Datametodologi & nøjagtighed
IP-intelligence er probabilistisk. OpenIPApi kombinerer geolokationsdatasæt, ASN-data, omvendt DNS, TLS-metadata, Tor exit-lister, datacenter-intervaller, proxy-fingerprints og aktive probing-signaler. Resultater på landsniveau er generelt mere pålidelige end resultater på byniveau, især for mobiloperatører, VPN'er og store ISP'er. Threat scores bør bruges som risikosignaler, ikke som automatiske endelige beslutninger.
Geolokation
Nøjagtighed på landsniveau er typisk høj (95–99 %). Nøjagtighed på byniveau er lavere og forringes for mobiloperatører, VPN'er, store ISP'er der NAT'er mange brugere bag en enkelt IP, og nyligt re-allokerede intervaller. Koordinater bør behandles som en regionsindikator, ikke en præcis placering.
ASN, ISP og forbindelsestype
ASN-data kommer fra offentlige RIR-delegeringer krydsrefereret med aktiv omvendt DNS. Klassificering af forbindelsestype (residential, datacenter, mobil, uddannelse, statslig) er heuristisk og kan være forkert, især for hybride netværk.
VPN-, proxy-, Tor- og datacenterdetektion
Detektion kombinerer (1) offentlige lister (Tor exit-noder, kendte VPN-intervaller, datacenter-CIDR'er), (2) omvendt DNS- og TLS-certifikatmønstre, (3) aktiv probing for VPN-protokoller (OpenVPN, WireGuard) og proxysvar (SOCKS, HTTP CONNECT), (4) IP-omdømmefeeds. Intet enkelt signal er afgørende — flag afspejler vægten af beviser på tværs af disse kilder.
Threat score
Threat score (0–100) er en risikoindikator, ikke en endelig dom. Kombiner den med konto-, betalings-, enheds- og adfærdssignaler — for eksempel: en IP med score 85 plus en netop oprettet e-mail plus et usædvanligt browser-fingerprint er et stærkere fraud-signal end nogen af dem alene.
Kendte begrænsninger
Carrier-grade NAT kan placere tusindvis af brugere bag samme IP. Nyligt ændrede IP-allokeringer kan halte bagud i vores data. Residential proxy-puljer roterer hurtigt. Mobile IP'er ændrer sig ofte. Behandl vores data som ét input til en beslutning, ikke selve beslutningen.