一步步教你校验香港原生ip地址范围 是否包含目标服务IP段

1. 准备工作：明确目标IP/IP段与所需工具

- 步骤1：确认你要校验的目标是单个IP（例如203.0.113.45）或一段CIDR（例如203.0.113.0/24）。
- 步骤2：准备可用工具：Linux/macOS终端或Windows PowerShell、浏览器，以及可用的外网网络环境（无需代理）。建议安装whois、traceroute/mtr、geoiplookup（或使用在线服务）。

2. 第一步：用whois查看IP归属信息（推荐）

- Linux/macOS：在终端运行：whois 203.0.113.45 。
- Windows：在PowerShell可安装whois或在网页访问https://whois.apnic.net/ 。
- 结果要点：查找“country: HK”或APNIC记录、inetnum/NetRange和origin AS。若country为HK或经纪者是香港ISP，则很可能为香港原生IP。

3. 第二步：用APNIC或RIR查询更权威的分配信息

- 打开https://wq.apnic.net/static/search.html ，输入目标IP检索。或访问https://whois.apnic.net 。
- 查看“inetnum”“descr”“country”字段及“status”。若分配单位显示为香港公司（如PCCW、HKT、HGC等），则是香港原生IP段。

4. 第三步：使用GeoIP服务做地理位置核对（多来源比对）

- 命令行：geoiplookup 203.0.113.45 或 curl https://ipinfo.io/203.0.113.45/json 。
- 在线：使用ipinfo.io、ipgeolocation.io、maxmind demo等多个服务比对。若多数服务返回country/region为 Hong Kong，则地理位置一致性高。

5. 第四步：查看路由与AS信息（验证是否由香港ASN宣布）

- 获取AS号：whois 查询结果或使用 https://api.iptoasn.com/v1/lookup?ip=203.0.113.45 。
- 在BGP工具查看该AS公布的前缀：访问 https://bgp.he.net/ASxxxx ，检查该AS是否为香港运营商或其前缀列表中是否包含目标CIDR。

6. 第五步：traceroute/测试延迟与跳点位置判断

- Linux/macOS：traceroute -n 203.0.113.45；Windows：tracert -d 203.0.113.45（-d避免DNS解析加快）。
- 观察第一跳到目标的IP段与地理猜测：若最后几跳的IP属于香港ISP或显示香港路由节点（可与whois或bgp结果交叉验证），说明流量路径在香港。

7. 第六步：端口/服务校验（验证是目标服务真实IP）

- 使用curl或telnet测试服务端口：curl -I http://203.0.113.45:80 或 nc -zv 203.0.113.45 80 。
- 对比目标服务返回的证书、HTTP头或响应内容，确认该IP确实提供目标服务，避免误把CDN/负载均衡的边缘IP当作真实源。

8. 常见判断逻辑与注意点

- 若whois与APNIC显示country=HK且AS属于香港ISP，基本可以认定为香港原生IP。
- 若地理库返回非HK但RIR记录显示HK，以RIR/AS记录为准（地理数据库有时滞或不准确）。
- 注意CDN、Anycast会让同一IP在全球多点出现，需通过证书或源站端口验证是否为真正的服务源。

9. 实战示例：逐步操作（示例命令汇总）

- whois 203.0.113.45 ；curl https://ipinfo.io/203.0.113.45/json ；traceroute -n 203.0.113.45 ；访问 https://wq.apnic.net/static/search.html?query=203.0.113.45 。
- 读数要点：inetnum/NetRange、descr（运营商）、country、origin AS、BGP前缀。按这些信息判断是否属于香港原生IP。

10. 总结与建议：多数据源交叉验证

- 建议先查whois/APNIC，再用BGP/AS信息和geoip做交叉验证，最后用traceroute与服务端口验证。
- 对于关键合规/法律场景，保存whois截图、APNIC查询结果与traceroute输出作为证据。

11. 问：如果whois显示不是香港，但geoip返回香港，我该信哪个？

- 答：优先信任RIR（APNIC/whois）与AS公告信息，因为地理库可能滞后或因CDN/代理导致归属显示异常。若RIR显示非HK但服务路径集中在HK，则可能是流量中转或CDN行为。

12. 问：如何区分CDN边缘IP与源站的香港原生IP？

- 答：用端口/证书检查（如HTTPS证书的CN/SubjectAltName、HTTP头中的Server/Via），并在不同地理位置做traceroute比较；若IP在多个区域都能到达且证书为CDN通配名，可能为CDN边缘IP而非源站。

13. 问：我没有终端命令权限，有哪些网页版快速判断方法？

- 答：使用APNIC whois网页、ipinfo.io、bgp.he.net、ipstack或maxmind demo，先查whois与AS，再比对geoip多家结果；若仍不确定，可使用在线traceroute/looking glass服务查询路由。

来源：一步步教你校验香港原生ip地址范围 是否包含目标服务IP段