IP 归属地查询

一次完整的IP查询返回的信息分四层。第一层是地理归属:国家、省/州、城市、经纬度、时区,这一层来自IP地理库(MaxMind GeoIP2、IP2Location等)与运营商上报数据的拟合,本质是"概率猜测"而非GPS定位。第二层是网络归属:ASN(自治系统号,如AS4134中国电信、AS15169 Google)、注册名、网络运营方,这一层来自RIR(区域互联网注册管理机构)的权威分配记录,准确度远高于地理层。

第三层是用途判定:这条IP是家庭宽带(住宅)、数据中心(机房)、移动蜂窝(4G/5G)还是托管/VPN出口。判定依据包括ASN类型、rDNS命名规律(如含static、pool、dynamic、host关键词)、端口指纹与已知机房网段库。第四层才是信誉与风险:是否上过黑名单、是否Tor出口、是否被标记为代理/滥用源。

多数免费IP查询站只给前一两层,IPOK把四层一次性聚合:输入任意IP,既看到归属地与ASN,也直接给出机房/住宅判定与风险值。对开发者排障、对跨境卖家选号、对反欺诈核验,真正有决策价值的恰恰是后两层,而不是"显示在地图上的一个点"。

IP的"户口本"不在地理库里,而在五大RIR(ARIN北美、RIPE NCC欧洲中东、APNIC亚太、LACNIC拉美、AFRINIC非洲)的注册数据库中。传统查这套数据用WHOIS协议(端口43纯文本),但WHOIS格式各家不统一、难以机器解析,且2018年GDPR后大量个人字段被遮蔽。RDAP(Registration Data Access Protocol)是其结构化继任者:走HTTPS返回标准JSON,字段含网段范围(cidr0)、分配实体、注册/最后变更时间、abuse联系邮箱、上级与下级网段引用。

看懂RDAP能解决很多WHOIS解决不了的问题。例如要确认一段IP是否真属于某云厂商,看RDAP里的organization与parent网段比看名字更可靠;要给滥用源发投诉,abuse-c里的联系邮箱才是官方通道;要判断IP是新分配还是老段,registration日期与最后变更日期能给出线索——新分配段往往还没被信誉库充分覆盖,误判率更高。

实务上RDAP查询有几个坑:一是部分老网段只有WHOIS没迁RDAP,需回退;二是查到的是"分配给谁",不等于"当前谁在用",一段大网络可能再分租给下游;三是地理位置字段在RDAP里通常缺失或只有注册地址,不能当真实地理位置用。归属地仍要靠地理库,网络归属才靠RDAP,两者各司其职。

IP地理定位的城市级误差是常态而非异常。根本原因是IP本身不携带地理坐标——所有位置都是地理库根据运营商分配区域、用户上报、网络延迟测量等间接信号推断出来的。MaxMind官方文档明确标注:国家级准确率较高,但城市级在很多地区仅供参考,偏远地区、企业专线、新分配段、移动网络尤其不准。

几种典型偏差:① 移动蜂窝IP常落在运营商核心机房所在地,而非用户实际位置,所以你在县城用手机流量,定位可能显示省会;② 企业/校园出口走总部统一NAT,千里之外的分支也会显示成总部城市;③ 云厂商和CDN的Anycast IP在全球多点宣告同一地址,地理库只能给一个名义位置;④ IP段被重新分配或转售后,地理库更新滞后数周到数月,显示的还是旧归属。

因此对精度敏感的场景(合规地域限制、反欺诈地理核验),不要只信单一地理库的城市字段。交叉验证更稳:看ASN对应的运营商类型、看rDNS、看时区是否与声称地区自洽、看是不是机房或代理出口。IPOK聚合多源正是为此——当某源给出的归属地与网络类型、风险信号互相矛盾时,这本身就是一个值得警惕的信号。

开发者与运维:排查请求来源时,先看ASN确认是真实用户运营商还是云厂商/爬虫机房;封禁滥用流量时按ASN或/24网段批量处理比逐IP更高效;配置地域路由或合规拦截前,用RDAP核对网段归属避免误伤。日志里一个IP突然从住宅ASN变成机房ASN,往往是攻击或薅羊毛的早期信号。

跨境电商卖家:平台对登录IP的住宅/机房判定极其敏感,机房IP登录店铺账号容易触发风控甚至关联封号。注册或登录前用IP查询确认这条IP是住宅原生、风险值低、与目标市场地区一致,是基本动作。同一/24网段里若邻居IP大量被标记滥用,你这条即便干净也可能被"连坐",C段画像能提前暴露这种风险。

VPN/代理用户:买到的"住宅IP"是不是真住宅,查一次就知道——机房ASN、含datacenter关键词的rDNS、被多源标记为proxy,都是露馅信号。反欺诈与风控从业者:则可把IP查询当作画像入口,归属地异常、机房出口、黑名单命中、Tor出口任一命中都应进入加权评分。IPOK坚持隐私优先,不记录被查询的IP,这对需要批量核验敏感地址的从业者尤其重要。