代理检测可以帮助企业识别连接是否与代理、VPN 或 Tor 相关联。借助 SEON,可以通过 IP 情报(通过 IP API)实现这一点;对于更难检测的情况(例如住宅代理),还可以通过基于网络和浏览器信号的设备指纹识别来实现。
想了解 SEON 能从 IP 地址中识别出什么吗?点击下方区域,测试我们的代理和 VPN 检测工具:
使用此工具即表示您同意我们的隐私政策和服务条款。我们不会收集或存储用户提交的 IP 地址。此演示仅使用预定义的公共 IP 地址进行演示。
代理检测是指识别用户连接是否通过代理、VPN 或类似匿名技术进行路由的过程。它有助于抓捕伪造连接信息以实施欺诈活动的恶意攻击者。
代理服务器并非仅被诈骗分子使用。注重隐私的人士也依赖代理服务器连接网络。此外,代理服务器还可以通过节省带宽或压缩流量来提高网络速度。
网站开发人员和营销人员经常依赖代理服务器来查看不同地理位置的在线内容。代理服务器也是一种常用的网络安全工具,用于过滤恶意网站或阻止恶意软件和间谍软件。然而,在线代理服务器和VPN 检测对于防范欺诈和网络安全至关重要。
了解用户如何连接到您的网站有助于您评估风险和意图。代理服务器可能表明有人试图掩盖其连接详情。这可能是出于正当目的(例如保护隐私或访问受地理限制的内容),但也可能被用于绕过控制措施或隐藏可疑活动。
从这个意义上讲,代理检测可以帮助您回答以下问题:
用户是否真的从他们声称的地点连接?
他们是否试图访问他们不应该访问的服务?
他们是否使用匿名化工具(代理、VPN、Tor)来隐藏其 IP 地址?
这种关联性,结合其他信号,是否表明存在更高的欺诈风险?
最后一点至关重要:代理检测与其他方法(例如风险评分、身份验证和行为分析)结合使用效果最佳。这些信号共同作用,有助于减少欺诈和滥用行为,支持合规性,并降低运营成本,同时避免不必要地阻止合法用户。
使用代理并不总是意味着存在欺诈行为。但如果确实存在欺诈行为,则通常是由于以下几种类型的攻击造成的:
多账户 和滥用奖金:诈骗者使用不同的电子邮件地址和电话号码创建多个账户。他们还需要代理服务器为每个账户生成新的 IP 地址。
支付和拒付欺诈:犯罪分子获得了被盗的信用卡号。他们仍然需要能够隐藏踪迹,或者选择一个与发卡国家/地区相匹配的 IP 地址。
身份盗窃:诈骗分子试图在一家网上银行创建新账户。他们掌握了该地区被盗的身份信息,需要使用 VPN 来查找本地 IP 地址。如果成功,这可能导致各种各样的犯罪活动,从贷款诈骗到洗钱。
此外,还存在账户盗用问题,即诈骗分子会登录您客户的账户。最老练的诈骗分子会试图模仿合法账户持有人的行为,例如通过寻找不会引起怀疑的IP地址来实现。
代理服务器可以掩盖或伪造连接详情,因此对于试图隐藏真实连接位置的诈骗分子来说非常有用。VPN 和代理服务器的工作原理不同,但两者都可以用来隐藏用户的真实 IP 地址和位置。以下是一个简单的例子:
一名诈骗犯藏身于葡萄牙。
他们盗用了澳大利亚信用卡信息。
他们尝试在线下单,但交易被标记了。
这时,代理或VPN就能派上用场了。通过将流量路由到澳大利亚的IP地址,诈骗者试图伪装成“本地”用户,并重试交易而不触发基于位置的控制措施。
同样的逻辑也适用于机器人攻击和多账户攻击。为了持续大规模访问网站,诈骗分子通常会轮换IP地址,使其看起来像不同的用户,有时还会结合设备欺骗和一次性身份信息。
那么,诈骗分子会使用哪些类型的代理?它们之间又有什么区别?让我们一起来看看。
了解欺诈检测 API 如何帮助您保护您的业务
了解 API 的工作原理、优势以及与手动数据处理的比较
了解更多
诈骗分子使用以下工具控制您的网站如何查看他们的 IP 地址。
数据中心代理会给诈骗者分配一个属于数据中心公司的 IP 地址。例如,AWS(亚马逊网络服务)拥有一系列 IP 地址。任何通过 AWS 数据中心连接的用户都会被分配到该范围内的一个 IP 地址。
如果您知道数据中心的 IP 地址范围,就很容易检测到这类代理。数据中心代理就像一道“墙”,它隐藏了原始 IP 地址,但仍然指向特定的公司。
从这个意义上讲,数据中心代理对诈骗分子来说不如住宅代理有价值。
住宅代理使用互联网服务提供商 (ISP) 提供的 IP 地址。每个住宅代理都有一个物理位置,该位置可以手动选择,也可以随机选择。
住宅代理服务器比数据中心更难检测,也更值得信赖。它们由合法用户使用,并且隶属于知名互联网服务提供商,例如 Comcast 或 AT&T。
这使得它们需求量极大,因此获取成本也不低。诈骗分子要么需要支付高价,要么需要通过非法手段(例如通过恶意软件或僵尸网络)来获取这些IP地址。
然而,近年来提供住宅代理服务的在线服务数量激增。此外,人们转售住宅IP地址也有经济利益驱动,这进一步增加了检测的难度。
您可以点击此处了解更多关于住宅代理检测的信息。
移动代理还会分配 IP 地址——具体来说,是属于移动数据网络运营商的 IP 地址。
一个显著的区别是,网络运营商不会为每个设备分配一个 IP 地址,而是经常根据可用性轮换或循环使用多个 IP 地址。
这意味着当网络负载较高时,多个不同的用户和设备将拥有相同的 IP 地址,这使得诈骗者更容易隐藏身份。
请记住,移动代理模拟的是移动设备;它们不一定需要在手机或平板电脑上使用。诈骗分子可以利用代理软件提供商,甚至是SIM卡农场,在不同的IP地址之间轮换。
虽然虚拟专用网络(VPN)严格来说并非代理,但它们的作用类似。主要区别在于,代理会重定向设备的所有流量,而VPN则在应用层工作。
然而,就像代理服务器一样,VPN 会隐藏 IP 地址,并将流量重定向到远程服务器,而不是用户的官方 ISP。VPN 可以是家庭服务器,也可以是数据中心服务器。
严格来说,Tor(洋葱路由器)并非代理,但它也能隐藏诈骗者的IP地址。然而,由于其出口节点是公开的,因此很容易被检测到。
检测 Tor IP 地址很容易,但仅凭这一点就断定你是在和诈骗分子打交道,这是不对的。
最好计算IP 欺诈评分,以确定是否应该阻止该行为,并将其与其他信息结合起来。
正如我们上面所看到的,有些代理服务器比其他代理服务器更受诈骗分子青睐。这很大程度上取决于它们是否容易被检测到。
以下是您可以使用的检测方法。
ping 测试是一种测量发送最小数据量所需最短时间的方法。
但是,使用代理服务器时,ping 测试不会返回结果。如果 ping 测试没有返回结果,则很可能表明您正在使用代理服务器。
确定用户是否依赖某种隧道协议的合理方法是创建延迟测试。
理论上,如果他们的网络连接速度比预期慢,他们很可能使用了代理服务器。这可以通过测量两个延迟并进行比较来验证:
浏览器到 Web 服务器的延迟:使用浏览器中的 JavaScript 进行测量
从外部 IP 地址到 Web 服务器的延迟:使用 TCP/IP 握手进行测量
代理服务器造成的地理延迟清楚地表明,您当前连接的并非直接连接。
WebRTC 支持用户之间直接进行点对点通信(例如语音或视频聊天)。但是,即使您设置了代理,该协议也并非总是通过代理进行通信。
例如,在谷歌浏览器中,WebRTC 仍然会使用您的原始 IP 地址。研究人员还发现,100 个 VPN 中有 19 个会通过 WebRTC 意外泄露原始 IP 地址。
这对于代理检测来说简直是宝库。只需一段简单的 HTML 代码,即可显示 WebRTC 看到的原始 IP 地址。
这是一种有趣的技巧,既可用于代理检测,也可用于设备指纹识别。其原理是将浏览器用户代理所声明的操作系统与通过 TCP/IP 检查获取的操作系统进行比较。
如果结果不一致,可能会得到两个强烈的信号:用户正在伪造用户代理,以及他们可能正在通过某种代理进行连接。
代理服务器通常会开放一些端口。如果你知道通常开放的是哪个端口,就可以推断出你正在与哪个代理服务器通信。
例如,一些服务商会转售被破解的SSH连接,这些连接始终开放22端口。其他一些常见的代理开放端口,例如3128或1080,也可能表明你的方向正确。
有时候,检查是否在使用代理服务器的最简单方法就是礼貌地询问。而这种询问实际上是为了确认IP地址是否在官方公布的IP地址范围内。
像 AWS 或 Digitalocean 这样的公司会公布他们的 IP 地址范围,这可能是了解你是否正在处理来自他们数据中心的连接的最简单方法。
不言而喻,手动检查每个 IP 地址非常耗时,而API 正好可以派上用场。
DNS泄漏被认为是一个严重的隐私和安全漏洞。简而言之,它允许互联网服务提供商(ISP)记录和追踪您使用的每一个网站和应用程序。
但就代理检测而言,这倒也算是一件好事。这意味着你可以检查该IP地址是否真的属于相应的ISP。
换句话说,如果 DNS 泄漏指向英国 ISP,但官方 IP 指向塞尔维亚,那么你可以肯定地推断你正在使用代理连接。
每个 HTTP 请求头都可能包含有关连接的宝贵信息。尤其是在我们进行的代理搜索案例中,这些信息以代理发出的额外请求的形式存在。
通过测量 HTTP 标头请求的数量,您可以查找可能指向代理使用的可疑模式。
黑名单或屏蔽列表并不总是识别代理的最可靠方法(例如,在 iGaming 领域,一些供应商使用共享黑名单来阻止竞争对手接受其最有价值的玩家,这是一个众所周知的秘密)。
不过,只要你能首先识别出不良代理 IP,这便是一种相当简单的防御措施。
这是另一种有趣的技术,它与我们所说的设备指纹识别技术有重叠之处。
通过比较 IP 时区和浏览器时区,您可以发现可能指向代理使用的不匹配项。
基于浏览器的端口扫描是一种颇具争议的方法,但它有一个关键优势:能够检测 Tor 的使用情况。
例如,我们知道 Tor 总是使用 9050 和 9150 端口,因此浏览器扫描可以让我们知道你正在与隐私爱好者(或潜在的诈骗者)打交道。