**Bogon** to adres IP, który **nigdy nie powinien pojawić się** jako źródło w publicznym internecie. Obejmuje: **prywatne RFC1918** (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), **CGNAT** (100.64.0.0/10), **link-local** (169.254.0.0/16 dla v4, fe80::/10 dla v6), **loopback** (127.0.0.0/8, ::1), **multicast** (224.0.0.0/4, ff00::/8), **adresy do dokumentacji** (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 2001:db8::/32) i **zarezerwowane na przyszłość** (240.0.0.0/4). Jeśli request do Twojej publicznej strony ma **bogonowe IP źródłowe**, sieć jest źle skonfigurowana albo ktoś je spoofuje. Wykrywanie bogonów jest szybkie i mówi od razu, że IP nie jest routowalne, więc można pominąć dla niego Tor / geo / WHOIS.

Co znaczy CGNAT i dlaczego jest osobno flagowany?

**CGNAT** to **Carrier-Grade NAT** (RFC6598, zakres **100.64.0.0/10**). Gdy operator nie ma dość publicznych IPv4 żeby dać każdemu klientowi własny, **ukrywa setki klientów za jednym wspólnym IP** dzięki drugiej warstwie NAT. Wewnątrz sieci operatora klienci widzą adresy 100.64.x.x. CGNAT jest standardem u **operatorów mobilnych** i **ISP z ciasnym rynkiem IPv4** (Indie, Brazylia, część Europy Wschodniej). Po co flaga: adres CGNAT **identyfikuje wspólną pulę operatora, nie pojedynczego użytkownika**. Blokada wyklucza wielu niewinnych, a geo dla niego to "gdzie operator postawił NAT-a".

Jak wykrywacie węzeł wyjściowy Tor?

Projekt Tor publikuje **listę wszystkich aktualnych exit node'ów** pod `https://check.torproject.org/torbulkexitlist`. Pobieramy ją **maksymalnie raz na 24 godziny**, cache'ujemy w pamięci serwera i sprawdzamy, czy podane IP jest w zbiorze. To **dopasowanie po IP** (nie po ASN), więc obejmuje też Tor exity na łączach domowych. "tor: tak" znaczy, że IP **działało jako exit Tora w ciągu ostatnich godzin** (lista u źródła odświeża się mniej więcej co godzinę). Jeśli nie, ale IP pochodzi z ASN hostingowego, może to być relay Tora albo prywatny VPN.

Jak wykrywacie datacenter / hosting?

Trzymamy **wyselekcjonowaną listę około 30 największych ASN hostingowych / chmurowych** (Cloudflare, AWS, GCP, Azure, Hetzner, OVH, DigitalOcean, Linode, Vultr, Alibaba Cloud, Tencent Cloud i inne). Gdy lookup ASN przez Team Cymru zwraca jeden z tych numerów, flagujemy IP jako **datacenter**. To **świadomie krótka, mocna lista**: zamiast gonić 10 000 niszowych VPS-ów, skupiamy się na sieciach odpowiedzialnych za **zdecydowaną większość zautomatyzowanego ruchu**. Jeśli dziwne IP siedzi na dużym ASN chmurowym, możesz z dużym prawdopodobieństwem uznać je za "bot" / "nie-człowiek".

Kiedy w ogóle sprawdzać IP?

Typowe wyzwalacze: **(1)** logowanie lub call API z nieznanego IP w logach i chcesz kontekstu przed alarmem, **(2)** automat odrzucił realnego klienta i chcesz wiedzieć, co go skreśliło, **(3)** piszesz **abuse report** i potrzebujesz nazwy operatora + kraju, żeby wysłać go do właściwego rejestru, **(4)** **analizujesz spam, scraping lub nadużycia formularzy** i chcesz wiedzieć, czy blokować pojedyncze IP czy całą podsieć, **(5)** migrowałeś infrastrukturę i chcesz potwierdzić, że nowy ASN ogłasza Twoje IP, **(6)** klient mówi "nie mogę otworzyć Waszej strony" i chcesz sprawdzić, czy nie siedzi za CGNAT albo Torem.

Jak dokładne są dane geo?

**Na poziomie kraju**: zwykle trafia, **około 95 do 99 procent** dla IP domowych. **Na poziomie miasta**: często myli, **może 60 do 80 procent**. **Współrzędne**: zwykle centroid miasta, **nie realna lokalizacja użytkownika**. Bazy geo budowane są z mieszanki WHOIS, mapowań od ISP, triangulacji opóźnień i zgłoszeń klientów, i są **opóźnione o miesiące względem rzeczywistości**: IP przydzielone do Berlina w 2019 może nadal pokazywać "Berlin" trzy lata po przeniesieniu. **VPN, Tor i sieci komórkowe** rozwalają dokładność geo całkowicie. Traktuj geo jak hipotezę, nigdy jak dowód.

Dlaczego kolumna reverse DNS bywa bełkotem?

Reverse DNS (**rekord PTR**) ustawia właściciel bloku IP. **Niektórzy ustawiają sensowne nazwy** (`dns.google`, `one.one.one.one`, `smtp.example.com`). **Wielu** stosuje generyczne szablony: `ec2-3-x-y-z.compute-1.amazonaws.com`, `server.hostingprovider.com`. Niektórzy **nie ustawiają nic** (lookup zwraca pustkę). Niektórzy ustawiają **mylące lub przeterminowane wartości**, które dawno nie odpowiadają rzeczywistości. Trafienie reverse DNS jest świetne, gdy istnieje i wygląda sensownie, ale jego brak nic złego nie znaczy. To opcjonalna konwencja.

Czy IPv6 jest obsługiwany?

**Tak, w pełni.** Lookup ASN używa usługi **origin6.asn.cymru.com** dla IPv6, detektor bogonów rozpoznaje **::1 (loopback), fc00::/7 (ULA), fe80::/10 (link-local), ff00::/8 (multicast) i 2001:db8::/32 (dokumentacja)**, a reverse DNS działa tak samo jak dla v4. Zbiory geo i Tor obejmują też IPv6, z jednym zastrzeżeniem: **lista ASN-ów datacenter** jest wspólna dla v4 i v6, więc IPv6 hostowane na AWS dalej dostanie flagę datacenter.

Czy zapisujecie sprawdzane IP?

**Nie.** Każdy lookup leci od końca do końca **w cyklu requestu**, uderza w Team Cymru DNS / ip-api / listę Tora, zwraca wynik do przeglądarki i zapomina input. Nie ma **bazy, logu sprawdzanych IP ani znacznika analitycznego** na requeście. Jedyny stan, który trzymamy, to **licznik rate-limit per IP** (reset co godzinę) i **cache listy Tor exit** (jedna globalna lista, nie per user).

Sprawdzanie IP / ASN - darmowy

Sprawdzanie IP / ASN: kto jest właścicielem adresu, gdzie się znajduje, jakiego typu to host

Wklejasz dowolny adres IPv4 lub IPv6 i w sekundę dostajesz pełne dossier: który operator (ASN) ogłasza go internetowi, w jakim kraju i rejestrze został przydzielony, jaki ma reverse DNS, w jakim mieście umieszczają go bazy geo, oraz czy to bogon, adres prywatny, CGNAT, węzeł wyjściowy Tor lub znany datacenter.

Dokładnie to robią zespoły bezpieczeństwa, działy abuse i ciekawscy developerzy, gdy w logach pojawia się nieznane IP. Nie musisz instalować whois, ręcznie odpytywać ARIN, ani wierzyć jednej komercyjnej bazie geo: tool łączy usługę ASN Team Cymru, systemowy resolver DNS, publiczną listę wyjść Tor i wyselekcjonowaną listę ASN-ów chmurowych / hostingowych, dając Ci jasny, wielosygnałowy werdykt.

Używaj go, gdy w logach pojawia się dziwne IP, komentarz spamowy potrzebuje kontekstu, klient pisze "blokujecie mnie", albo po prostu chcesz wiedzieć, czy dane IP to zwykłe łącze domowe, czy instancja AWS EC2.

Jak używać

Wklej adres IP w dowolnej formie: IPv4 typu `8.8.8.8`, IPv6 typu `2606:4700:4700::1111`. Pole waliduje przy wysyłce, bez `http://`, bez portu, sam adres.
Kliknij Sprawdź. Tool odpala wszystkie kontrole równolegle: ASN przez DNS Team Cymru, reverse DNS przez resolver systemowy, geo przez publiczne API, bogon / CGNAT / multicast przez lokalne maski bitowe, i Tor exit przez cache'owaną listę.
Użyj przykładowych adresów IP żeby sprawdzić typowe przypadki jednym kliknięciem: `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (prywatne RFC1918), `100.64.0.1` (CGNAT).
Przeczytaj plakietki na górze: rodzina (v4 / v6), publiczne vs bogon, datacenter, Tor. Czerwone oznaczają "nie traktuj tego jako zwykłego klienta".
Karta tożsamości: IP, rodzina, reverse DNS (PTR). Reverse typu `dns.google` to mocna wskazówka, że IP należy do tej organizacji.
Karta ASN: numer ASN, nazwa rejestru (ARIN, RIPE, APNIC...), przydzielony prefiks i nazwa sieci (CLOUDFLARENET, AMAZON-02, GOOGLE).
Karta geo: kraj, region, miasto, współrzędne, strefa czasowa, ISP i organizacja. Dane na poziomie miasta traktuj jak podpowiedź, nie fakt, zwłaszcza dla sieci komórkowych i wyjść VPN.
Karta flag: jednoznaczne werdykty bogon / Tor / datacenter, plus wiek cache listy Tor, żebyś wiedział jak świeża jest odpowiedź.

Kiedy się przydaje

Sześć konkretnych sytuacji, w których ten tool zastępuje "wyguglam to IP":

Triage podejrzanego ruchu w logach. Logowanie z `45.61.x.x` wygląda dziwnie. Wklejasz: ASN to znany hosting, reverse DNS to generyczny VPS, tool flaguje datacenter. To wystarczy żeby zaostrzyć rate limit albo wymusić MFA.
Wykrywanie Tor exit dla polityk fraud / abuse. Ktoś nadużył free tier z `185.220.x.x`. Wklejasz IP, tool zwraca tor: tak z listą odświeżoną w ciągu ostatnich 24h. Dodajesz politykę "blokuj rejestracje z Tor, pozwól się logować" i gotowe.
Klient nie może się połączyć. Wysyła swoje IP. Widzisz CGNAT, ASN to operator mobilny, kraj się zgadza. Problem jest prawdopodobnie po stronie jego NAT (zakres portów), nie Twojego serwisu.
Analiza spamu w komentarzach / formularzach. IP pokazuje się jako datacenter (DigitalOcean) w São Paulo, reverse DNS to generyczna nazwa droplet. Wniosek: zablokuj cały podsieć na froncie zamiast bawić się w pojedyncze IP.
Sprawdzenie "prywatnego IP" przed reportem. W bug reporcie widzisz `100.64.5.10`. Tool flaguje to jako CGNAT (nie jest to publiczne IP) i prosisz użytkownika o adres z innej strony.
Weryfikacja zmiany sieciowej. Zmieniłeś dostawcę uplinku dla serwera. Po cutoverze wklejasz IP serwera. ASN powinien być teraz nowego dostawcy. Jeśli nadal stary, propagacja BGP jeszcze się nie zakończyła.

Pytania i odpowiedzi

ASN to Autonomous System Number. Internet to nie jedna wielka sieć, tylko około 100 000 osobnych sieci (ISP, hostingi, duże firmy, uczelnie), które działają niezależnie. Każda ma swój numer, np. AS15169 to Google, AS16509 to Amazon AWS, AS13335 to Cloudflare. Każdy publiczny IP jest ogłaszany przez jeden z tych ASN-ów. ASN mówi "to IP należy do sieci X", co jest dużo bardziej wiarygodne niż geo na poziomie kraju, gdy chcesz wiedzieć "kto kontroluje ten adres". Jeśli ASN to znany konsumencki ISP, to prawie na pewno użytkownik domowy. Jeśli ASN to AWS, to prawie na pewno serwer.

Sprawdzanie IP / ASN: kto jest właścicielem adresu, gdzie się znajduje, jakiego typu to host

Jak używać

Wklej adres IP w dowolnej formie: IPv4 typu `8.8.8.8`, IPv6 typu `2606:4700:4700::1111`. Pole waliduje przy wysyłce, bez `http://`, bez portu, sam adres.

Kliknij Sprawdź. Tool odpala wszystkie kontrole równolegle: ASN przez DNS Team Cymru, reverse DNS przez resolver systemowy, geo przez publiczne API, bogon / CGNAT / multicast przez lokalne maski bitowe, i Tor exit przez cache'owaną listę.

Użyj przykładowych adresów IP żeby sprawdzić typowe przypadki jednym kliknięciem: `8.8.8.8` (Google DNS, datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (prywatne RFC1918), `100.64.0.1` (CGNAT).

Przeczytaj plakietki na górze: rodzina (v4 / v6), publiczne vs bogon, datacenter, Tor. Czerwone oznaczają "nie traktuj tego jako zwykłego klienta".

Karta tożsamości: IP, rodzina, reverse DNS (PTR). Reverse typu `dns.google` to mocna wskazówka, że IP należy do tej organizacji.

Karta ASN: numer ASN, nazwa rejestru (ARIN, RIPE, APNIC...), przydzielony prefiks i nazwa sieci (CLOUDFLARENET, AMAZON-02, GOOGLE).

Karta geo: kraj, region, miasto, współrzędne, strefa czasowa, ISP i organizacja. Dane na poziomie miasta traktuj jak podpowiedź, nie fakt, zwłaszcza dla sieci komórkowych i wyjść VPN.

Karta flag: jednoznaczne werdykty bogon / Tor / datacenter, plus wiek cache listy Tor, żebyś wiedział jak świeża jest odpowiedź.

Kiedy się przydaje

Sześć konkretnych sytuacji, w których ten tool zastępuje "wyguglam to IP":

Triage podejrzanego ruchu w logach. Logowanie z `45.61.x.x` wygląda dziwnie. Wklejasz: ASN to znany hosting, reverse DNS to generyczny VPS, tool flaguje datacenter. To wystarczy żeby zaostrzyć rate limit albo wymusić MFA.
Wykrywanie Tor exit dla polityk fraud / abuse. Ktoś nadużył free tier z `185.220.x.x`. Wklejasz IP, tool zwraca tor: tak z listą odświeżoną w ciągu ostatnich 24h. Dodajesz politykę "blokuj rejestracje z Tor, pozwól się logować" i gotowe.
Klient nie może się połączyć. Wysyła swoje IP. Widzisz CGNAT, ASN to operator mobilny, kraj się zgadza. Problem jest prawdopodobnie po stronie jego NAT (zakres portów), nie Twojego serwisu.
Analiza spamu w komentarzach / formularzach. IP pokazuje się jako datacenter (DigitalOcean) w São Paulo, reverse DNS to generyczna nazwa droplet. Wniosek: zablokuj cały podsieć na froncie zamiast bawić się w pojedyncze IP.
Sprawdzenie "prywatnego IP" przed reportem. W bug reporcie widzisz `100.64.5.10`. Tool flaguje to jako CGNAT (nie jest to publiczne IP) i prosisz użytkownika o adres z innej strony.
Weryfikacja zmiany sieciowej. Zmieniłeś dostawcę uplinku dla serwera. Po cutoverze wklejasz IP serwera. ASN powinien być teraz nowego dostawcy. Jeśli nadal stary, propagacja BGP jeszcze się nie zakończyła.

Pytania i odpowiedzi

Sprawdzanie IP / ASN

Sprawdzanie IP / ASN: kto jest właścicielem adresu, gdzie się znajduje, jakiego typu to host

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Jakie jest moje IP

Sprawdzanie DNS

WHOIS Lookup

Reverse DNS (PTR) Lookup

Kalkulator CIDR / podsieci

Sprawdzanie IP / ASN

Sprawdzanie IP / ASN: kto jest właścicielem adresu, gdzie się znajduje, jakiego typu to host

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Jakie jest moje IP

Sprawdzanie DNS

WHOIS Lookup

Reverse DNS (PTR) Lookup

Kalkulator CIDR / podsieci