Qu'est-ce qu'une IP "bogon" ?

Un **bogon** est une adresse IP qui **ne devrait jamais apparaître** comme source sur l'internet public. Cela inclut : les plages **privées RFC1918** (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), **CGNAT** (100.64.0.0/10), **link-local** (169.254.0.0/16 pour v4, fe80::/10 pour v6), **loopback** (127.0.0.0/8, ::1), **multicast** (224.0.0.0/4, ff00::/8), plages de **documentation** (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 2001:db8::/32), et **réservé-pour-usage-futur** (240.0.0.0/4). Si une requête vers votre site public a une **IP source bogon**, votre réseau est mal configuré ou quelqu'un spoofe. Les bogons sont utiles à détecter : ils vous disent immédiatement que l'IP n'est pas routable sur internet, vous pouvez donc sauter les lookups Tor / géo / WHOIS pour elle.

Que veut dire CGNAT et pourquoi est-il flaggé séparément ?

**CGNAT** signifie **Carrier-Grade NAT** (RFC6598, plage **100.64.0.0/10**). Quand un FAI n'a pas assez d'IPv4 publiques pour en donner une à chaque client, il met **des centaines de clients derrière une seule IP publique partagée** via une deuxième couche de NAT. À l'intérieur du réseau opérateur, ces clients voient des adresses comme 100.64.x.x. CGNAT est très courant sur les **opérateurs mobiles** et les **FAI fibre dans les pays avec une offre IPv4 tendue** (Inde, Brésil, certaines régions d'Europe de l'Est). Pourquoi flaguer : une IP CGNAT **identifie le pool partagé d'un FAI, pas un seul utilisateur**. La bloquer peut verrouiller beaucoup d'innocents, et toute donnée géo pour elle est essentiellement "où le FAI a mis sa boîte NAT".

Comment détectez-vous un nœud de sortie Tor ?

Le projet Tor publie une **liste en vrac de tous les nœuds de sortie actuels** sur `https://check.torproject.org/torbulkexitlist`. On récupère cette liste **au plus une fois toutes les 24 heures**, on la met en cache en mémoire serveur, et on vérifie si l'IP que vous soumettez est dans le set. La vérification est **exact-match par IP** (pas par ASN), elle couvre donc aussi les sorties Tor tournant sur des connexions résidentielles. Un verdict "tor: oui" signifie que l'IP **a agi comme sortie Tor dans les dernières heures** (la liste se rafraîchit environ toutes les heures en amont). Si la réponse est non mais que l'IP vient d'un ASN d'hébergement, l'adresse pourrait quand même être un relais Tor ou un VPN privé.

Comment détectez-vous une IP datacenter / hébergement ?

On maintient une **liste curée d'environ 30 des plus gros ASN d'hébergement / cloud** (Cloudflare, AWS, GCP, Azure, Hetzner, OVH, DigitalOcean, Linode, Vultr, Alibaba Cloud, Tencent Cloud, etc.). Quand le lookup ASN Team Cymru renvoie un de ces ASN, on flague l'IP comme **datacenter**. C'est **délibérément une liste petite, à fort signal** : plutôt que de courir après 10 000 VPS providers de niche, on se concentre sur les réseaux qui représentent **la grande majorité du trafic automatisé**. Si une IP étrange s'avère être sur un ASN cloud majeur, vous pouvez généralement la traiter comme "bot" ou "non-humain" avec une grande confiance.

Quand devrais-je consulter une IP, en fait ?

Les déclencheurs courants : **(1)** un login ou un appel API depuis une IP inconnue apparaît dans vos logs et vous voulez du contexte avant d'alerter, **(2)** un système automatisé a rejeté un vrai client et vous voulez savoir ce qui a déclenché le filtre, **(3)** vous écrivez un **rapport d'abus** et avez besoin du nom de l'opérateur + pays pour l'envoyer au bon registre, **(4)** vous **enquêtez sur du spam, du scraping ou de l'abus de formulaire** et voulez savoir s'il faut bloquer une seule IP ou un sous-réseau entier, **(5)** vous avez migré l'infra et voulez vérifier que le nouvel ASN annonce votre IP, **(6)** un client dit "je n'arrive pas à atteindre votre site" et vous voulez voir s'il est derrière CGNAT ou Tor.

À quel point la géolocalisation est-elle précise ?

**Niveau pays** : généralement juste, environ **95 à 99 %** de précision sur les IP résidentielles. **Niveau ville** : souvent faux, **peut-être 60 à 80 %**. **Coordonnées** : typiquement un centroïde grossier de la ville, **pas l'emplacement réel de l'utilisateur**. Les bases géo sont construites à partir d'un mix de données WHOIS, de mappings publiés par les FAI, de triangulation par latence et de feedback client, et elles **ont des mois de retard sur la réalité** : une IP allouée à Paris en 2019 peut encore afficher "Paris" trois ans après que le FAI l'a déplacée. **Les VPN, Tor et opérateurs mobiles** flinguent totalement la précision géo. Traitez la géo comme un indice qui suggère une hypothèse, jamais comme une preuve à elle seule.

Pourquoi la colonne DNS inverse a parfois l'air de charabia ?

Le DNS inverse (**enregistrement PTR**) est posé par le propriétaire du bloc d'IP. **Certains propriétaires posent des noms parlants** (`dns.google`, `one.one.one.one`, `smtp.exemple.fr`). **Beaucoup posent des templates génériques** : `ec2-3-x-y-z.compute-1.amazonaws.com`, `server.hostingprovider.com`. Certains ne posent **rien** (le lookup ne renvoie aucun résultat). Certains posent des **valeurs trompeuses ou périmées** qui ne reflètent plus la réalité. Un hit DNS inverse est bien quand il existe et a l'air parlant, mais l'absence ne signifie pas qu'il y a quelque chose qui ne va pas : c'est juste une convention optionnelle.

IPv6 est-il supporté ?

**Oui, entièrement.** Le lookup ASN utilise le service **origin6.asn.cymru.com** de Team Cymru pour IPv6, le détecteur de bogon reconnaît **::1 (loopback), fc00::/7 (ULA), fe80::/10 (link-local), ff00::/8 (multicast) et 2001:db8::/32 (documentation)**, et le DNS inverse fonctionne pareil que pour v4. Les data sets géo et Tor couvrent aussi IPv6, avec un bémol : la **liste d'ASN datacenter** est la même pour v4 et v6, donc une IPv6 hébergée chez AWS est quand même flaguée datacenter.

Stockez-vous les IPs que je consulte ?

**Non.** Chaque consultation tourne de bout en bout **dans le cycle de vie de la requête**, frappe le DNS Team Cymru / ip-api / la liste Tor, renvoie le résultat à votre navigateur puis oublie l'entrée. Il n'y a **aucune base de données, aucun log d'IPs consultées, aucun tag d'analytics** sur la requête. Le seul état qu'on garde est le **compteur de rate-limit scopé au module** pour votre IP de requêteur (se remet à zéro toutes les heures) et le **cache de liste de sorties Tor** (une seule liste globale partagée, pas par utilisateur).

Lookup IP / ASN - gratuit

Consultation IP / ASN : qui possède cette adresse, où elle vit, quel type d'host c'est

Collez n'importe quelle adresse IPv4 ou IPv6 et en une seconde vous obtenez le dossier complet sur elle : quel opérateur réseau (ASN) l'annonce sur internet, quel pays et registre l'ont assignée, quel nom DNS inverse elle porte, dans quelle ville les bases géo la placent, et si c'est un bogon, privé, CGNAT, nœud de sortie Tor ou datacenter connu.

C'est ce que font les abuse desks, équipes sécurité et développeurs curieux quand une IP inconnue apparaît dans leurs logs. Pas besoin d'installer whois, de taper des requêtes ARIN à la main, ou de faire confiance à un seul prestataire géo commercial : l'outil combine le service ASN de Team Cymru, le résolveur DNS inverse de l'OS, la liste publique des sorties Tor et une liste curée d'ASN cloud / hébergement pour vous donner un verdict clair multi-signal.

Utilisez-le dès qu'une IP étrange apparaît dans vos logs serveur, qu'une IP de spam de commentaire a besoin de contexte, qu'un client se plaint "je suis bloqué", ou que vous voulez simplement savoir si une IP donnée est une connexion résidentielle normale ou une instance AWS EC2.

Mode d'emploi

Collez une adresse IP sous n'importe quelle forme : IPv4 comme `8.8.8.8`, IPv6 comme `2606:4700:4700::1111`. Le champ valide à la soumission, pas de `http://`, pas de port, juste l'adresse.
Cliquez sur Consulter. L'outil lance toutes les vérifications en parallèle : lookup ASN via le DNS Team Cymru, DNS inverse via le résolveur OS, géo via une API publique, vérifs bogon / CGNAT / multicast via matching de bitmask local, et vérif sortie Tor contre une liste quotidienne en cache.
Utilisez les pastilles d'IP d'exemple pour essayer des cas tests courants instantanément : `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privé), `100.64.0.1` (CGNAT).
Lisez les badges de drapeau en haut : famille (v4 / v6), public vs bogon, datacenter, Tor. Les badges rouges signifient "ne traitez pas ça comme une IP client normale".
Carte identité : montre l'IP, la famille et le DNS inverse (PTR). Un inverse comme `dns.google` est un fort indice que l'IP appartient à cette organisation.
Carte ASN : numéro d'ASN, nom de registre (ARIN, RIPE, APNIC...), préfixe alloué et propriétaire du réseau (CLOUDFLARENET, AMAZON-02, GOOGLE).
Carte géo : pays, région, ville, coordonnées, fuseau horaire, FAI et organisation. Traitez les données ville comme un indice, pas un fait, surtout pour les réseaux mobiles et sorties VPN.
Carte flag : verdicts explicites pour bogon / Tor / datacenter, plus l'âge du cache de la liste Tor pour que vous sachiez à quel point la réponse est fraîche.

Quand cet outil est utile

Six situations concrètes où cet outil remplace "je vais juste googler l'IP" :

Triage de trafic suspect dans les logs serveur. Une connexion depuis `45.61.x.x` a l'air bizarre. Vous la collez : l'ASN est un hébergeur connu, le DNS inverse est un hostname VPS générique, et l'outil flague datacenter. Ce seul hit suffit pour resserrer vos limites de débit ou déclencher la MFA.
Détection de sortie Tor pour les politiques fraud / abuse. Quelqu'un a abusé de votre tier gratuit depuis `185.220.x.x`. Vous collez l'IP, l'outil retourne tor: oui avec une liste Tor rafraîchie dans les dernières 24h. Vous ajoutez une politique "bloquer les inscriptions depuis sorties Tor, autoriser le login via elles" et c'est fini.
Le client se plaint qu'il ne peut pas vous joindre. Il envoie son IP. Vous voyez CGNAT, ASN c'est un opérateur mobile, pays correspond à ce qu'il dit. Son problème est probablement sur son NAT (plage de ports), pas sur votre service.
Enquête sur spam de commentaires / abus de formulaire. L'IP ressort comme datacenter (DigitalOcean) à São Paulo, le DNS inverse est un nom de droplet générique. Ça vous dit de bloquer le sous-réseau entier à la périphérie front au lieu de jouer à la taupe.
Vérifier une "IP privée" avant de la signaler. Vous voyez `100.64.5.10` dans un rapport de bug. L'outil flague CGNAT (pas une vraie IP publique) et vous demandez à l'utilisateur de partager son IP publique depuis un autre site.
Vérification sanity d'un changement réseau. Vous avez changé l'opérateur upstream sur un serveur. Après la bascule vous collez l'IP de votre serveur dans l'outil. L'ASN devrait maintenant être le nouveau prestataire. S'il affiche encore l'ancien ASN vous savez que l'annonce de route n'a pas fini de propager.

Questions fréquentes

ASN signifie Autonomous System Number. Internet n'est pas un seul gros réseau : c'est environ 100 000 réseaux séparés (FAI, hébergeurs, grandes entreprises, universités) qui opèrent chacun indépendamment. Chacun a un numéro, par exemple AS15169 c'est Google, AS16509 c'est Amazon AWS, AS13335 c'est Cloudflare. Chaque IP de l'internet public est annoncée par un de ces ASN. L'ASN vous dit "cette IP appartient au réseau X", ce qui est bien plus fiable que la géo niveau pays quand vous voulez savoir "qui contrôle cette adresse". Par exemple, si l'ASN est un FAI grand public connu, l'IP est presque certainement un utilisateur résidentiel ; si l'ASN est AWS, c'est presque certainement un serveur.

Consultation IP / ASN : qui possède cette adresse, où elle vit, quel type d'host c'est

Mode d'emploi

Collez une adresse IP sous n'importe quelle forme : IPv4 comme `8.8.8.8`, IPv6 comme `2606:4700:4700::1111`. Le champ valide à la soumission, pas de `http://`, pas de port, juste l'adresse.

Cliquez sur Consulter. L'outil lance toutes les vérifications en parallèle : lookup ASN via le DNS Team Cymru, DNS inverse via le résolveur OS, géo via une API publique, vérifs bogon / CGNAT / multicast via matching de bitmask local, et vérif sortie Tor contre une liste quotidienne en cache.

Utilisez les pastilles d'IP d'exemple pour essayer des cas tests courants instantanément : `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privé), `100.64.0.1` (CGNAT).

Lisez les badges de drapeau en haut : famille (v4 / v6), public vs bogon, datacenter, Tor. Les badges rouges signifient "ne traitez pas ça comme une IP client normale".

Carte identité : montre l'IP, la famille et le DNS inverse (PTR). Un inverse comme `dns.google` est un fort indice que l'IP appartient à cette organisation.

Carte ASN : numéro d'ASN, nom de registre (ARIN, RIPE, APNIC...), préfixe alloué et propriétaire du réseau (CLOUDFLARENET, AMAZON-02, GOOGLE).

Carte géo : pays, région, ville, coordonnées, fuseau horaire, FAI et organisation. Traitez les données ville comme un indice, pas un fait, surtout pour les réseaux mobiles et sorties VPN.

Carte flag : verdicts explicites pour bogon / Tor / datacenter, plus l'âge du cache de la liste Tor pour que vous sachiez à quel point la réponse est fraîche.

Quand cet outil est utile

Six situations concrètes où cet outil remplace "je vais juste googler l'IP" :

Triage de trafic suspect dans les logs serveur. Une connexion depuis `45.61.x.x` a l'air bizarre. Vous la collez : l'ASN est un hébergeur connu, le DNS inverse est un hostname VPS générique, et l'outil flague datacenter. Ce seul hit suffit pour resserrer vos limites de débit ou déclencher la MFA.
Détection de sortie Tor pour les politiques fraud / abuse. Quelqu'un a abusé de votre tier gratuit depuis `185.220.x.x`. Vous collez l'IP, l'outil retourne tor: oui avec une liste Tor rafraîchie dans les dernières 24h. Vous ajoutez une politique "bloquer les inscriptions depuis sorties Tor, autoriser le login via elles" et c'est fini.
Le client se plaint qu'il ne peut pas vous joindre. Il envoie son IP. Vous voyez CGNAT, ASN c'est un opérateur mobile, pays correspond à ce qu'il dit. Son problème est probablement sur son NAT (plage de ports), pas sur votre service.
Enquête sur spam de commentaires / abus de formulaire. L'IP ressort comme datacenter (DigitalOcean) à São Paulo, le DNS inverse est un nom de droplet générique. Ça vous dit de bloquer le sous-réseau entier à la périphérie front au lieu de jouer à la taupe.
Vérifier une "IP privée" avant de la signaler. Vous voyez `100.64.5.10` dans un rapport de bug. L'outil flague CGNAT (pas une vraie IP publique) et vous demandez à l'utilisateur de partager son IP publique depuis un autre site.
Vérification sanity d'un changement réseau. Vous avez changé l'opérateur upstream sur un serveur. Après la bascule vous collez l'IP de votre serveur dans l'outil. L'ASN devrait maintenant être le nouveau prestataire. S'il affiche encore l'ancien ASN vous savez que l'annonce de route n'a pas fini de propager.

Questions fréquentes

Lookup IP / ASN

Consultation IP / ASN : qui possède cette adresse, où elle vit, quel type d'host c'est

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Mon IP

Lookup DNS

Lookup WHOIS

Lookup DNS inverse (PTR)

Calculateur CIDR / sous-réseau

Lookup IP / ASN

Consultation IP / ASN : qui possède cette adresse, où elle vit, quel type d'host c'est

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Mon IP

Lookup DNS

Lookup WHOIS

Lookup DNS inverse (PTR)

Calculateur CIDR / sous-réseau