「这是原生 IP 吗」大概是出海选机房、做风控时最常被问、又最容易被糊弄的问题。卖家说原生,买家测出来又像数据中心,争论半天其实双方说的根本不是同一个东西。所以先把这个词拆开:所谓「原生/native 」,本质不是某个单一字段,而是同一个 IP 的几路地理与归属信号是否自洽。把这几路信号摆清楚,争论自然就消了。
一个 IP 至少有四路独立来源的地理/归属信息,它们各说各话:
1. RIR 注册国( WHOIS/RDAP ):这个 IP 段在 ARIN/RIPE/APNIC 等注册局登记的归属组织和国家。关键坑在于,注册国通常是分配主体(运营商或机构)的总部所在地,不是这段 IP 实际部署的地方。一家公司总部在美国,把一段地址用在新加坡机房,WHOIS 里大概率还是写美国。所以 WHOIS 的国家级信息可信,城市级基本不可信——这是后面所有误判的源头之一。
2. BGP 实际宣告:这段前缀此刻是被哪个 ASN 、从哪些上游、在什么地理位置宣告出来的。这反映的是「现在谁在用、从哪儿发包」,时效性最强;你可以改 WHOIS 备注,但改不了路由表里别人看到的宣告路径(撇开 BGP 前缀劫持这类攻击场景不谈)。
3. IP 定位库:MaxMind 这类商业库,混合了注册数据、网络测量、用户反馈推断出来的位置。它是「估计值」,不是真值,城市级误差很常见,且对新分配段、刚易主的段反应慢。
4. geofeed:由持有者自己发布的 IP→地理 CSV ( RFC 8805 ),并在 WHOIS/RDAP 的 inetnum 记录里引用(早期见 RFC 9092 ,现行规范是 RFC 9632 )。这是归属方主动声明的「我打算把这段用在哪」。有 geofeed 且能验证的段,可信度高于定位库的猜测;但发布是自愿的,大量段根本没有。
判定优先级,我自己的经验是这样排:有可验证的 geofeed ,就以 geofeed 为准(这是权威方亲口说的);没有,就拿 BGP 宣告做现实锚点,定位库只作为参照而非裁决; WHOIS 用来定国家、佐证归属组织,绝不拿来定城市。四者全打架时,优先信「现在的事实」( BGP )和「权威声明」( geofeed ),贬低「历史登记」( WHOIS 城市)和「第三方猜测」(定位库)。
代理和 VPN 恰恰是在这几层之间制造缝隙才被识破的。最典型:一个 IP 的反向 DNS 、ASN org-name 透着机房气息(承载网络是 hosting ASN ),定位库却被「优化」成了某住宅城市——出口位置和承载网络对不上,这种「机房承载、伪装住宅」的不一致,比单看任何一项都更能说明问题。再叠加同 /24 段里数据中心标记 IP 的占比、连接类型分类,基本能把「真住宅」和「住宅代理/伪装」分开。反过来,真正干净的原生段,几路信号是收敛的:注册国、定位库、(有的话) geofeed 互相印证,承载网络也不矛盾。
落到实操,给三条可直接用的:① 别拿城市级定位下结论,信号噪声太大,只到国家级才稳;② 判一段 IP 先看承载 ASN 与连接类型,这比定位库的城市标签靠谱得多;③ 想确认归属方的真实意图,去查有没有 geofeed ,有就以它为准。
顺带一提,这套并排看信号的思路我在自己做的 ipok.io 里也用了一点——把归属、ASN 、连接类型、同 C 段画像分开列、不揉成一个分数; BGP 宣告和 geofeed 这两路它没有,得自己另查。方法本身和工具无关:想清楚「原生 = 多信号自洽」而非某个字段,比用哪个查询入口都重要。
https://ipok.io
一个 IP 至少有四路独立来源的地理/归属信息,它们各说各话:
1. RIR 注册国( WHOIS/RDAP ):这个 IP 段在 ARIN/RIPE/APNIC 等注册局登记的归属组织和国家。关键坑在于,注册国通常是分配主体(运营商或机构)的总部所在地,不是这段 IP 实际部署的地方。一家公司总部在美国,把一段地址用在新加坡机房,WHOIS 里大概率还是写美国。所以 WHOIS 的国家级信息可信,城市级基本不可信——这是后面所有误判的源头之一。
2. BGP 实际宣告:这段前缀此刻是被哪个 ASN 、从哪些上游、在什么地理位置宣告出来的。这反映的是「现在谁在用、从哪儿发包」,时效性最强;你可以改 WHOIS 备注,但改不了路由表里别人看到的宣告路径(撇开 BGP 前缀劫持这类攻击场景不谈)。
3. IP 定位库:MaxMind 这类商业库,混合了注册数据、网络测量、用户反馈推断出来的位置。它是「估计值」,不是真值,城市级误差很常见,且对新分配段、刚易主的段反应慢。
4. geofeed:由持有者自己发布的 IP→地理 CSV ( RFC 8805 ),并在 WHOIS/RDAP 的 inetnum 记录里引用(早期见 RFC 9092 ,现行规范是 RFC 9632 )。这是归属方主动声明的「我打算把这段用在哪」。有 geofeed 且能验证的段,可信度高于定位库的猜测;但发布是自愿的,大量段根本没有。
判定优先级,我自己的经验是这样排:有可验证的 geofeed ,就以 geofeed 为准(这是权威方亲口说的);没有,就拿 BGP 宣告做现实锚点,定位库只作为参照而非裁决; WHOIS 用来定国家、佐证归属组织,绝不拿来定城市。四者全打架时,优先信「现在的事实」( BGP )和「权威声明」( geofeed ),贬低「历史登记」( WHOIS 城市)和「第三方猜测」(定位库)。
代理和 VPN 恰恰是在这几层之间制造缝隙才被识破的。最典型:一个 IP 的反向 DNS 、ASN org-name 透着机房气息(承载网络是 hosting ASN ),定位库却被「优化」成了某住宅城市——出口位置和承载网络对不上,这种「机房承载、伪装住宅」的不一致,比单看任何一项都更能说明问题。再叠加同 /24 段里数据中心标记 IP 的占比、连接类型分类,基本能把「真住宅」和「住宅代理/伪装」分开。反过来,真正干净的原生段,几路信号是收敛的:注册国、定位库、(有的话) geofeed 互相印证,承载网络也不矛盾。
落到实操,给三条可直接用的:① 别拿城市级定位下结论,信号噪声太大,只到国家级才稳;② 判一段 IP 先看承载 ASN 与连接类型,这比定位库的城市标签靠谱得多;③ 想确认归属方的真实意图,去查有没有 geofeed ,有就以它为准。
顺带一提,这套并排看信号的思路我在自己做的 ipok.io 里也用了一点——把归属、ASN 、连接类型、同 C 段画像分开列、不揉成一个分数; BGP 宣告和 geofeed 这两路它没有,得自己另查。方法本身和工具无关:想清楚「原生 = 多信号自洽」而非某个字段,比用哪个查询入口都重要。
https://ipok.io