網站透過 IP 封鎖清單、地理位置不符與封包檢測來偵測 VPN 和代理伺服器。了解主要手法,以及你為何遇到封鎖與驗證碼。
網站偵測 VPN 與代理伺服器的方式,是尋找你的流量並非來自一般家用連線的訊號:列在已知 VPN 封鎖清單上的 IP 位址、你的 IP 所在地與瀏覽器其他位置線索之間的不符、洩露身分的連線模式,以及——對 ISP 與防火牆而言——深度封包檢測。沒有任何單一檢查是完美的,因此偵測系統會綜合多項並給出一個可信度評分。本指南將逐一說明這些主要手法,並解釋你為何會遇到封鎖、驗證碼,以及「此內容無法在你所在地區觀看」這類訊息。
核心要點
- 最強的訊號就是 IP 本身:登記在主機代管公司與資料中心自治系統(ASN)名下的位址,與住宅運營商的 IP 區段毫不相像,MaxMind GeoIP 等商業資料庫以及 AbuseIPDB 等濫用情報源都會將其編列在案。
- 偵測是分層的、機率性的——網站會把多項薄弱訊號(IP 類型、地理/時區不符、洩漏、連線形態)綜合成一個可信度評分,而非依賴單一測試。
- VPN 可能被側通道洩漏揭穿:WebRTC 洩漏會暴露你的真實 IP,而 DNS 洩漏會揭露你真實 ISP 的解析器。
- 資料中心 VPN 容易被標記;住宅型與專用 IP 則難得多,這正是為何有的 VPN 被封鎖、有的卻暢行無阻。
- 在認定隧道涵蓋了一切之前,你可以用 VPN/代理檢測 來確切審視自己的連線究竟暴露了什麼。
網站為何要偵測 VPN
網站封鎖 VPN 並非出於敵意——而是為了執行規則、減少濫用。串流服務有按地區劃分的授權協議,因此會封鎖 VPN,以阻止人們觀看非所在地區的內容庫。銀行與商店則把 VPN/代理訊號當作詐欺評分的其中一項輸入。售票與零售網站封鎖代理,是為了對抗機器人與黃牛。同一套用來抓自動化濫用的機制,也會抓到注重隱私的真人,這正是合法 VPN 使用者有時被當成機器人對待的原因。
IP 位址封鎖清單
最常見的方法也最簡單:維護一份已知屬於 VPN 與代理服務商的 IP 位址清單,並標記任何來自其中的連線。商業資料庫編列了各大 VPN 服務與資料中心的 IP 區段,這些清單流通甚廣,因此網站能在數毫秒內把你的 IP 與之比對。MaxMind GeoIP 等地理定位與網路分類廠商,正是為此維護著「匿名代理」與連線類型資料集,而 AbuseIPDB 這類社群濫用情報源則追蹤近期有自動化濫用紀錄的位址。
這正是資料中心託管的 VPN 最容易被偵測的原因——它們的位址登記在主機代管公司名下,而非住宅 ISP,光是這項區別就是強烈的訊號。每一個 IP 區段都是透過 IANA 協調的區域註冊機構分配的,而擁有某個區段的自治系統編號(ASN)一眼就能告訴偵測系統:它屬於消費級寬頻運營商,還是雲端主機。你可以用 BrowserInsight 的 VPN/代理檢測 與 IP 情報 工具,查看自己的位址被歸為哪一類,它們會顯示你 IP 背後的網路類型與歸屬。
地理位置與時區不符
你的 IP 聲稱在某個位置,但瀏覽器卻洩露了其他線索。如果你的 IP 地理定位在阿姆斯特丹,而你的系統時區是 America/New_York、瀏覽器語言是 en-US,回報的其他位置訊號又另有所指,這些矛盾便暗示了 VPN 的存在。偵測系統會交叉比對:
- 基於 IP 的地理定位與瀏覽器時區
- IP 所在國家與
Accept-Language及語系設定 - IP 所在地與頁面能讀到的任何其他位置訊號
單一項不符是薄弱的,但多項同時出現便會引發懷疑。(IP 地理定位本身並不如多數人想像的那麼精確——詳見 IP 地理定位的精度——但它通常足以辨識出國家層級的不符。)
WebRTC 與 DNS 洩漏
即使 VPN 已啟用,你的瀏覽器仍可能透過側通道洩露真實的網路身分。WebRTC 洩漏可能透過瀏覽器 WebRTC API 為探索網路候選位址而發出的 STUN 請求暴露你的真實公網 IP——這些請求可能完全繞過隧道——而 DNS 洩漏則可能揭露你的 DNS 查詢是發往真實 ISP,而非 VPN 的解析器。一個在 VPN IP 旁同時看到洩露真實 IP 的網站或指令稿,便握有 VPN 正在使用中的強力證據——以及一條得知你實際位置的途徑。
連線模式與深度封包檢測
除了 IP 本身,你連線的形態也可能讓 VPN 露餡:
- 單一伺服器持續連線。 正常瀏覽會在眾多伺服器之間跳轉;而 VPN 維持的是一條長時間存在的加密隧道,這種模式 ISP 是能察覺的。
- 連接埠與協定簽章。 與 VPN 協定相關的連接埠上的流量(或 OpenVPN、WireGuard 等的交握模式)都可被指紋識別。
- 深度封包檢測(DPI)。 一般過濾只讀取封包標頭,而 DPI 會檢視流量模式與中繼資料,即使內容已加密也能辨識出 VPN 協定。這正是在限制嚴格的環境中於網路層級封鎖 VPN 所用的技術。
- 延遲與 MTU 蛛絲馬跡。 隧道會繞道經過 VPN 伺服器,多出一次往返,因此網路往返時延往往與所聲稱的位置對不上——一台地理定位在雪梨、卻在 20 毫秒內回應的伺服器並不合常理。封裝還會縮小可用的封包大小(最大傳輸單元,即 MTU),異常的 MTU 或 TCP MSS 值就是一個微弱卻真實的隧道指紋。
偵測訊號比較
沒有任何單一訊號能證明 VPN 的存在;偵測系統會為每一項加權,再累加成一個評分。下表概括了主要訊號、它們在何處被觀測,以及各自的強度與可規避程度。
| 訊號 | 觀測位置 | 強度 | 如何規避/為何失效 |
|---|---|---|---|
| IP 封鎖清單命中 | 伺服器端,比對商業/濫用資料庫 | 高 | 使用尚未被編列的住宅型或新近輪換的 IP |
| ASN/資料中心區段 | 伺服器端,來自 IP 的註冊歸屬 | 高 | 登記為住宅運營商的 IP 可規避;資料中心 IP 無法 |
| 地理/時區不符 | 伺服器端+客戶端(IP 地理定位對比瀏覽器時區與語系設定) | 中 | 讓瀏覽器時區與語言和出口位置保持一致 |
| WebRTC 洩漏 | 客戶端 JavaScript(STUN 候選位址) | 出現時為高 | 停用 WebRTC 或封鎖 STUN;否則會暴露真實 IP |
| DNS 洩漏 | 網路/解析器路徑 | 中—高 | 強制所有 DNS 走 VPN 的解析器 |
| 延遲/往返時延不符 | 伺服器端計時測量 | 低—中 | 選擇地理上靠近所聲稱位置的伺服器 |
| MTU/協定簽章 | 網路層,DPI | 中 | 混淆協定(如帶混淆的 WireGuard)可降低該訊號 |
要點在於:成本低、強度高的訊號——IP 封鎖清單與 ASN 分類——承擔了大部分工作,而較難偽造的行為訊號,只有在你已經擊敗了那些顯而易見的訊號之後才會起作用。
如何檢查自己是否被標記
你無需靠猜來判斷網站是否把你當成 VPN 使用者。請按以下順序逐項檢查:
- 為你的 IP 歸類。 執行 BrowserInsight 的 VPN/代理檢測 與 IP 情報,查看你的位址被報告為住宅還是資料中心、由哪個 ASN 擁有,以及是否落入已知的匿名代理清單。被歸為資料中心,是遭封鎖最常見的單一原因。
- 測試洩漏。 確認你的真實 IP 沒有透過 WebRTC 洩漏或 DNS 洩漏逃逸出去。無論你的 VPN IP 看起來多麼乾淨,洩漏都會把真實網路身分交給網站。
- 檢查矛盾。 確保瀏覽器時區與
Accept-Language與你 VPN 出口所在國家保持一致。單憑矛盾不會封鎖你,但會抬高你的整體可疑評分。 - 觀察症狀。 持續的驗證碼、「可疑活動」提示,或在關閉 VPN 後即消失的地區錯誤,是 VPN(而非你的帳號)正被標記的最直接的實證。
如果 IP 檢查結果乾淨、也不存在洩漏,那麼你仍然遇到的多數封鎖都屬於伺服器選擇問題:換一台不那麼擁擠的伺服器或專用伺服器,再測一次。
偵測對使用者而言是什麼感覺
你很少會被明確告知「偵測到 VPN」。取而代之的是你親身體驗到的後果:播放不了的串流內容庫、反覆出現的驗證碼、「可疑活動」提示、登入時的阻力,或乾脆被封鎖。由於同一批訊號也餵給自動化流量評分,VPN 使用者往往會觸發與機器人相同的檢查——這正是本主題與機器人偵測之間的關聯。
常見問題
網站總能偵測到 VPN 嗎?
不能。偵測是機率性的,而非確定的。資料中心 VPN 容易透過 IP 封鎖清單被標記,但住宅型與經營良好的 VPN 則難偵測得多。網站會把多項薄弱訊號綜合成一個可信度評分,因此一套謹慎的設定可以通關,而明顯露餡的設定則會被封鎖。
為什麼我的 VPN 被封鎖,朋友的卻沒事?
很可能是因為你的 VPN IP 位址被列在更多封鎖清單上,或屬於資料中心登記,而你朋友用的是住宅型或較少被標記的 IP。伺服器選擇也很重要——一台被大量共用的 VPN 伺服器,比一個全新或專用的 IP 更可能已被知曉並封鎖。
VPN 能完全隱藏我的位置嗎?
不一定。VPN 改變的是你呈現出的 IP,但 WebRTC 洩漏、DNS 洩漏、瀏覽器時區與語系設定仍可能揭露或牴觸你的真實位置。請用 VPN/代理檢測 實測你究竟暴露了什麼,而不要想當然耳地以為隧道涵蓋了一切。
我該如何檢查連線暴露了什麼?
執行 BrowserInsight 的 VPN/代理檢測 與 IP 情報,查看你的 IP 被如何歸類(住宅還是資料中心、是否屬已知 VPN 區段),再搭配 WebRTC 與 DNS 洩漏測試,確認沒有任何東西逃出隧道。
結語
VPN 與代理偵測並非單一招數,而是一整套:IP 封鎖清單、地理位置與時區不符、WebRTC 與 DNS 洩漏、連線模式分析,以及深度封包檢測,綜合評分。這正是為何有些 VPN 暢行無阻、有些卻被封鎖,也是為何注重隱私的使用者有時會遭遇與機器人相同的阻力。了解這些訊號,便能讓你測試自己的設定,並確切明白是什麼讓 VPN 露了餡。
推薦閱讀:
