IP 定位技术介绍
IP 定位技术介绍
1. 概述
IP 地址的层级分配使 IP 地址与地域位置间存在一定的映射关系。IP 定位(IP Geolocation)就是通过目标设备的 IP 地址来确定其地理位置的技术。地理位置是一项重要的实体空间信息,通过 IP 定位技术能够把网络空间和实体空间标识联系起来。
针对不同的系统实现, IP 定位技术可分为独立于客户端的定位技术(client-independent)和依赖于客户端的定位技术(client-dependent or client-assisted)。依赖于客户端的定位技术主要依赖移动设备携带的辅助定位模块(如 GPS,WiFi,基站信息等)实现,定位精度依赖于具体的待测量设备。而大部分网络设备缺少这些模块支持,因此需要独立于客户端的定位技术。本文主要介绍独立于客户端的 IP 定位技术。
2. 独立于客户端的 IP 定位技术
独立于客户端的 IP 定位技术,即目标定位节点无任何辅助定位模块支持,通过网络测量等方式,实现对目标节点的位置定位。独立于客户端的 IP 定位技术可分为基于信息查询/挖掘和基于测量两种方式。
基于信息查询/挖掘的方法通过收集网络中公开数据推断 IP 地址的地理位置。
基于测量的方法认为网络时延与地理距离之间存在一定的关系,通过收集地标,部署测量点获得时延,拓扑数据进行地理位置推断。
可混合使用两种方式获得更高的精确度。例如先通过信息查询挖掘的方式收集地标数据,再进一步测量时延计算位置。
2.1. 基于信息查询/挖掘的方法
Whois-based. whois(RFC 3912)是用来查询域名& IP 所有者信息的传输协议。每个域名/ IP 的 whois 信息由对应的管理机构保存。通过 whois 能够查询到 IP 地址的注册信息,可用于辅助 IP 定位结果参考。由于 IP 地址注册与实际使用地存在差异,whois 数据实时性等问题,仅依赖 whois 数据难以得到更为准确的定位结果。
Hostname-based. 主机名称中可能会包含相应的地理位置信息。Padmanabhan 等提出的 GeoTrack 采用了这种方法。通过向目标 IP 地址发起 traceroute,解析路由路径中 IP 对应的 PTR 记录,提取主机名中的地理位置信息。这种方法的局限在于,路径中可能只有部分 IP 包含该记录,且记录中可能不含地理位置字段。此外, GeoTrack 用最后一跳 IP 地址近似替代待测目标 IP 地理位置误差较大。
Web-based. Guo 等人提出了 Structon 模型, 从大量网络服务器托管的网站内容中提取出与该服务器 IP 关联的地理位置信息。作者认为,网页内容中可能存在与该服务器相关的地理信息,使用正则表达式在网站的网页中提取并聚合城市、国家、邮编、电话区号等字段, 生成地理信息向量。Structon 提供了一个利用大量公开信息作为地标提高定位精确度的思路。
BGP-based. Padmanabhan 等提出的 GeoCluster 使用 BGP 路由表中的 IP 地址前缀,把地址汇聚(或拆分)成群,同一个段内的 IP 地理位置应相同。之后,通过已有 ground truth 推断整个 IP 段的地理位置信息。这种方法非常依赖用户 ground truth 输入。
2.2. 基于测量的方法
GeoPing. Padmanabhan 等提出了 GeoPing, 为后续的研究工作提供了启发。GeoPing 假设具有相同延迟向量的两个 IP 在地理位置上也相近。GeoPing 使用一组探测主机向目标 IP 发送探测报文构造时延向量,计算与地标节点的时延相似度,将目标 IP 定位到向量距离最近的地标节点位置(如下图所示, 与
相似度最高,可以将
的坐标近似为
的位置)。
CBG. Gueye 等提出了基于约束的地理定位方法(Constraint based Geolocation, CBG)。CBG 假设时延与地理位置间存在一种线性关系,可以根据实际网络情况对极限传播速度进行调整。在确定待测主机的位置时,采用模糊三角定位的思想,将目标 IP 约束在以探测点为圆心、以地理距离为半径的相交区域内(如下图)。
CBG 的定位准确度在很大程度上依赖于地标测量点的选择。CBG 使用最优值(bestline)的限制来弥补网络中路由的绕路和膨胀问题。被探测节点离探测点越近时,定位的准确度越高。之后的很多算法都是在 CBG 思想的基础上做进一步的限制和优化。
TBG. Katz-Bassett 等发现基准节点与待定位节点的距离对定位精度有较大影响,提出了基于拓扑结构的地理定位系统(Topology based Geolocation,TBG)。TBG 认为要定位目标 IP 的位置, 应将路径中所有的中间路由节点考虑在内, 通过引入路由拓扑来进一步约束目标 IP 的地理位置。TBG 通过约束待测节点与基准节点的时延,计算使得链路总时延误差 最小的坐标集合。 这种方法同样受到基准点数目的影响。
2.3. 综合定位方法
Octant. Octant 综合了时延,拓扑测量和主机名推测来对目标主机进行定位。它引入了正负两类约束条件用于缩小预测区域从而提高定位精度。正约束条件指通过主动测量来获得待测节点可能位于的区域,负约束条件则是不可能情况。Octant 具体可分为如下3 个步骤:
① 测量基准节点到目标节点往返时延;
② 归纳强约束条件和弱约束条件,并进行排序;
③ 使用强约束条件迭代,用弱约束条件进行验证。
SLG. Wang 等发现网络绝对时延不能精确地对主机进行定位,只能提供较粗粒度的位置信息。他们利用网站信息构造地标,提出了一种精确到街道级的三层定位框架(Street-Level Geolocation, SLG)。
SLG 算法分为三个层级:
① 使用网络时延确定待测节点粗粒度的地理位置,采用 CBG 的改进算法;
② 基于网站基准节点将 IP 定位到一个较小的范围内,由测量点分别向基准节点和待测节点发起 traceroute,寻找路径中的最近共同路由器(如下图,
,
均为公共路由器)来预测待测节点与基准节点间的时延,进而缩小待测主机的位置范围。不同的路由器到达待测主机的路径可能不同,SLG 选择最小的时延计算两者之间的距离(如下图,
+
<
+
,故取
③ 基于二层的位置范围,重复步骤二,进一步缩小限定范围,选择满足条件的基准节点,确定最近基准节点,获得准确的位置。
3. IP 定位库产品
本节列举国内外若干 IP 定位服务提供厂商。国外主要有 MAXMIND,IP2LOCATION;国内有 IPIP.net,埃文科技,IPMarker 等。
3.1. MAXMIND
MaxMind 公司成立于2002年,是领先业界的 IP 智能与在线欺诈检测工具供应商。MaxMind 推出 GeoIP,提供 IP 智能服务。目前全球有超过 5,000 家公司正在使用 GeoIP 的数据对其网站访客进行定位,显示相关内容和广告、进行数据分析、执行数字版权、对网络流量高效管理。
3.2. IP2LOCATION
IP2Location 是一款来自美国的定位产品。它的数据集包括国家,地区,城市,经度和纬度、邮政编码、时区、连接速度,ISP,域名、IDD 国家代码,区号,移动运营商,海拔高度和使用类型信息等。此外,IP2Location 声称它的 IP 定位准确度在国家和互联网服务提供商级别上达到了95%。
3.3. IPIP.net
IPIP.net 是基于各电信运营商以及网络服务的 BGP/ASN 数据而分析处理而得来的 IP 库,由国内高春辉创办。它使用全球超过 300 个自有网络监测点进行辅助测量,每日处理数据量超过20 GB,数据能够保证24小时实时更新,在国内数据的测量结果上有非常高的准确度。
3.4. 埃文科技
埃文科技 专注于网络设备与地理空间位置映射系统的产品研发,提供全面的网络空间地图测绘技术,自主研发的多款产品融合在一个统一的安全分析平台上为网络空间安全进行服务。公司下的 IP 问问利用大数据挖掘、大规模网络探测技术,对 IP 地址的基础信息和网络路径数据进行采集、处理,综合 IP 应用场景与网络情况等因素,通过算法综合分析,完成高精准 IP 地理位置定位。
3.5. IPMarker
IPMarker 是国家互联网应急中心研发的全球高精度 IP 定位产品。通过在全球互联网关键节点部署网络探针,收集海量测量数据并综合分析互联网大数据,采用分层递进定位的思想实现高精度 IP 定位和多属性挖掘,形成国内权威的 IP 知识库,最高定位精度可达 2km 以下,达到国内领先国际先进水平。通过分析全国 IP 备案数据和大规模网络测量保证定位结果有数据支撑,国家级定位准确度100%,国内省市定位准确度 99.9%。
4. 应用场景
4.1. 网络空间测绘
网络空间是动态的、虚拟的,是一个难以看见、触摸和感觉到的领域。绘制一个能够实时、动态、真实反应网络空间变化,并将其与地理空间统一融合的地图,对网络安全、网络监管有重要作用。要相应解决待测量目标位置,周边环境,目标活动覆盖范围,移动情况,如何到达目标处等问题,都需要 IP 定位技术为基础。IP 定位库是必要的基础公共库。
4.2. 定向内容推送
网络服务提供商根据用户 IP 地址,推送与其地区相关的内容。 如向用户推送所在地的新闻,广告,服务等。IP 定位技术使服务提供商推送内容更加贴合互联网用户的真实需求。此外,能够灵活定向跟踪,定位互联网用户在某个商圈、住宅或者写字楼、从而根据正确的位置数据提升推送服务的质量,提升服务效率。
4.3. 反诈骗风控
通过分析 IP 地址的应用场景,过滤机器/爬虫流量。在登陆、交易、支付等多个环节结合多重验证等技术,有效控制羊毛党,减少欺诈行为。
在敏感操作中,通过对用户的登录/交易所使用的 IP 地址做应用场景分析,识别有风险的用户。
4.4. 位置大数据分析
结合 IP 位置、应用场景、辅助信息等多个纬度的数据,为大数据、云计算、物联网等多个行业提供 IP 位置信息。
通过分析固定网络设备(OTT、PC等)位置,能够获得设备轨迹信息;还可以通过 IP 定位调整网络结构,优化设备部署,降低网络时延和资源开销,提供更优的通信性能。
参考文献
[1] Z.F. Wang, J. Feng, C.Y. Xing, G.M. Zhang, and B. Xu, “Research on the IP Geolocation Technology,” in Journal of Software, 2014, 25(7): 1527-1540.
[2] Z.H. Wang, W.D. Zhang, H. Wen, H.S. Zhu, L.B. YIN, L.M. Sun, “A Comprehensive Survey of IP Geolocation and Evasion,” in Journal of Cyber Security, 2019.
[3] V. N. Padmanabhan and L. Subramanian. An investigation of geographic mapping techniques for internet hosts. In Proceedings of the 2001 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, SIGCOMM’ 01, pages 173–185. ACM.
[4] C. Guo, Y. Liu, W. Shen, H. J. Wang, Q. Yu, and Y. Zhang, “Mining the web and the Internet for accurate IP address geolocations,” in Proc. of IEEE Conference on Computer Communications (INFOCOM’ 09), pp. 2841–2845, 2009.
[5] B. Gueye, A. Ziviani, M. Crovella, and S. Fdida, “Constraint-based geolocation of Internet hosts,” in IEEE/ACM Transactions On Networking (TON’ 06), vol. 14, no. 6, pp. 1219–1232, 2006.
[6] E. Katz-Bassett, J. P. John, A. Krishnamurthy, D. Wetherall, T. Ander-son, and Y. Chawathe, “Towards IP geolocation using delay and topology measurements,” in Proc. of the 6th ACM SIGCOMM conference on Internet measurement (IMC’ 06), pp. 71–84, 2006.
[7] B. Wong, I. Stoyanov, and E. G. Sirer, “Octant: A comprehensive framework for the geolocalization of Internet hosts,” in Proc. of the 4th USENIX Symposium on Networked Systems Design & Implementation (NSDI’ 07). USENIX Association, 2007.
[8] Y. Wang, D. Burgener, M. Flores, A. Kuzmanovic, and C. Huang. Towards street-level client-independent IP geolocation. In Proc. of the 8th USENIX Conference on Networked Systems Design and Implementation, NSDI’ 11, pages 365–379. USENIX Association.
