「这是原生 IP 吗」大概是出海选机房、做风控时最常被问、又最容易被糊弄的问题。卖家说原生，买家测出来又像数据中心，争论半天其实双方说的根本不是同一个东西。所以先把这个词拆开：所谓「原生/native 」，本质不是某个单一字段，而是同一个 IP 的几路地理与归属信号是否自洽。把这几路信号摆清楚，争论自然就消了。

一个 IP 至少有四路独立来源的地理/归属信息，它们各说各话：

1. RIR 注册国（ WHOIS/RDAP ）：这个 IP 段在 ARIN/RIPE/APNIC 等注册局登记的归属组织和国家。关键坑在于，注册国通常是分配主体（运营商或机构）的总部所在地，不是这段 IP 实际部署的地方。一家公司总部在美国，把一段地址用在新加坡机房，WHOIS 里大概率还是写美国。所以 WHOIS 的国家级信息可信，城市级基本不可信——这是后面所有误判的源头之一。

2. BGP 实际宣告：这段前缀此刻是被哪个 ASN 、从哪些上游、在什么地理位置宣告出来的。这反映的是「现在谁在用、从哪儿发包」，时效性最强；你可以改 WHOIS 备注，但改不了路由表里别人看到的宣告路径（撇开 BGP 前缀劫持这类攻击场景不谈）。

3. IP 定位库：MaxMind 这类商业库，混合了注册数据、网络测量、用户反馈推断出来的位置。它是「估计值」，不是真值，城市级误差很常见，且对新分配段、刚易主的段反应慢。

4. geofeed：由持有者自己发布的 IP→地理 CSV （ RFC 8805 ），并在 WHOIS/RDAP 的 inetnum 记录里引用（早期见 RFC 9092 ，现行规范是 RFC 9632 ）。这是归属方主动声明的「我打算把这段用在哪」。有 geofeed 且能验证的段，可信度高于定位库的猜测；但发布是自愿的，大量段根本没有。

判定优先级，我自己的经验是这样排：有可验证的 geofeed ，就以 geofeed 为准（这是权威方亲口说的）；没有，就拿 BGP 宣告做现实锚点，定位库只作为参照而非裁决； WHOIS 用来定国家、佐证归属组织，绝不拿来定城市。四者全打架时，优先信「现在的事实」（ BGP ）和「权威声明」（ geofeed ），贬低「历史登记」（ WHOIS 城市）和「第三方猜测」（定位库）。

代理和 VPN 恰恰是在这几层之间制造缝隙才被识破的。最典型：一个 IP 的反向 DNS 、ASN org-name 透着机房气息（承载网络是 hosting ASN ），定位库却被「优化」成了某住宅城市——出口位置和承载网络对不上，这种「机房承载、伪装住宅」的不一致，比单看任何一项都更能说明问题。再叠加同 /24 段里数据中心标记 IP 的占比、连接类型分类，基本能把「真住宅」和「住宅代理/伪装」分开。反过来，真正干净的原生段，几路信号是收敛的：注册国、定位库、（有的话） geofeed 互相印证，承载网络也不矛盾。

落到实操，给三条可直接用的：① 别拿城市级定位下结论，信号噪声太大，只到国家级才稳；② 判一段 IP 先看承载 ASN 与连接类型，这比定位库的城市标签靠谱得多；③ 想确认归属方的真实意图，去查有没有 geofeed ，有就以它为准。

顺带一提，这套并排看信号的思路我在自己做的 ipok.io 里也用了一点——把归属、ASN 、连接类型、同 C 段画像分开列、不揉成一个分数； BGP 宣告和 geofeed 这两路它没有，得自己另查。方法本身和工具无关：想清楚「原生 = 多信号自洽」而非某个字段，比用哪个查询入口都重要。

https://ipok.io