Geolocalização por IP: como os sites determinam sua localização pelo endereço de IP

Métodos para determinar a geolocalização por endereço IP

Existem bancos de dados especializados e APIs para geolocalização de IP—MaxMind GeoIP, SypexGeo, IP2Location e outros. Eles coletam informações de várias fontes e associam endereços IP a locais correspondentes.

A captura de tela mostra como a geolocalização é aproximada: a localização é indicada pelo centro administrativo associado ao endereço IP, enquanto, na realidade, uma pessoa pode estar a centenas de quilômetros desse ponto

Tais bancos de dados são povoados de várias maneiras:

• dados publicamente disponíveis de registros RIR/WHOIS (que especificam o país ou região onde a rede está registrada);

• dados fornecidos voluntariamente por usuários finais (crowdsourcing, aplicativos com permissão de geolocalização);

• medidas ativas de rede.

Esses dados permitem supor que um IP específico está sendo usado em um local específico.

Se um endereço IP foi atribuído a um usuário por um longo tempo (tais endereços IP são chamados de estáticos), a geolocalização é mais fácil de associar a uma região ou até mesmo a uma cidade específica

Endereços IP estáticos. Um endereço atribuído a um usuário ou dispositivo cliente por um longo período de tempo.

Quando um endereço IP muda periodicamente (um endereço IP dinâmico), a precisão é menor. O provedor muitas vezes distribui endereços de uma determinada faixa, e o erro real pode atingir o tamanho de toda a área de serviço daquele bloco.

Endereços IP dinâmicos. Emitidos pelo provedor conforme necessário e podem mudar frequentemente. Se este IP foi observado anteriormente em outro local, a geolocalização resultante será deslocada: refletirá a associação antiga ou a atual, que é imprevisível. O deslocamento máximo é determinado pela área de cobertura (a borda mais distante do alcance geográfico que o IP pode indicar).

Ao usar uma rede móvel, a geolocalização real muda

Também é importante distinguir entre IPv4 e IPv6. Como a grande maioria da Internet ainda opera em IPv4, a maioria dos bancos de dados de geo são focados especificamente em endereços IPv4.

A informação sobre o ASN ou a região do provedor também desempenha um papel na determinação da localização. Dados sobre a região em que um operador específico trabalha ajudam a refinar o resultado.

No entanto, a geolocalização não se limita apenas à análise de banco de dados. Existem as chamadas abordagens ativas. Sites podem medir independemente a latência de rede e realizar traceroutes para um endereço IP para estimar aproximadamente a distância até o ponto de conexão comparando os tempos de resposta a nós de rede conhecidos.

Também não devemos nos esquecer do Wi-Fi e do GPS: em um smartphone, um navegador pode fornecer coordenadas muito precisas através do HTML5 Geolocation API. Mas isso já não é mais geolocalização de IP no sentido clássico; é localização baseada em Wi-Fi ou GPS. A geolocalização de IP clássica funciona sem GPS e depende exclusivamente de dados de rede.

Precisão da geolocalização

A precisão da geolocalização de IP é avaliada por níveis (país/região, cidade, rua). Em teoria, é possível ir mais além, mas os últimos níveis são alcançados muito raramente.

A determinação mais precisa é no nível de país (a precisão atinge cerca de 95%). No nível regional (estado), a precisão é menor, mas ainda bastante alta. Os erros começam a crescer no nível da cidade (50–80%).

Poucos serviços vão ainda além, até o nível da rua, e a precisão aí deixa muito a desejar. A grande maioria dos recursos se limita à cidade como o nível máximo de precisão, colocando um ponto no centro da cidade. Para endereços rurais, a margem de erro é ainda maior.

Redes móveis

Em redes celulares, a situação é ainda mais complicada. Um operador móvel pode configurar a rede para que o mesmo endereço IP permaneça atribuído a um dispositivo enquanto ele se move por dezenas ou até centenas de quilômetros. O endereço IP em si geralmente é compartilhado. Um operador pode ter apenas alguns intervalos que atendem uma grande área de cobertura, significando que vários assinantes podem usar o mesmo endereço IP público. Como resultado, mesmo serviços ideais não conseguem dizer com muita confiança onde um assinante específico está localizado, já que existem muitas variáveis adicionais.

Quando em roaming em um país estrangeiro, um dispositivo móvel permanece visível para seu operador de origem (o tráfego geralmente retorna para a rede do operador de origem antes de sair para a Internet). Isso é semelhante a um túnel VPN: o site pensa que o usuário ainda está em seu país de origem, mesmo que fisicamente estejam no exterior. Como resultado, o endereço IP de um usuário móvel fornece uma localização muito aproximada (geralmente dentro do país, e nem mesmo a cidade mais próxima).

Servidores e VPNs

Endereços IP de centros de dados, provedores de hospedagem e serviços de VPN (e serviços de proxy) quase nunca apontam para a localização do usuário final real. Tais endereços geralmente estão vinculados à localização do escritório do provedor ou do centro de dados. Em outras palavras, se você utiliza uma VPN, os sites verão apenas a geolocalização do gateway VPN, não o seu dispositivo. Por essa razão, tais endereços geralmente são ignorados ao tentar uma localização precisa.

Como os sites determinam a localização de um usuário

Quando um site tenta determinar a verdadeira geolocalização de um usuário ou verificar se ele está escondido atrás de um anonimizador, pode usar várias técnicas, incluindo:

• Geodatabases e serviços especializados. O site consulta os mesmos geodatabases (MaxMind, SypexGeo, etc.) e listas de ASN mencionadas acima. Recebe dados por meio de APIs especializadas que relatam se um endereço IP é um VPN, proxy, nó de saída Tor ou centro de dados.

• Cabeçalhos HTTP e DNS. Alguns servidores proxy adicionam o cabeçalho X-Forwarded-For, que contém o endereço IP original do cliente. Se um proxy estiver configurado incorretamente, um site pode verificar tais cabeçalhos e obter seu endereço real. As consultas de DNS do usuário também são analisadas: se o servidor DNS estiver configurado para um endereço “estrangeiro” (o usuário envia consultas para um DNS estrangeiro), isso pode indicar que o tráfego não está se originando do país do endereço IP.

• WebRTC e geolocalização do navegador. Navegadores modernos permitem que um site solicite a Geolocation API e obtenha coordenadas precisas do dispositivo. Isso quase sempre é mais preciso do que um endereço IP, e se a geolocalização do navegador contradiz o endereço IP, fica claro que uma VPN ou proxy está sendo usado. A presença de vazamentos de WebRTC também pode revelar o endereço IP real local do dispositivo mesmo quando uma VPN está ativa. Os sites verificam permissões de geolocalização e usam JavaScript para detectar essas inconsistências.

• Impressão digital e sinais adicionais. Embora os sites não tenham acesso direto à linguagem da interface do navegador ou à lista de extensões, eles podem analisar sinais indiretos: cabeçalhos de idioma, fuso horário, características do ambiente de JavaScript e comportamento de rede. Inconsistências entre esses parâmetros e a região do endereço IP podem ser considerados sinais suspeitos por sistemas anti-fraude.

Maneiras de contornar restrições geográficas e detectores

Existem vários métodos conhecidos e menos conhecidos para contornar a geolocalização e mascarar mecanismos de detecção. Vamos olhar para os principais:

• Serviços VPN. Usar um VPN de alta qualidade é a abordagem mais comum. Provedores de VPN confiáveis, geralmente pagos, oferecem sub-redes limpas (tráfego menos popular, menores chances de estar em listas negras), endereços IP dedicados e suporte para VPN dupla para obfuscação adicional.

• Proxies residenciais e rotativos. Proxies de redes residenciais ou móveis parecem mais naturais porque seus endereços IP pertencem a provedores de Internet regulares. Tais endereços IP não pertencem a centros de dados e são muito mais difíceis para os sistemas bloquearem. A rotação de proxy devidamente configurada fornece um sólido nível de mascaramento dentro de um único dispositivo e ajuda a evitar proibições e reconhecimento de IP através de listas negras.

• Tor. A rede Tor proporciona um alto nível de anonimato, já que os pacotes de dados para e do usuário passam por vários nós aleatórios. Naturalmente, a velocidade com tal roteamento é significativamente menor.

• Injeção de latência e “saltos” artificiais. A injeção de latência é usada em cenários de nicho, por exemplo, ao pesquisar algoritmos anti-fraude, em cadeias anti-detecção complexas ou como efeito colateral de redes corporativas e anônimas.

• Redes móveis. Conectar-se pela internet móvel geralmente resulta em receber um novo endereço IP a cada conexão, tornando mais difícil vincular um dispositivo a um local específico. Ao mesmo tempo, serviços de geolocalização veem IPs de operadores móveis, para os quais a precisão de localização é intrinsecamente menor devido ao CGNAT e aos grandes pools de endereços. No entanto, precisamente por causa do CGNAT, um único endereço IP pode ser usado por muitos assinantes, então um IP móvel reduz a precisão da geolocalização, mas não garante por si só anonimato total.

CGNAT (Carrier-Grade NAT) é um mecanismo no qual muitos assinantes acessam a Internet através de um único endereço IP público compartilhado. Em tais redes, um IP não é um identificador confiável de um usuário ou sua localização, o que reduz significativamente a precisão da geolocalização de IP.

Conclusões

A geolocalização baseada em IP é usada para associação grosseira de um usuário a uma região ou cidade. Ela é aplicada em localização de conteúdo, segmentação e proteção básica de serviço. Na maioria dos casos, só fornece uma indicação aproximada de a qual região um endereço IP pertence. Anonimato completo e ocultação precisa da geografia real requerem uma abordagem abrangente: sempre use canais criptografados enquanto simultaneamente contorna outros métodos de identificação. Como os sites não dependem apenas de endereços IP, mas também de idioma, fuso horário, DNS e comportamento do navegador, todos esses fatores devem ser considerados. É necessário prevenir vazamentos, configurar corretamente o sistema para a região alvo e, quando possível, combinar diferentes soluções de encobrimento.