我们团队上个月踩过一个坑:某个核心业务接口的P99延迟突然从50ms飙到300ms,运维同事第一反应是“扩容”。结果加了机器,延迟照旧。
后来排查了半天,发现问题出在一个特定ASN段的流量上——那批请求全都来自某云厂商的数据中心IP,而且集中在一个新上线的爬虫脚本上。最终不是扩容解决的,而是把爬虫所在的多个IP段筛出来,做了限流和验证码。
这件事让我意识到:评估IP负载,不是你机器满了才叫负载,而是要看是“谁”把你的资源拖垮了。
一、IP查询工具到底能测什么?
它测不出你的CPU、带宽、QPS。它唯一能做的,是给每个请求贴标签:来源地域、运营商、ASN、是机房IP还是家宽、有没有代理特征、风险评分多少。
然后你把这些标签和监控数据(延迟、错误率、并发数)放到一起看,就能回答:到底是哪个来源的流量在拖垮性能?
以IP数据云为例,一次批量查询就能返回IP的ASN、net_type(hosting/residential/mobile)、proxy_type、risk_score等字段,我们下面要用的四类分桶标签,都来自这里。
二、把负载拆开看,别只看平均值
我把“负载”拆成5类,每类对应的信号和观测点不一样:
| 指标类型 | 看什么 | 谁提供 |
|---|---|---|
| 吞吐 | QPS、请求数 | 网关/LB日志 |
| 并发 | 活跃连接数 | LB连接数、应用线程池 |
| 时延 | P99 RT | 网关request_time |
| 错误率 | 5xx、超时 | upstream_status |
| 连接资源 | NAT端口、conntrack | 节点网络指标 |
IP查询工具不直接给你这些数字,它帮你解释:当这些指标变差时,是哪个源头在作祟。
三、我们怎么分桶的?四类标签够用了
用IP数据云的批量接口查一批IP,最快几秒就能拿到四类画像。我们实际只用四个维度:
| 标签维度 | 关键字段 | 典型用途 |
|---|---|---|
| 地域×运营商 | province, isp | 判断是不是某个省+电信的链路烂了 |
| ASN/宿主 | asn, net_type | 发现流量集中在某云厂商/IDC |
| 代理类型 | proxy_type | 识别是不是代理池/机房在扫接口 |
| 风险等级 | risk_score | 撞库/爬虫的优先级排序 |
一个真实的例子:2026年初,GreyNoise安全团队追踪了一次大规模侦察行动,攻击者动用了超过63,000个住宅代理来发现Citrix登录界面,然后切换到AWS基础设施,三天内生成11万次会话。这些攻击IP分布在全球各地普通用户宽带里,如果只盯某一个IP的归属地根本看不出问题,但它们的流量模式(集中扫描登录接口、随时切换代理)集体指向了ASN段的云厂商归属。这就是“ASN聚集=自动化”的思路。
在我们的日常运维中也是一样的。有次我们发现某ASN的5xx率突然从1%涨到15%,查了才知道,这个ASN属于一个云厂商,请求全是短时高频的探测。于是把这个ASN的请求单独限流,5xx率立马回落。
四、怎么判断“这个桶该不该动”?
我们内部定了三个硬条件,同时满足才处置:
- 占比高:这个桶的请求占比超过10%~20%(阈值按业务调)
- 劣化同步:这个桶的P99或5xx率明显高于全局平均水平
- 没有合理解释:不是正常业务峰值、不是已知合作方白名单
缺一条,就只观察不动作。
时间窗:我们用5分钟滚动窗口。突发用1分钟看,趋势用15分钟看。不要拿1分钟的抖动去触发限流,否则早晚误伤高峰期。
五、动作怎么定?分流 > 限流 > 扩容 > 封禁
桶的类型不同,动作优先级也不一样:
| 桶类型 | 优先动作 | 为什么 |
|---|---|---|
| 地域×ISP | 跨ISP分流、该地域扩容 | 链路问题,扩机器解决不了 |
| ASN | 按ASN限速、降权 | 封ASN容易误伤,先限流观察 |
| 代理类型 | 隔离池、触发验证码 | 真用户被误判为代理的不少,先挑战后拦截 |
| 风险桶 | 提升WAF强度、限流 | 风险分高不等于一定是攻击,但值得优先保护 |
我们有一条铁律:封IP/封ASN之前,必须补二次证据(比如连续失败次数、异常路径、高频特征)。没有二次证据就封,早晚要赔用户。
六、工程上别踩这个坑
最蠢的做法是把IP查询API直接塞进请求链路。我们试过,第三方API一抖,调用方也跟着抖,业务直接雪崩。
正确的做法是离线批量 + 本地缓存:
- 每小时从日志里抽Top IP,调用IP查询工具的批量接口把画像拉下来,存Redis。
- 缓存TTL:低风险IP放一天,高风险IP放1小时(攻击者IP变得快)。
- 在线链路只读缓存。读不到就走降级策略:只用粗粒度(省份+ISP)决策,不做封禁。
代码示例(简化版,我们线上就是这样用的):
import requests, redis, json
r = redis.Redis(decode_responses=True)
def get_ip_profile(ip):
cached = r.get(f"ip:{ip}")
if cached:
return json.loads(cached)
url = "https://api.ipdatacloud.com/v2/batch"
params = {
'ips': ip, 'key': 'YOUR_KEY', 'lang': 'zh-CN'}
resp = requests.get(url, params=params, timeout=3)
if resp.status_code == 200 and resp.json().get('code') == 0:
data = resp.json()['data'][0]
ttl = 86400 if data.get('risk_score', 0) < 30 else 3600
r.setex(f"ip:{ip}", ttl, json.dumps(data))
return data
return None
七、总结
IP查询工具评估IP负载的正确姿势:用监控确认负载劣化,用IP查询工具打标签分桶,找出问题桶,按桶类型执行可回滚动作。
落地三步:
- 从监控找到哪个指标劣化了(P99、5xx、连接数)
- 用IP查询工具把Top IP贴上标签(ASN、代理类型、风险分)
- 找出占比高且劣化同步的桶,按桶类型执行分流、限流、扩容或隔离
下次你遇到“某地域变慢”或“5xx飙升”,别急着加机器。先花10分钟把日志拉出来,用IP查询分桶看看。很多时候,解决问题的不是扩容,而是“把捣乱的桶请出去”。
