一台RN的机器,ping0显示家宽、风控值12,绿得不行。我寻思这也太干净了吧?转头拿同一个IP去scamalytics查,fraud score 71,直接标红high risk。再去ipinfo看,type写的hosting。三个站三种说法,到底信谁?
这事儿其实坛子里讨论过很多次了。之前有个帖子,有mjj说自己家宽被ping0标成中风险,还有人说用了十年的机房IP在ping0那还显示家宽风险很低。说实话ping0拿来看看归属地和ASN还行,判断IP类型和风险这块,数据源太单一了,就两档——家宽和IDC,太粗了。
scamalytics倒是给分了,但完全黑盒,分高分低你都不知道为啥。而且这东西对住宅代理误判率巨高,ISP线路的IP在它那基本都不好看。ipinfo看ASN注册信息判类型倒是准的,但它只管"出身"不管"现状",一个ISP名下的段早就被转租当代理了它还显示isp。proxycheck专门查代理扶墙,但签名库没收录的就漏了。
后来在linuxdo看到有人提了个站叫 iprisk.top ,说是把16个风控数据库聚合到一个页面了,我试了一下,确实比单独查好使不少。
它接的数据源包括:ipapi.is、scamalytics、proxycheck.io、pulsedive、greyNoise、shodan、ip2location、blocklist.de、DNSBL(spamhaus/spamcop/barracuda那几个)、threatfox、maltiverse、ip-api.com、ipinfo.io、RIPE STAT,加起来16个。
判定逻辑是这样的:先让这些数据源投票决定IP类型,不是ping0那种非黑即白的两档,而是分成了住宅双ISP、住宅单ISP、移动网络、企业IP、机房IP五种。然后根据类型给一个分数天花板——比如住宅双ISP最高100分,纯机房IP上限就只有45-55分。在天花板范围内再根据各个数据源的结果逐项扣分,每一项扣了多少、是哪个数据源触发的都写得清清楚楚,还能展开看原始返回值。
拿我那台RN的鸡测了一下,结果:
IP类型投票:3个源投hosting,2个投isp,最终判定机房IP
天花板:50分
实际得分:38分
扣分项:scamalytics fraud score偏高(-4)、blocklist.de有历史记录(-3)、shodan检测到开放端口22/80/443(-2)、proxycheck标记为proxy(-3)
一目了然。比你自己开四五个网页一个个查再脑内人肉对比强多了。
另外顺便说一句,这个站还有个 /env 页面,可以检测浏览器指纹环境,查WebRTC泄露、DNS泄露、时区语言匹配之类的,搞指纹浏览器的mjj可以去看看。
总之就是个小工具分享,ping0拿来看归属地还行,真要验货建议多查几个源交叉验证,或者直接用这种聚合的省事。
各位有更好用的检测站也欢迎分享,感谢。
