 一般而言: 专门看流媒体->流媒体解锁机器(这种要专门测试才知道结果的) 看看youtube/github/ai这些的->干净的机房ip即可 tk/amazon等运营 → 原生ip即可 多方反馈确认,原生ip即可,家宽只能说是锦上添花,实际上根本不需要昂贵的家宽ip
金融/ai/部分网站注册 ->家宽ip(极致的风控需求,当然带来高昂的成本) 大厂ip在用ai时有奇效,即使真是万人骑但ai就是不降智不风控,有点玄学的。 此部分待补充,内容非常杂乱
3.常见的ip检测手段(无需获取ip使用权限)好了,终于进入实操阶段了
前面我们说到,网站方是通过公开数据库和私人数据库来判定风控措施的,所以我们的目标就是直接去这些库去查ip情况。私人数据库是绝对差不到的,网站是不公开的,所以会出现ip在公开数据库中毫无问题但就是被网站风控的情况,那就是被网站私人数据库拉黑了,这个属于是没什么办法的,我们只能尽力保证在常见数据库中干净。 下面我会拿一些ip举例,通过实际讲解来说明检测手段。
假设我们现在拿到了一个ip162.141.117.175,接下来要怎么做呢? 首先我们需要先知道ip的地理位置和基础信息,直接打开ip2location,这个专业库我觉得是最严格的地理数据库,判断准度惊人,经常会出现4绿一红的情况,这也暗示了ip的真实情况。 4绿一红是什么?打开后查询ip情况
image1046×835 38 KB
我们需要关注的是Region+Usage Type+AS Usage Type+ASN来确定基本情况,现在可以看到这个ip是HK的,AS为zouter,类型为(DCH) Data Center/Web Hosting/Transit,显著的机房ip,再看右边的Proxy Data,可以看到几乎无数据, Fraud Score为3,这个是正常的,DCH基本都是Fraud Score=3,应该是个固定分数。ip2location的Proxy Data基本没什么参考性,灵敏度很低,这个网站如其名字,极度关注ip的地理位置,但对ip的滥用行为则不怎么关注,大部分ip都会显示无滥用,参考性不大,但是如果他显示为确认的VPN/abuse那就要扣大分了,这意味着一个对滥用不灵敏的库都把这个ip标记了,很有可能有大问题,需要默默的扣分。 显著滥用的情况总结:ip2location来确认ip的地理位置和ip类型,看看是机房/家宽/移动/商业ip,如果有提示滥用就要扣分了,有大问题。一般认为,这个显示的地理位置就是标准答案了,我没见过例外的,有例外的麻烦大家发发
现在我们已经知道了ip的地理位置和ip类型信息,再来看看ip的风控情况。打开ipqs,这是一个异常灵敏的专业库,和ip2location相反,它极度注重ip的滥用情况,这个库的嗅觉异常灵敏以至于到了容易误判的程度,一些大流量的情况和异常多的连接都会被记录在案,并且很容易达到100%风险值,这个可以作为一个风向标,他标记没问题的ip基本就是干净的,标记为危险的ip不一定危险,实测下来如果只有ipqs风险100%其他库干净的使用影响也不大,感觉不到风控情况。
image1513×805 107 KB
这个专业库很多内容要付费才能查询,我们只要看看
Proxy StatusVPN StatusTOR StatusFraud Score75+ = suspicious | 85+ = risky | 90+ = high riskRecent AbuseBot Activity就可以了,比如说刚刚的ip就显示没有骚扰情况,注意这里有个功能可以显示检测强度
image618×186 14.9 KB
质量检测脚本用的是low,而默认是medium,可以看到最近几天到历史以来的总体评价,还是比较方便的,比如说这个ip 不同强度的风控情况总结:ipqs标记为干净的ip基本就是真干净,标记为危险的不一定真危险。而且感觉ipqs被使用的不多,更多可以当作一个参考性选项。
现在我们已经知道了一个ip的大体情况,接下来来看看原生ip/广播ip情况 打开ping0,查询一下ip情况
image1246×771 24.1 KB
ping的ASN判断是准确的,极其准确那种,就是ASN+ASN所有者+企业的数据,这使得它对原生/广播ip的判断基本精确,所以可以通过这个来查看ip是原生还是广播,以及查看其ASN所属。这里就可以看到这个ip是广播ip。除此之外,ping0的ip类型/ASN属性/风控值/共享人数/大模型检测信息全部都是不精确的,没有什么参考价值,看完原生/广播就可以了,ping0本质上是一个娱乐库,就是没有其他网站方会使用他家的数据库(对的,这个时候按照上面的知识来看,如果没有网站方使用的数据库那其实就是废纸一张),而前两个库都是被大量使用的专业库,是有实际参考意义的。 总结:ping0用于看ASN+原生/广播ip即可。
然后打开ipdata看看滥用标记怎么样
image658×637 86.9 KB
image658×619 22.8 KB
ipdata主要用来看有无滥用,也就是THreats这一栏,下方的分数是不太准的(高分低分都不太准),参考意义不大,主要看有无abuse/tor/proxy等即可,Threats为0就没什么问题,要是被标记了就属于是扣分项。 然后打开ip欺诈,看看滥用情况
image1390×550 53.4 KB
image600×853 19.5 KB
这个库是专门查垃圾邮件/abuse,低分不一定好,高分基本烂完,特别容易被cf骑脸的。一般家宽分数其实不是0,反而是在5~25分左右(玩过不下10个家里云和100+家宽ip得出的结论),然后记得拉到下面去看滥用情况,分数低≠没有滥用。 家里云:托管在美国人家里的服务器,真正的家宽ip,绝对家宽
随后打开cloudflare的检测,来看看机器人与人类流量占比,cf作为验证码的主要来源,他的结果会大幅影响跳盾情况,所以需要查询一下。 打开后在这里输入你要查询的ASN(asn可以在前面几个网站中获取)
image394×426 20.6 KB
然后看主要看Traffic中的Bot vs. Human即可
image500×359 11.5 KB
zgo的ip经常跳盾,查了一下发现机器人占比达到一半了…这能不跳盾吗?
image1527×695 74.2 KB
AT&T的家宽ip就几乎无机器人流量
image1523×809 81 KB
被大家薅羊毛的大厂aws,几乎全是机器人,不过部分情况大厂ip还是好用的,听说ai对很多大厂ip网开一面,不怎么降智。
image1522×758 82.4 KB
cf主要可以判断跳盾的可能性
至此,常规的检测手段就结束了,再多就很浪费时间了,有点无意义。 下面列出参考性不大的辅助手段并说明不采用原因 iplark 娱乐库,强化版ping0,无特色,ISP判断不准确。不过聚合了很多数据库的地理位置,可以看看地理位置。 maxmind 专业库,但是不付费基本差不到信息,所以不使用。 ipinfo 专业库,无特色,不推荐使用 pingip 更是野鸡,不如ping0的玩意 等待大家补充
4.常见的ip检测手段(已经获取ip使用权限)细心的佬友会发现,上面根本没有检测流媒体的手段,因为流媒体的检测是真的要用这个ip去访问才能知道结果的,你得有ip的使用权限,下面就会讲解拥有ip使用权限的查询方法
有了ip使用权限后查询的方法和范围就会扩大很多,能查询的内容也很多,使用ip去实际访问网站就是最强力的检测手段,能得到最精确的结果,前面都只是公开库的结果。 首先登录服务器,输入
bash <(curl -Ls IP.Check.Place)
image680×826 183 KB
image717×855 81.3 KB
就可以很方便的得到ip质量检测情况,包括各种常见库和常见流媒体的解锁情况 如果需要大量全面的流媒体测试,可以考虑使用
bash <(curl -L -s check.unlock.media)测试全球各地区常见的流媒体解锁情况,当然最好的当然还是直接去用这个ip去访问流媒体来确认解锁情况最为准确。 接着我们说完了流媒体检测的问题,继续说ip质量检测情况 下面会默认你已经在使用这个ip来访问网站,并且开启的是google的无痕模式浏览
首先打开google无痕模式,打开google官方,随意搜索
image1836×867 20.5 KB
如果返回
image1010×342 64.6 KB
那就是真脏了,google甚至都认为你是人机不让你搜索了,严重扣分项,基本这一条就可以给ip判死刑了,而且是使用体验方面的死刑。
有些人喜欢用免接码注册gmail来判定,这个方法不咋准,太黑盒,不建议采纳这个方法
同样的还是无痕模式,打开reddit 如果能直接进去就没问题
image1824×972 150 KB
如果是返回
image741×760 71.8 KB
那也是扣分项,中等严重的扣分,比google搜索跳验证轻点。
同样还是无痕+不登陆打开youtube,如果能直接播放无需过验证码,那就没问题。如果显示
image662×348 16 KB
那就是扣分项,中等严重的扣分。 打开claude
如果不跳验证码,就没问题。
如果注册时可以跳过接码直接注册,那就是加分项。 打开chatgpt,如果 说明正常
image1837×969 40.1 KB
反之为扣分项
image856×902 34.6 KB
注意,打不开gemini/Meta 并不能说明ip质量,这两个本质上是送中导致的,就是位置被私有数据库标记为了CN,导致无法使用,此情况无解。我的解决方案是直接找了一台美东冷门的US本地商家,只分流使用gemini而不分流其他google服务,3个月下来gemini毫无问题不会送中,而meta则会送中,主观上感觉gemini应该是依托google定位的,meta则是中文问答和作息导致的,并且常常是整段IP一起被送中的,即使你什么都没干,也会被邻居波及。
还有人喜欢用L站来做ip质量检测,不咋准,L站风控有点奇怪,感觉少见的地区不管纯不纯净都会跳盾,常见地区一般都不会跳
常规检测手段基本就到此为止了,还是那句话:最好的方法就是,你真的用这个ip去访问这个网站。因为网站私有数据库都是不公开的,这就注定无法准确判定ip情况。 5.参考资料与碎碎念其实这篇文章写下来,干货还是不少的,算是猫猫VPS板块的3+1+1(落地+家宽+线路+测试脚本+ip质量)的最后一个板块了,MJJ基本就是这么多东西了,建站机的介绍实在是少之又少,因为猫猫对这方面不感兴趣,就不出来贻笑大方了。小白玩家看完这5篇文章就能几乎完整的了解目前常见的VPS和各种查询方法,对于入门而言可以少走很多弯路,文中提及内容都有时效性,也会不时更改以保证基本客观准确。 ip质量检测并不是一个能一次检测适用终身的,也没有网站是能查询所有ip情况的,各有各的优点,取其精华弃其糟粕,眼观六路耳听八方才是关键核心。 顺便聊聊伪家宽是什么东西?就是在部分数据库中被标记为家宽,实际上为机房的产品,就叫伪家宽,最常见的是cogent/GTT/NTT等,这些ip在国人商家网站中往往以家宽的形式出现,但在专业数据库严重却是实打实的机房ip甚至有诸多滥用行为,用户花了很多钱买家宽用于经营tk/Amazon等软件,被断流/拉黑却百思不得其解,实在让人唏嘘。 举个例子: 伪家宽 38.34.14.1有相关问题的可以在评论区留言,会优先回复,私信不回复,因为你的问题很有可能其他人也会遇到,回复和讨论也可以帮助到其他佬友。 感谢每一位在评论区留下足迹的佬友,无论是赞同还是质疑,无论是补充还是争论。正是这些不同声音的碰撞,让文章在一次次的修正中趋于完善。佬友的技术纠正是本文不断更新的最大动力,你们才是最强的MJJ。
| 
