Введение
IP-адрес (Internet Protocol address) — это уникальный числовой идентификатор устройства в сети Интернет. Это своеобразный "почтовый адрес" компьютера или смартфона: по нему сервер определяет источник запроса и адрес для отправки ответа. Для антифрод-специалистов IP-адрес является одним из ключевых индикаторов при оценке рисков и выявлении мошеннических схем.
Зачем IP-адрес нужен антифроду
В контексте противодействия мошенничеству анализ IP-адресов позволяет:
Выявлять использование VPN, прокси-серверов и анонимайзеров для сокрытия реального местоположения
Идентифицировать ботов и автоматизированные скрипты по IP дата-центров
Обнаруживать мультиаккаунтинг при использовании одного IP для множества учётных записей
Фиксировать подозрительную активность при резкой смене IP между сессиями
Детектить использование сети Tor для полной анонимизации
Исследования показывают, что IP-адреса являются критически важным элементом систем обнаружения мошенничества, обеспечивая возможность геолокационного анализа, определения использования прокси и оценки репутации IP. Современные системы детекции рода достигают точности до 99.9% при комбинировании анализа IP с другими сигналами.
Критически важное понимание контекста
IP-адрес НЕ является абсолютным идентификатором пользователя. Существует ряд легитимных сценариев, когда интерпретация IP может привести к ложным срабатываниям:
Мобильный интернет — IP динамически меняется каждые несколько часов (это нормальное поведение)
Публичный WiFi — один IP могут разделять сотни пользователей (аэропорты, кафе, торговые центры)
Корпоративная сеть — единый IP для всех сотрудников офиса через NAT
VPN-сервисы — десятки пользователей могут использовать один выходной узел легально
Золотое правило антифрода: Всегда анализируй IP в комплексе с device fingerprint, User-Agent, поведенческими паттернами и velocity-метриками. Изолирова��ный анализ IP приводит к высокому уровню false positive.
Структура IP-адреса: анатомия октетов
IP-адрес версии 4 (IPv4) состоит из четырёх числовых сегментов (октетов), разделённых точками. Каждый октет представляет собой 8-битное число в диапазоне от 0 до 255.
Пример разбора IP-адреса
Рассмотрим адрес: 85.26.144.12 1-й октет (85) — определяет страну или регион — диапазон 85.x.x.x соответствует России и Восточной Европе.
2-й октет (26) — указывает провайдера или город — 85.26.x.x относится к конкретному ISP в этом регионе.
3-й октет (144) — обозначает район или подсеть — 85.26.144.x определяет локальную сеть провайдера.
4-й октет (12) — идентифицирует устройство — 85.26.144.12 представляет конкретное устройство внутри подсети.
Аналогия с физическим адресом
IP-адрес можно сравнить с почтовым адресом:
85 (1-й октет) — страна (Россия)
26 (2-й октет) — город (Москва)
144 (3-й октет) — улица/район
12 (4-й октет) — дом/квартира (конкретное устройство)
Подсети и CIDR-нотация
Подсеть представляет собой диапазон IP-адресов, принадлежащих одной организации или провайдеру. Запись вида 85.26.144.0/24 означает:
Базовый адрес: 85.26.144.0
Маска подсети: /24 (первые 24 бита фиксированы)
Диапазон: от 85.26.144.0 до 85.26.144.255 (256 адресов)
Аналогично, 85.26.0.0/16 охватывает от 85.26.0.0 до 85.26.255.255 (65,536 адресов).
Применение в антифроде:
Обнаружение множества учётных записей из узкой подсети (/24 или /16) является сигналом мультиаккаунтинга, особенно если подсеть принадлежит дата-центру или известному VPN-провайдеру.
Классификация типов IP-адресов
Residential IP (домашние)
Определение: IP-адреса, выделяемые интернет-провайдерами (ISP) конечным пользователям для домашнего доступа в Интернет или мобильной связи.
Характерные признаки:
WHOIS-запрос показывает имя residential ISP: "PJSC Rostelecom", "PJSC MegaFon", "Beeline"
Геолокация соответствует территории обслуживания провайдера
IP может быть динамическим (особенно в мобильных сетях)
PTR-запись (reverse DNS) содержит домен провайдера: 85-26-144-12.msk.megafon.ru
Примеры российских residential IP:
85.26.144.12 — Ростелеком, Москва
178.176.72.45 — МТС мобильная сеть, Санкт-Петербург
95.31.18.227 — Билайн, Новосибирск
Оценка риска: Residential IP сами по себе являются нормой и характерны для подавляющего большинства легитимных пользователей. Блокировка исключительно на основании residential IP недопустима.
Важное исключение: Residential proxy — технология, при которой мошенники используют скомпрометированные домашние IP для маскировки своей активности. Такие прокси сложно детектировать стандартными методами, поскольку WHOIS показывает легитимного ISP
Datacenter IP (дата-центры и хостинг)
Определение: IP-адреса, принадлежащие серверам в коммерческих дата-центрах. Используются хостинг-провайдерами, VPS, облачными платформами (AWS, Google Cloud, Azure, Hetzner, DigitalOcean).
Характерные признаки:
WHOIS-запрос показывает хостинг-компанию: "Amazon AWS", "Google Cloud", "Hetzner Online GmbH", "DigitalOcean"
PTR-запись содержит техническое имя сервера: ec2-54-123-45-67.compute-1.amazonaws.com
IP статический (не меняется)
Типично расположены в крупных дата-центрах (США, Германия, Нидерланды)
Примеры datacenter IP:
54.123.45.67 — Amazon AWS (Virginia, USA)
35.201.10.25 — Google Cloud Platform
138.201.50.123 — Hetzner (Нюрнберг, Германия)
46.4.123.45 — Selectel (Россия)
Оценка риска: Datacenter IP представляет высокий риск в контексте пользовательской активности:
Обычные пользователи не заходят с серверов дата-центров
Типичные сценарии использования: боты, скрейперы, автоматизированные скрипты
VPN и прокси-сервисы массово используют datacenter IP
Success rate datacenter прокси при обходе защиты: 20-40% (против 85-95% у residential)
Рекомендуемые действия: Datacenter IP в сочетании с подозрительным поведением (velocity anomalies, несовпадение fingerprint) должен приводить к блокировке. При создании нового аккаунта — обязательная ручная модерация.
Mobile IP (мобильный интернет)
Определение: IP-адреса, выделяемые мобильными операторами (МТС, Мегафон, Билайн, Теле2, Yota) абонентам, использующим сотовую передачу данных 3G/4G/5G.
Особенности mobile IP:
Высокая динамичность — IP меняется каждые 2-12 часов при переподключении к сети
Shared IP через NAT — один внешний IP может обслуживать несколько устройств одновременно
WHOIS показывает мобильного оператора
Примеры mobile IP:
178.176.72.45 — МТС
31.173.84.123 — Билайн
95.153.200.67 — Мегафон
Оценка риска: Mobile IP является нормой, однако требует контекстного анализа:
Частая смена IP (каждые 10 минут) — подозрительно, возможна принудительная ротация через режим полёта
Множество аккаунтов (50+) с одного mobile IP — возможен фарминг через mobile proxy farm
Критический индикатор: mobile IP + desktop fingerprint = фрод (mobile proxy)
Важно: Всегда сверяй соответствие типа IP и device fingerprint. Несовпадение — сильнейший fraud signal.
Corporate IP (корпоративные сети)
Определение: IP-адреса, принадлежащие организациям: офисам компаний, учебным заведениям, государственным учреждениям.
Характерные признаки:
WHOIS показывает название организации: "Sberbank", "Yandex LLC", "Mail.Ru Group", "Moscow State University"
Один внешний IP для десятков/сотен пользователей через корпоративный NAT
IP статический (не меняется)
Часто имеет выделенную подсеть целого диапазона
Оценка риска: Corporate IP редко встречается, но является легитимным. Множество аккаунтов с одного IP — норма для крупного офиса. Требуется анализ поведенческих паттернов для дифференциации от fraud.
Приватные IP (RFC 1918)
Определение: IP-адреса, зарезервированные для использования во внутренних локальных сетях. Не маршрутизируются в публичном Интернете.
Зарезервированные диапазоны:
192.168.0.0 — 192.168.255.255 (/16) — домашние роутеры
10.0.0.0 — 10.255.255.255 (/8) — крупные корпоративные сети
172.16.0.0 — 172.31.255.255 (/12) — средние сети
Критическая ошибка: Если в логах обнаружены приватные IP (192.168.x.x, 10.x.x.x) — это НЕ фрод, это ошибка логирования. Система фиксирует локальный IP устройства внутри NAT, а не реальный публичный IP.
Решение: Корректно извлекать IP из заголовков:
X-Forwarded-For (при использовании load balancer/reverse proxy)
X-Real-IP (nginx)
CF-Connecting-IP (Cloudflare)
Российские IP-адреса: диапазоны основных провайдеров
Крупнейшие residential ISP
Ростелеком (доля: ~40% российского рынка):
85.26.0.0/16
95.79.0.0/16
46.0.0.0/12
188.162.0.0/16
МТС (доля: ~15%, преимущественно мобильная связь):
178.176.0.0/13
212.188.0.0/16
95.143.0.0/16
Билайн (доля: ~12%):
31.173.0.0/16
95.31.0.0/16
213.87.0.0/16
Мегафон (доля: ~10%, мобильная связь):
95.153.0.0/16
178.176.64.0/18
5.3.0.0/16
Теле2 (доля: ~5%):
109.195.0.0/16
94.19.0.0/16
Yota (доля: ~3%, LTE):
31.163.0.0/16
178.121.0.0/16
Популярные хостинг-провайдеры (с высоким рискрм)
Провайдер Selectel использует диапазоны 46.4.0.0/16 и 31.177.0.0/16 — уровень риска оценивается как высокий.
Провайдер Hetzner (Германия) работает в диапазонах 138.201.0.0/16 и 95.216.0.0/16 — высокий риск.
Провайдер DigitalOcean (США) имеет основные диапазоны 104.131.0.0/16 и 159.89.0.0/16 — высокий риск.
Провайдер Amazon AWS использует крупные подсети 54.0.0.0/8 и 52.0.0.0/8 — также высокий риск.
Технологии анонимизации
VPN (Virtual Private Network)
Принцип работы: VPN создаёт зашифрованный туннель между устройством пользователя и VPN-сервером. Целевой сервер видит IP VPN-сервера, а не реальный IP пользователя.
Схема:
Пользователь (реальный IP: 85.26.144.12, Москва) > VPN-сервер (IP: 138.201.50.123, Hetzner, Германия) > Целевой сервер видит: 138.201.50.123
Методы детекции VPN:
Datacenter IP — большинство VPN работают на инфраструктуре хостинг-провайдеров
Базы VPN-провайдеров — коммерческие решения (IPHub, IPQualityScore, MaxMind) содержат списки известных VPN-серверов
Геолокационные несоответствия — IP из Германии, но Accept-Language: ru-RU, timezone: Europe/Moscow
Резкая смена страны — сессия началась в России, продолжилась в Германии за секунды
Множественные соединения — один IP используют десятки пользователей с разными fingerprint
Популярные VPN-провайдеры:
NordVPN — крупнейший, 60+ стран
ExpressVPN — премиум-сегмент
ProtonVPN — фокус на приватность
Mullvad — анонимные платежи (криптовалюта)
Оценка риска: Средний-высокий. Легитимные причины использования (обход блокировок, работа из-за рубежа) существуют, но VPN является инструментом выбора для мошенников при попытке скрыть геолокацию.
Рекомендация: VPN + новый аккаунт = ручная модерация. VPN + suspicious behavior = блокировка.
Proxy-серверы
Определение: Промежуточные серверы между клиентом и целевым ресурсом. В отличие от VPN, прокси обычно не шифруют трафик и работают на уровне приложения.
Типы proxy:
Протокол HTTP/HTTPS — базовый веб‑прокси, определяется по заголовкам; уровень риска средний.
Протокол SOCKS4/5 — низкоуровневый, работает напрямую по TCP; уровень риска высокий.
Тип Residential — прокси через реальные домашние IP‑адреса; уровень риска очень высокий.
Тип Mobile — прокси, использующие мобильные устройства и сети операторов; уровень риска очень высокий.
Тип Datacenter — прокси, размещённые на серверах хостинг‑провайдеров; уровень риска средний.
Методы детекции proxy:
HTTP-заголовки: X-Forwarded-For, Via, X-Real-IP могут содержать реальный IP
WebRTC leak: JavaScript может извлечь локальный IP через WebRTC API
DNS leak: DNS-запросы идут мимо прокси, выдавая реального провайдера
Datacenter IP: как с VPN, легко идентифицируется через базы
IP rotation: прокси меняется каждый запрос (характерно для ботов)
Residential/Mobile Proxy — критическая угроза:
Эти типы прокси используют реальные домашние/мобильные IP, что делает их чрезвычайно сложными для детекции:
WHOIS показывает легитимного ISP (Ростелеком, МТС)
Геолокация корректна
IP не фигурирует в datacenter blacklist
Индикаторы residential/mobile proxy:
Один IP, но множество различных fingerprint (10+ устройств)
Аномально частая смена IP (каждые 2-5 минут)
Несоответствие: mobile IP + desktop fingerprint
Velocity: физически невозможная скорость действий
Специализированные базы residential proxy (Bright Data, Oxylabs, Smartproxy)
Tor (The Onion Router)
Принцип работы: Tor — децентрализованная сеть для анонимного доступа. Трафик проходит через цепочку из трёх случайных узлов (relay), каждый добавляет слой шифрования. Целевой сервер видит IP последнего узла (exit node).
Схема:
Пользователь (реальный IP скрыт) > Entry node — знает источник, не знает назначение > Middle node — не знает ни источник, ни назначение > Exit node — знает назначение, не знает источник > Целевой сервер видит: IP exit node
Детекция Tor:
Публичный список exit nodes — Tor Project публикует актуальные IP всех выходных узлов: https://check.torproject.org/exit-addresses (открывается только с впнкой =))
Tor Browser fingerprint — специфичный User-Agent, отсутствие WebGL, ограниченный набор шрифтов
Частая смена IP — Tor автоматически меняет цепочку каждые 10 минут
Behavioral patterns — низкая скорость соединения, характерные задержки
Оценка риска: Критический. Success rate детекции Tor при использовании списков exit nodes приближается к 100%.
Легитимные сценарии использования: Журналисты в авторитарных странах, активисты, whistleblowers. Для коммерческих сервисов — крайне редко.
Рекомендация: Tor IP = автоматическая блокировка в 99% случаев. Исключения возможны только для специализированных сервисов (форумы приватности, криптовалютные платформы).
Публичные web-анонимайзеры
Определение: Веб-сайты, позволяющие заходить на другие сайты через их интерфейс (hide.me, kproxy.com, proxysite.com).
Механизм: Пользователь вводит целевой URL на сайте анонимайзера > анонимайзер загружает страницу и отображает её пользователю. Целевой сервер видит IP анонимайзера.
Детекция:
User-Agent содержит следы: "ProxySite", "HideMyAss"
Referer заголовок: https://www.proxysite.com
Известные IP анонимайзеров (публичные базы)
Оценка риска: Средний. Используются преимущественно неопытными пользователями, легко детектятся.
VPN browser extensions
Определение: Расширения для браузеров (Chrome/Firefox), перенаправляющие трафик через прокси. Примеры: Hola VPN, Touch VPN, ZenMate.
Особенность Hola VPN: Peer-to-peer архитектура — трафик пользователя идёт через устройства других пользователей Hola, и наоборот. Это создаёт уникальные security и privacy риски.
Детекция:
Residential IP, но несоответствие геолокации/языка
Типичный User-Agent, но подозрительный IP
WebRTC leak может раскрыть реальный IP
Оценка риска: Средний. Популярны у обычных пользователей для обхода блокировок, часто бесплатные и небезопасные.
Фрод сигналы на основе IP-анализа
Red flag #1: Datacenter IP
Индикаторы:
WHOIS показывает хостинг-провайдера: Amazon AWS, Google Cloud, Hetzner, DigitalOcean, Selectel
IP из известных datacenter-диапазонов
Отсутствие residential ISP
Объяснение: Легитимные пользователи не заходят с серверов. Datacenter IP характерен для ботов, скриптов, VPN/прокси.
Решение: Datacenter IP + новый аккаунт = ручная модерация. Datacenter IP + velocity anomalies = блокировка.
Red flag #2: Tor exit node
Индикаторы:
IP присутствует в списке Tor exit nodes
Tor Browser fingerprint
Частая смена IP (каждые 10 минут)
Решение: Автоматическая блокировка (за исключением специализированных сервисов).
Red flag #3: Мультиаккаунтинг
Индикаторы:
С одного IP зарегистрировано 10+ аккаунтов за короткий период
С одного IP активны 50+ аккаунтов одновременно
Residential IP, но ботоподобное поведение
Объяснение: Фарминг аккаунтов, мультиаккаунтинг, ботнеты.
Исключения: Corporate IP (офис), Public WiFi, легитимный VPN.
Критерий дифференциации: Проверить device fingerprint. Идентичный fingerprint = блокировка. Разные fingerprint = ручная модерация.
Red flag #4: Резкая смена геолокации
Индикаторы:
Сессия началась в России (85.26.144.12), через 5 минут продолжилась в Германии (138.201.50.123)
IP меняется каждые 2-5 минут (proxy rotation)
Страна меняется: Россия - США - Нидерланды - Германия
Объяснение: Физически невозможное перемещение. VPN/прокси с автоматической ротацией.
Исключение: Mobile IP может легитимно меняться раз в 2-12 часов.
Решение: Резкая смена страны = блокировка. Частая смена IP в одной стране = ручная модерация.
Red flag #5: Несоответствие геолокации и локальных параметров
Индикаторы:
IP из Германии, но Accept-Language: ru-RU, timezone: Europe/Moscow
IP из США, но активность в 02:00-06:00 UTC (дневное время в России)
Mobile IP (МТС), но User-Agent показывает desktop Windows
Объяснение: VPN/прокси. Легитимный пользователь в Германии обычно использует немецкий язык и немецкий timezone.
Исключения: Русскоязычные эмигранты, путешественники, удаленщики.
Решение: Несоответствие геолокации и локальных параметров = ручная модерация + анализ дополнительных сигналов.
Red flag #6: Приватный IP в логах
Индикаторы:
192.168.x.x
10.x.x.x
172.16.x.x — 172.31.x.x
Это НЕ фрод — это ошибка логирования. Система фиксирует локальный IP, а не публичный.
Решение: Исправить извлечение IP из корректных заголовков.
Yellow flag: Экзотические юрисдикции
Не блокировать сразу, но проверить:
IP из экзотических стран (Науру, Сейшелы, Панама) — часто используются VPN-провайдерами
IP из стран с высоким уровнем киберпреступности (по данным threat intelligence)
IP из оффшорных зон (Гонконг, Сингапур) — популярны у VPN
Решение: Экзотическая страна + новый аккаунт = ручная модерация. Проверить User-Agent, fingerprint, язык.
Практические кейсы: фрод или не фрод
Кейс 1: Residential IP Ростелеком
IP: 85.26.144.12
Данные:
WHOIS: PJSC Rostelecom
Геолокация: Москва, Россия
Accept-Language: ru-RU
Timezone: Europe/Moscow
Итог: НЕ ФРОД
Объяснение: WHOIS показывает residential ISP (Ростелеком). Геолокация совпадает с языковыми и временными параметрами. PTR подтверждает легитимность. Это типичный домашний интернет.
Решение кейса: Пропустить.
Кейс 2: Mobile IP МТС
IP: 178.176.72.45
Данные:
WHOIS: PJSC MTS (Mobile TeleSystems)
Геолокация: Санкт-Петербург, Россия
User-Agent: iPhone iOS 18.1
Fingerprint: canvas=abc123, WebGL=Apple GPU
Итог: НЕ ФРОД
Объяснение: WHOIS показывает мобильного оператора. Mobile IP соответствует mobile User-Agent и fingerprint. Консистентность данных подтверждает легитимность.
Решение кейса: Пропустить.
Кейс 3: Datacenter IP Hetzner + VPN
IP: 138.201.50.123
Данные:
WHOIS: Hetzner Online GmbH
Геолокация: Нюрнберг, Германия
PTR: static.123.50.201.138.clients.your-server.de
Тип: Datacenter
Accept-Language: ru-RU
Timezone: Europe/Moscow
Итог: ПОДОЗРИТЕЛЬНО
Объяснение: WHOIS показывает хостинг-провайдера (datacenter IP). Геолокация IP (Германия) не соответствует языковым (ru-RU) и временным (Moscow) параметрам. Это классический VPN.
Решение кейса: Ручная модерация.
Дополнительные проверки:
Новый аккаунт? > Блокировка
Velocity anomalies? > Блокировка
Старый аккаунт + нормальное поведение? > Возможно легальный VPN для обхода блокировок
Кейс 4: Amazon AWS + Headless browser
IP: 54.123.45.67
Данные:
WHOIS: Amazon AWS
Геолокация: Virginia, USA
PTR: ec2-54-123-45-67.compute-1.amazonaws.com
Тип: Datacenter
User-Agent: HeadlessChrome/144.0.0.0
Fingerprint: canvas=empty, WebGL=SwiftShader
Итог: ФРОД
Объяснение: Datacenter IP (AWS). User-Agent указывает на headless browser (автоматизация). Canvas fingerprint пустой. WebGL=SwiftShader (программный рендеринг без GPU) — признак виртуальной среды. Это автоматизированный бот.
Решение кейса: Блокировка.
Паттерн: Скрейпинг, парсинг, автоматическая регистрация.
Кейс 5: Tor exit node
IP: 185.220.101.42
Данные:
WHOIS: F3 Netze e.V. (некоммерческая организация)
Геолокация: Германия
Tor Exit Node: ДА (проверено по списку Tor Project)
User-Agent: Mozilla/5.0 (Windows NT 10.0) Firefox/115.0
Fingerprint: стандартный для Tor Browser
Итог: ФРОД
Объяснение: IP присутствует в официальном списке Tor exit nodes. Tor Browser fingerprint (Firefox ESR, ограниченные шрифты). Tor используется для максимальной анонимности, что в 99% случаев связано с попыткой скрыть незаконную активность.
Решение кейса: Автоматическая блокировка.
Исключение: Специализированные сервисы, явно разрешающие Tor (форумы приватности, некоторые криптовалютные платформы).
Кейс 6: Мультиаккаунтинг с residential IP
IP: 95.31.18.227
Данные:
WHOIS: Beeline (residential)
Геолокация: Новосибирск, Россия
Активных аккаунтов с этого IP: 37
Количество различных fingerprint: 15
Время регистрации всех аккаунтов: последние 2 часа
Итог: ФРОД
Объяснение: Несмотря на residential IP (Beeline), 37 аккаунтов за 2 часа с 15 различными fingerprint — аномалия. Это residential proxy (скомпрометированный домашний IP) или фарминг аккаунтов.
Решение кейса: Блокировка всех аккаунтов.
Паттерн: Массовая регистрация для последующей продажи или злоупотреблений.
Кейс 7: Резкая смена геолокации
Данные:
Сессия 1 (10:00): IP 85.26.144.12 (Москва, Россия)
Сессия 2 (10:03): IP 138.201.50.123 (Германия)
Сессия 3 (10:06): IP 104.131.45.67 (США, DigitalOcean)
Fingerprint: abc123def456 (идентичный)
Итог: ФРОД
Объяснение: Физически невозможное перемещение за 6 минут из России в Германию и США. Fingerprint идентичен — то же устройство. Все IP принадлежат datacenter (Hetzner, DigitalOcean). Это VPN/прокси с ротацией серверов.
Решение кейса: Блокировка.
Паттерн: Proxy rotation для обхода rate limiting или геоблокировок.
Кейс 8: Mobile IP + Desktop fingerprint
IP: 178.176.72.45
Данные:
WHOIS: PJSC MTS (Mobile)
Геолокация: Москва, Россия
User-Agent: Chrome/144 Windows NT 10.0
Fingerprint: canvas=desktop, WebGL=NVIDIA GPU, Screen=1920x1080
Итог: ФРОД
Объяснение: IP от мобильного оператора (МТС), но User-Agent показывает Windows desktop, fingerprint содержит NVIDIA GPU и разрешение 1920x1080 (desktop). Это противоречие невозможно в легитимном сценарии. Mobile proxy используется для маскировки desktop-активности.
Решение кейса: Блокировка.
Паттерн: Mobile proxy (SIM-ферма) для обхода детекции.
Кейс 9: Приватный IP (ошибка логирования)
IP: 192.168.1.45
Данные:
Геолокация: не определяется
WHOIS: не работает
Итог: НЕ ФРОД — ОШИБКА СИСТЕМЫ
Объяснение: 192.168.x.x — приватный IP (RFC 1918), не маршрутизируется в публичном Интернете. Система логирует локальный IP устройства внутри NAT, а не реальный публичный IP пользователя.
Решение кейса: Исправить извлечение IP из заголовков (X-Forwarded-For, X-Real-IP, CF-Connecting-IP).
Кейс 10: Легальный VPN (путешественник)
IP: 138.201.50.123
Данные:
WHOIS: Hetzner Online GmbH (datacenter)
Геолокация: Германия
Аккаунт: зарегистрирован 2 года назад, 500+ успешных транзакций
Обычный IP: 85.26.144.12 (Москва, Россия, Ростелеком)
Текущая сессия: первый раз с VPN за всю историю
Accept-Language: ru-RU
Timezone: Europe/Moscow
Итог: НЕ ФРОД (легальный VPN)
Объяснение: Несмотря на datacenter IP (VPN), аккаунт имеет длительную историю (2 года) с residential IP. Первое использование VPN. Языковые и временные параметры соответствуют обычному поведению. Вероятный сценарий: путешествие или легальное использование VPN для обхода блокировок.
Решение кейса: Пропустить, отметить в логах для мониторинга.
Нормы по количеству аккаунтов на IP
Residential: 1-3 аккаунта (семья) — норма. 10+ — подозрительно.
Mobile: 5-10 (shared IP через NAT) — может быть норма. 50+ — фрод.
Corporate: 20-100 (офис) — норма.
VPN: 10-50 — может быть норма, но проверь fingerprint.
Инструменты для проверки IP
WHOIS: whois.domaintools.com, who.is
Геолокация: MaxMind GeoIP2, IP2Location
VPN детекция: IPHub.info, IPQualityScore.com, getipintel.net, Scamalytics
Tor проверка: https://check.torproject.org/exit-addresses
Reverse DNS (PTR): mxtoolbox.com/ReverseLookup.aspx
IP reputation: AbuseIPDB, Project Honey Pot, Spamhaus
SQL-шпаргалки для мониторинга
1. Найти datacenter IP
SELECT ip, COUNT(DISTINCT user_id) as users
FROM sessions
WHERE ip LIKE '54.%' OR ip LIKE '138.201.%' -- AWS, Hetzner
GROUP BY ip
HAVING COUNT(DISTINCT user_id) > 1;
2. Найти мультиаккаунтинг
SELECT ip, COUNT(DISTINCT user_id) as accounts
FROM sessions
WHERE created_at > NOW() - INTERVAL '24 hours'
GROUP BY ip
HAVING COUNT(DISTINCT user_id) > 10;
3. Найти резкую смену IP
SELECT user_id, COUNT(DISTINCT ip) as ip_changes
FROM sessions
WHERE created_at > NOW() - INTERVAL '1 hour'
GROUP BY user_id
HAVING COUNT(DISTINCT ip) > 5;
4. Найти приватные IP (ошибки логирования)
SELECT ip, COUNT(*) as occurrences
FROM sessions
WHERE ip LIKE '192.168.%' OR ip LIKE '10.%'
GROUP BY ip;
Заключение
IP-адрес является фундаментальным элементом антифрод систем, обеспечивая возможность идентификации геолокации, типа соединения и репутации источника трафика. Однако критически важно понимать, что изолированный анализ IP недостаточен для принятия решений о блокировке.
Современный подход к антифроду требует многоуровневого анализа:
IP intelligence: Тип IP (residential/datacenter/mobile), репутация, принадлежность к VPN/Tor
Device fingerprinting: Консистентность fingerprint с типом IP
Behavioral analysis: Velocity метрики, паттерны активности
Geolocation correlation: Соответствие IP-геолокации языковым и временным параметрам
Historical context: История аккаунта, предыдущие IP, транзакции
Комплексный подход снижает уровень false positive на 73% при сохранении высокой точности детекции (99.9%). Системы, использующие только IP-фильтрацию без контекстного анализа, генерируют неприемлемое количество ложных срабатываний, блокируя легитимных пользователей VPN, мобильного интернета и корпоративных сетей.
Ключевые принципы:
Residential IP НЕ гарантирует легитимность (residential proxy)
Datacenter IP НЕ гарантирует фрод (легальные VPN)
Всегда верифицируйте соответствие IP и device fingerprint
Используй behavioral и velocity анализ как дополнительные слои защиты
Регулярно обновляйте свои и мониторьте публичные базы VPN/Tor/proxy провайдеров
IP-анализ остаётся незаменимым инструментом антифрода, но его эффективность максимальна только в составе комплексной системы детекции мошенничества.
Без призыва к действию: https://t.me/fraud_ops
