本帖最后由 ProxyShard 于 2026-3-18 20:41 编辑
先回答一个问题——什么是 ISP 代理?
ISP 代理是指部署在家庭或移动运营商 IP 地址上的代理。这就引出了第二个问题——这些地址是怎么获得的? 首先想到的方法是联系运营商并协商租用他们的子网,但事情并没有那么简单。在大约 300 个运营商中,只有几十个拥有可用的子网,而真正愿意提供这类服务的更是少数,因为代理通常被认为是灰色行业,几乎不可能说服他们改变看法。因此,在一个国家找到合适的运营商可能需要几个月,有时如果没有关系甚至完全不可能。
正因为如此,才出现了假的 ISP 代理。现在有很多可以出租子网的市场平台,而且不时会有家庭/移动运营商把自己的子网放到这些平台上。这里就变得有意思了——由于这些子网曾经被家庭运营商使用,在 GeoIP 数据库中仍然会被识别为 ISP,这正是那些制作并出售假 ISP 代理的人所利用的点。
现在我们已经有了子网,但问题是——在哪里进行公告,才能看起来尽可能真实。解决这个问题的方法非常简单,几乎所有大型家庭运营商都提供数据中心托管服务。购买一台服务器,在其上以该家庭运营商的 ASN 公告该子网,对于不了解这些的人来说不会有任何怀疑,但 GeoIP 提供商和反欺诈系统并不会被轻易欺骗。 检测这样的子网其实很简单,一共有 3 种主要方法。
为了验证,我们以子网 45.93.186.0/23 为例
第一种方法——运营商的 geofeed
Geofeed 是一个标准化文件,每个运营商都会在其中标明其子网的精确物理位置。通常运营商只有一个 geofeed,但如果同时提供多种服务——家庭网络、数据中心或企业服务,那么每种服务都会有各自的 geofeed。
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53876&size=300x300&key=d9a84bf7e88d5153&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛
该子网在 DTAG 下公告,我们查看其 geofeed
第二种方法——路由追踪(traceroute/mtr)
许多家庭运营商在提供数据中心服务时,会使用单独的路由掩码,通常带有 DCH 类型和 router 标记。通过最后几跳可以判断该子网是否在数据中心中公告;或者如果代理搭建者经验不足且没有屏蔽 ICMP 数据包,可以一路探测到管理该子网的服务器。由于运营商服务器价格较高,通常不会直接租用,而是通过 GRE 隧道将流量从运营商路由器转发到其他数据中心。
DTAG 没有用于数据中心的独立掩码,并且 ICMP 被屏蔽,因此这里没有任何发现。
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53877&size=300x300&key=707cc9ed7d531a07&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛
第三种方法——通过子网注册数据库和 GeoIP 数据库进行 whois 查询
这里才是最关键的部分,大多数来自家庭运营商的子网实际上是通过 IPXO 租用的,虽然还有其他平台,但这是最大的一个。
查看 RIPE 数据库的结果后,一切都变得清晰
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53878&size=300x300&key=c15271318166351e&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛 该子网此前属于 SCALEIT,随后将管理权限(例如创建 route object 等)交给了 IPXO。在这个案例中,只是简单地为 DTAG 的 ASN 创建了一个 route object。甚至连旧的网络名称记录都没有被清理,但即使清理了也没有意义,因为无法伪造子网所属组织的名称。
在这个案例中标记为 Private Customer,abuse 邮箱为 [url=][email protected][/url]。Abuseradar 是 IPXO 的一层中间服务。
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53879&size=300x300&key=096b6cc2be4874b5&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛 下面是一个真实 DTAG 子网应有的样子
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53880&size=300x300&key=6e2f84aa422c427f&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛
[img=110,0]https://www.advertcn.com/forum.php?mod=image&aid=53881&size=300x300&key=dcaa6b88e708553b&nocache=yes&type=fixnone由于安全原因,请把图片上传到论坛
ip2location的结果也证明,该子网及其上的代理属于假 ISP。不能只依赖这个结果,因为它们每年只进行 2–3 次完整检测,一些子网可能尚未被识别。如果子网还未被检测出来,可以通过明显的不匹配来判断,例如 ASN 是 DTAG,但域名却是 ukrtelecom.ua 或其他运营商。目前 ukrtelecom 最常见,因为其大量子网被投放到市场上。
为了进行完整验证,我们建议使用我们的 IP 检测工具,它会在 IP 以家庭/移动 ASN 公告时进行详细分析。 还有第四种方法,但普通用户无法使用。存在一个所谓的家庭运营商地址注册库,所有家庭运营商都会提交自己的地址范围,一些反欺诈系统会使用这些数据。
在阅读完这些内容之后,可能会产生一个问题——是否可以请求运营商将地址添加到 geofeed 或更新数据?
不可以,没有任何 Tier 1 运营商会这样做。直到不久前还可以与 ATT 协商,但他们因此被罚款,这条路已经关闭。
因此,如果你看到宣传称代理拥有 Tier 1 运营商 IP,在 99% 的情况下,这些都是假 ISP。真正的 ISP 代理只能通过与 Tier 2–3 运营商合作获得,这非常耗时,或者通过与 Tier 1 运营商建立关系,但成本至少在 2.5–3 美元以上。因此,目前超过一半的代理市场都是假 ISP 代理。
| 
发表于 
