Детекция VPN звучит просто — «это VPN или нет?» — но делать её точно, не помечая каждого корпоративного пользователя, требует многоуровневого подхода. Вот как это работает.
Сигналы
- Дата-центровые ASN: большинство коммерческих VPN выходят из хостинг-провайдеров. Основной сигнал.
- Известные диапазоны VPN: курируемые списки IP-блоков VPN-провайдеров и репутационные фиды.
- Именование rDNS: обратный DNS часто выдаёт инфраструктуру VPN/хостинга.
- Задержка против заявленной гео: измеренный RTT, несовместимый с локацией IP, намекает на туннелирование.
- Корреляция фингерпринтов: для VPN, прикрывающих автоматизацию, сетевой фингерпринт всё равно выглядит не по-человечески.
Точность и ложные срабатывания
Сложность не в том, чтобы найти VPN — а в том, чтобы не переусердствовать с метками. Корпоративные VPN легитимны; пользователи, заботящиеся о приватности, не мошенники. Хорошая детекция возвращает градуированный сигнал, который вы комбинируете с другими, а не жёсткое «VPN = плохо». detectip.ai отдаёт флаг VPN плюс объяснимую оценку риска, чтобы вы решали вес.
Действия по детекции VPN
- Комплаенс/цены: если истинная локация скрыта, откатывайтесь к безопасному значению по умолчанию или спросите пользователя.
- Фрод: повышайте риск и добавляйте верификацию для чувствительных действий, а не блокируйте сразу.
Проблема резидентных VPN
Некоторые сервисы сливаются с резидентными диапазонами (похоже на резидентные прокси). Там IP-сигналы слабеют, и детекцию несут фингерпринтинг/поведение — см. определение прокси и VPN.
FAQ
Может ли детекция VPN быть точной на 100%? Нет — относитесь к ней как к взвешенному сигналу, а не абсолютной истине.
Заблокирую ли я реальных пользователей? Нет, если градуируете сигнал и применяете политику по чувствительности действия. Попробуйте демо.