IP 类型与评分体系 · CleanIP

核心归属

看这个 IP 是否有当前 BGP 路由, 以及注册地跟实际位置是不是一个国家 — 一致的更像本地真用户, 不一致的更像跨国云出口, 没有路由则单独标为未通告。

原生 IP

正向

这个 IP 的运营商注册地跟它实际定位是同一个国家 — 比如中国电信 IP 检测在中国境内。一般是当地家庭宽带或本地机房, 平台风控比较友好。

广播 IP

扣分

运营商注册地跟实际定位国家不一样 — Cloudflare、AWS 这类跨国云服务把同一段 IP 广播到全世界各地常见。账号、支付、流媒体等业务遇到这类 IP 通常会更谨慎。

未通告

轻扣分

当前公网 BGP 表里没有找到这个 IP 的 Origin ASN 或可见路由。它可能已经被分配给某个机构, 但此刻没有对外广播; 这不是广播 IP, 也不能直接当作有 ASN 的正常出口评价。

未指定

中性

ASN 注册国或 IP 地理信息缺失, 但还没有明确落到未通告或广播这类状态。不算坏事, 只是证据不够。

风险颜色

评分卡顶部的色条按总分落在 6 档颜色, 跟下面"总分等级"的 A+/A/B/C/D/F 一一对应。看到什么色, 心里就知道分数大致在哪一档。

A+ 95-100

极佳, 几乎没有坏信号 + 多源都验证干净

A 85-94

良好, 大多数住宅 ISP IP 落点

B 70-84

中等, hosting / IDC 默认上限

C 50-69

一般, 命中 1-2 个匿名/滥用信号

D 25-49

较差, 多个高危信号叠加, 大量平台屏蔽

F 0-24

极差, Tor / 多重黑名单 / 严重滥用

IP 类型

这个 IP 的用途 — 是家庭宽带、手机移动数据、公司专线、机房服务器还是公共基础设施 (DNS / CDN)。绝大多数 IP 会落到下面 12 类之一。

住宅 IP

低风险

运营商分给家庭宽带用户的 IP, 真实用户上网最常见的一类。账号注册、支付、流媒体、AI 订阅这类敏感场景平台最喜欢这种出口。

移动 IP

低风险

手机 4G / 5G 蜂窝网络的出口。真实用户, 但运营商把很多人挤在同一个 IP 后面 (CGNAT), 而且 IP 经常换 — 长期账号资产要留意。

商业 IP

低风险

公司专线、办公网络的出口. 看起来比住宅 "职业", 但风险不高 — 上班族浏览、登录公司账号常见。

教育 IP

低风险

学校、大学、科研机构的网络. 一般干净, 但宿舍/校园 WiFi 历史上可能被同学拿来做过爬虫或滥用, 注意有黑名单残留。

政府 IP

特殊

政府机关、公共部门、国防或军方的网络. 单独一类展示, 不当作普通商业/住宅判断, 业务上看清归属再决定。

公共 DNS

信息性

1.1.1.1、8.8.8.8、9.9.9.9 这类公开的 DNS 解析器. 这是用来解析域名的服务, 不是用户上网的真实出口。

根 DNS

信息性

全球只有 13 组的 DNS 根服务器 (a.root-servers.net 等). 互联网最底层的基础设施, 极少会作为业务出口出现。

公共 CDN

信息性

Cloudflare、Akamai、Fastly、AWS CloudFront 等 CDN 的边缘节点. 用户访问任何挂在这些 CDN 后面的网站时都可能解析到, 不代表是终端用户的真实 IP。

IDC

中风险

数据中心、VPS、主机托管、云服务器的 IP. 适合跑服务器, 但拿来登录账号、注册新号、做支付容易被平台风控当作 "非真人用户"。

中继 IP

中风险

iCloud Private Relay 等隐私中继的出口. 苹果设备开了 "私密转发" 就走这种 IP, 不算代理但确实把真实位置遮起来了。

Tor 出口

高风险

Tor 暗网的出口节点 (Tor Project 公开有名单). 平台风控几乎都会直接拒绝, 用来跑业务等于自杀。

未知

数据不足

几个数据源给的信号互相矛盾或都缺, 没法分类. 不代表是坏 IP, 只是证据不够下结论 — 查另一个 IP 或重试可能就清楚了。

行为信号徽章

IP 详情卡里跟 IP 类型互补的风险标记。一个住宅 IP 同时也可能挂上"住宅代理"或"滥用"等行为标. 代理 / VPN / Tor 出口 / 中继 IP 这 4 项已经是 IP 类型, 不在这里重复列。

住宅代理

真实住宅 IP 被卖给代理服务商当出口节点, 常见于第三方爬虫池 / 数据采集网络. 底层归属住宅, 但行为属代理, 平台风控会按代理出口处理。

爬虫

被识别为爬虫 / 自动化抓取流量. 高频访问、缺少正常浏览器特征、批量调用接口是常见原因, 账号注册和登录场景一般会被拦截。

垃圾邮件

被识别为发送垃圾邮件、批量评论 spam 或类似骚扰行为. 邮件投递、社区发帖类业务通常会拒绝这类出口。

滥用

在公开滥用举报库被多次举报, 涉及暴力破解、漏洞扫描、撞库等恶意行为. 影响该 IP 的纯净度等级。

Bogon

RFC 保留段 / 私有地址 / 文档示例段等本不该出现在公网的 IP. 系统会在写入前直接拦截, 不会进入数据库参与排名。

6 维度评分

每个维度 0-100 分独立打分, 加权求和后再乘上一层业务适用性系数 (住宅 IP 系数最高、IDC 系数较低), 得到最终总分。

20%

网络归属可信

identity

IP 是否有当前 BGP Origin ASN, 运营商注册地是否跟实际位置一致, 加上路由是否被合法签发. 反映这个 IP 的 "身份" 是否清楚。

起点缺普通地理信息时取中性; 无当前 BGP Origin ASN / 路由时标为未通告。

加分到 100注册地一致 + 路由合法 → 满分。

扣分未通告 → 轻扣分; 注册地跟实际位置不一致 → 视网络类型扣分; RPKI 无效 / 路由被劫持嫌疑 → 显著扣分。

25%

匿名规避反向分

anonymity

是否表现为代理 / VPN / Tor / 住宅代理 / 隐私中继等匿名出口. 这一维度权重最高, 直接决定能不能用作真人业务。

起点起点接近满分。

加分到 100多个独立信号一致判定非匿名出口 → 拿满。

扣分Tor 直接归零; 住宅代理 / 商业 VPN / 公开代理大幅扣分; 隐私中继 / 爬虫 / 高风险评级也扣。

20%

滥用历史

abuse

公开滥用举报库累积的报告强度 + 报告新鲜度 + 是否被标为高滥用. 反映这个 IP 历史上被多少受害方举报。

起点起点接近满分, 按历史滥用强度扣。

加分到 100长期跟踪过 + 近期完全无新举报 → 加分到顶。

扣分近期 7 天内有新举报、累计举报多、被标 "高滥用" → 明显扣分。

15%

黑名单 / 蜜罐

blacklist

邮件类 DNSBL、HTTP 蜜罐、威胁情报库等公开黑名单的命中数。命中越多说明这个 IP 历史上越脏。

起点起点接近满分。

加分到 100多个黑名单源都验证过且都干净 → 拿满。

扣分DNSBL 命中 / 蜜罐命中 / 标记为已沦陷设备 → 大幅扣分, 命中越多扣越狠。

10%

攻击行为

attack

针对暴力登录、批量垃圾注册、评论 spam 等具体攻击行为的历史计数。反映这个 IP 的攻击发起记录。

起点起点接近满分。

加分到 100长期跟踪 + 完全无攻击行为 → 拿满。

扣分存在攻击历史按规模分档扣分, 大规模攻击直接归零。

10%

本地信誉

local

CleanIP 自有的黑/白名单和威胁事件库. 历史上在站内被报告 / 拉黑的 IP 会在这一维度体现。

起点起点接近满分。

加分到 100进白名单直接拿满; 长期跟踪 + 站内无威胁事件 + 信誉为正 → 加分。

扣分进本地黑名单直接归零; 近 30 天有威胁事件、累计事件多、信誉为负 → 明显扣分。

总分等级

6 维度加权 + 业务适用性系数得到 0-100 分, 按下面 6 档显示 A+ / A / B / C / D / F. 详情卡顶部色条颜色跟这里完全一致。

A+

95-100

极佳, 几乎没有坏信号 + 多源都验证干净

85-94

良好, 大多数住宅 ISP IP 落点

70-84

中等, hosting / IDC 默认上限

50-69

一般, 命中 1-2 个匿名/滥用信号

25-49

较差, 多个高危信号叠加, 大量平台屏蔽

0-24

极差, Tor / 多重黑名单 / 严重滥用

业务适用性系数让住宅 / 移动 / 教育 / 政府类正常网络拿到接近满分的潜力, 商业类略低, 数据中心 / IDC 类被压缩到较低区间, 公共基础设施 (DNS / CDN) 按信息性看待不参与正常评估。一个干净的住宅 IP 默认在中高分区, 顶部 A+ 需要长期跟踪 + 多源都验证干净 + 进入本地白名单这种综合正向证据。

IP 类型、徽章与评分体系

核心归属

风险颜色

IP 类型

行为信号徽章

6 维度评分

总分等级