Как IP попадают в блэклисты и как не попасть
Блэклист — это не одна большая база в облаке РКН, как многие думают. Это десятки независимых списков, которые ведут разные люди и организации по разным правилам, а сервисы подтягивают их пачками. Разберём, как эта система устроена, за что адрес туда попадает и что зависит от тебя, а что — нет.
Что такое блэклист на самом деле
Когда сервис показывает «обнаружен VPN» или банк не пускает «вход из-за рубежа», за этим не стоит один центральный реестр. Стоит набор независимых списков, каждый со своей логикой:
- DNSBL / RBL (Spamhaus, SORBS и десятки других) — исторически создавались против спама, отдаются через DNS. Почтовые серверы и не только сверяются с ними в реальном времени.
- Fraud/VPN-детекторы (scamalytics, ipqualityscore и им подобные) — коммерческие базы, которые каталогизируют выходные ноды VPN, прокси, Tor и «рисковые» адреса, и продают доступ сервисам.
- Внутренние списки самих сервисов — банки, маркетплейсы, ИИ-сервисы ведут свои реестры датацентровых ASN и подозрительных адресов, дополняя покупные базы собственной статистикой.
Ключевое: эти списки независимы и несогласованы. Адрес может быть чист в одном и грязен в трёх других. Поэтому «я проверил в одном чекере, всё зелёно» ничего не гарантирует — сервис, к которому идёт клиент, смотрит в другой список.
За что адрес туда попадает
Причины делятся на «ты сам виноват» и «не повезло с соседями».
По своей вине:
- Абуз с ноды. Если через твой адрес кто-то из клиентов спамит, брутит, ддосит или майнит — жалобы летят владельцу ASN, а адрес попадает в списки. Один шумный клиент может сжечь ноду для всех.
- Массовый однотипный трафик. Резкий всплеск одинаковых соединений с только что поднявшегося адреса — классический паттерн, по которому детекторы помечают IP как VPN-выход.
- Датацентровый ASN как таковой. Сам факт, что адрес принадлежит хостингу, а не резидентному провайдеру, — уже основание для части списков. Тут ты «виноват» только выбором хостера.
Не по своей вине:
- Соседи по подсети. Репутация во многих базах живёт на уровне блока адресов, а не одного IP. Кто-то в соседних адресах нашалил — метку получает весь диапазон, включая тебя.
- «Палевная» подсеть хостера. Если провайдер известен как VPN-хостинг, детекторы заносят его диапазоны целиком, превентивно.
- Инерция списков. Адрес мог освободиться и перейти к тебе уже с чужой историей абуза, которую ты не совершал. И вычищается она из списков медленно.
Вывод, который стоит усвоить один раз: ты отвечаешь не только за своё поведение, но и за выбор подсети. Белый на старте адрес в грязном блоке — плохая ставка.
Почему это отдельная проблема от DPI
Легко спутать блэклист с блокировкой на границе, но это разные слои. DPI/ТСПУ смотрит на как ты подключаешься — фингерпринт, транспорт, поведение хендшейка — и живёт между клиентом и твоей нодой. Блэклист смотрит на кто подключился — репутацию адреса — и живёт на стороне конечного сервиса, за твоей нодой. Можно идеально пройти DPI и всё равно упереться в блэклист, потому что это две разные проверки в двух разных точках. Маскировкой блэклист не лечится — только белизной самого адреса.
Как не попасть — что зависит от тебя
Полностью застраховаться нельзя, но большую часть попаданий ты контролируешь.
- Выбирай подсеть, а не только адрес. Перед покупкой смотри ASN и репутацию блока, а не одного IP. Не бери единственную ноду в диапазоне, забитом VPN-абузом.
- Не давай клиентам жечь ноду. Антиабуз и антифрод на входе — это не только про деньги, это про то, чтобы один спамер не отправил твой адрес в Spamhaus. Ограничивай очевидные абуз-паттерны, лови шеринг и мульти-аккаунты.
- Разводи грязь и белизну. Расходный вход, который не жалко жечь, отдельно от белого выхода на хорошем ASN. Каскад — это архитектурный ответ на блэклисты: то, что горит, горит на дешёвом входе, а репутацию держит выход.
- Мониторь и ротируй. Регулярно снимай репутацию боевых адресов и меняй те, что начали краснеть, до того как это заметит клиент. Веди свой blocklist и не выдавай сожжённые адреса повторно.
Заметка про общие чёрные списки — с другой стороны
Есть и обратная сторона медали, полезная в бизнесе: чёрные списки бывают союзниками, а не только врагами. В сообществе операторов ведутся общие списки проблемных пользователей — скамеров, накрутчиков рефералов, организаторов DDoS, перепродавцов и «шерщиков» подписок. Один и тот же набор людей кочует между сервисами и жжёт ноды всем по очереди. Подключив такой общий список к своему боту, ты отшиваешь известных абузеров ещё на входе — и заодно защищаешь репутацию своих адресов от их шалостей.
Логика та же, что и у IP-блэклистов, только применённая тобой: коллективная память сообщества экономит каждому нервы и деньги. И этикет тот же — списки бывают с ложными срабатываниями, поэтому держи свой вайтлист и админов в исключениях, разбирай спорные случаи руками, а поймав абузера — верни его в общий список, чтобы он не спалил ноду следующему. Практическую настройку такого списка в боте разбираем в разделе про антифрод и продажи.
Итог
Блэклист — это множество несогласованных списков, часть попаданий в которые зависит от твоего поведения, а часть — от выбора подсети. Лечится это не маскировкой, а белизной адреса, разведением грязи и белизны по каскаду и дисциплиной: мониторинг, ротация, свой blocklist, антиабуз на входе. Как именно проверять репутацию и держать запас белых адресов — в практике «Проверка репутации IP и прогрев» и «Где брать белые подсети и как проверить».
Следующий гайд Где брать белые IP в 2026 → ↗ Не понравилась статья или что-то непонятно? Напишите мне — помогу или поправлю. @notrealvpn →