IP İtibarı ve Dolandırıcılık Puanlaması Nasıl Çalışır (IPQualityScore): 2026 Derinlemesine İnceleme

IPQualityScore’un 0-100 fraud skoru nasıl inşa edilir, datacenter IP’leri neden başarısız olur ve ProxyHat residential proxy’leri bu tespiti nasıl temiz geçer? Anti-fraud ve scraping mühendisleri için pratik rehber.

How IP Reputation and Fraud Scoring Work (IPQualityScore): A 2026 Deep Dive

2026’da bir giriş formunu doldurduğunuzda, arka planda saniyeler içinde bir ip fraud score üretilir ve bu skor, karşınıza CAPTCHA mı çıkacağını, hesabınızın kilitlenip kilitlenmeyeceğini ya da ödemenizin reddedilip reddedilmeyeceğini belirler. IP itibarı ve dolandırıcılık puanlaması nasıl çalışır (IPQualityScore) sorusu, yalnızca anti-fraud ekiplerinin değil; scraping mühendislerinin, otomasyon geliştiricilerinin ve SaaS kurucularının da gündeminde. Çünkü modern koruma katmanları artık IP başına risk skorlaması yapmadan neredeyse hiçbir trafiği kabul etmiyor.

Bu yazıda, IPQualityScore (IPQS) üzerinden 0-100 fraud skorunun nasıl inşa edildiğini, ipqualityscore proxy detection sinyallerini, residential ve datacenter IP’ler arasındaki farkı ve ProxyHat residential çıkışlarının bu tespiti neden temiz geçtiğini inceleyeceğiz. Hedef kitle: anti-fraud ve scraping mühendisleri. Yaklaşım teknik ve uygulamalı; teorik tanımlardan çok, hangi sinyalin neyi tetiklediğini ve bunu nasıl temiz geçeceğinizi ele alacağız.

IP İtibarı ve Fraud Puanlama (IPQualityScore) Nasıl Çalışır?

IPQualityScore, IP tabanlı risk skorlaması yapan ticari bir servistir ve resmi proxy detection API dokümantasyonuna göre tek bir istekte onlarca sinyali tek bir 0-100 ip fraud score’a sıkıştırır. Skor arttıkça risk artar; 0 temiz, 100 ise neredeyse kesin kötüye kullanım anlamına gelir. IPQS, >=90 skorları için blok önerir; bu eşik, dokümantasyonda “high risk” olarak etiketlenir.

Skor, beş ana katmandan oluşur:

  • Honeypot ve tuzak sinyalleri: IPQS, sahte formlar, sahte ödeme sayfaları ve tuzak API endpoint’leri işletir. Bu yüzeylerden birini ziyaret eden veya dolduran IP, otomatik olarak “recent abuse” olarak işaretlenir. Bu sinyal, skor üzerinde çok ağırlıklıdır çünkü niyet kanıtıdır.
  • ASN ve range sınıflandırması: IP, hangi Otonom Sistem (AS) içinde? AS, Wikipedia’da tanımlandığı üzere yönlendirme politikası birimdir. Hosting sağlayıcılarına ait ASN’ler (örneğin AWS, DigitalOcean, Hetzner) varsayılan olarak yüksek riskli kabul edilir; ISP ASN’leri ise düşük riskli.
  • Blacklist ve recent-abuse veritabanları: Spam, botnet, credential stuffing ve phishing listelerinde geçmişe sahip IP’ler skor alır. “Recent abuse” bayrağı, son 30-90 günde kötüye kullanım görüldüğünü gösterir.
  • Makine öğrenmesi: IPQS, davranışsal özellikleri (istek hızı, parmak izi tutarsızlığı, coğrafi atlama) bir ML modeline besler. Model, yeni saldırı desenlerini eğitilmiş eşiklerden öğrenir.
  • Canlı adli tespit: API çağrısı sırasında açık port tarama, rDNS çözümleme, geolocation tutarlılık ve Tor çıkış kontrolü yapılır. Bu, statik listelerin ötesinde “şu anki” durumu yakalar.

Özetle, ip reputation yalnızca “bu IP bir blacklist’te mi” sorusu değildir; 2026’da dinamik, ML destekli ve canlı adli kontrollerle beslenen çok boyutlu bir risk modelidir.

Proxy Tespit Sinyalleri: ASN, Açık Portlar, rDNS, Geolocation

IPQS proxy detection’ın kalbinde yedi teknik sinyal yatar. Bunları birebir anlamak, hangi IP’nin neden bloklandığını açıklar:

1. ASN Tipi: Hosting vs ISP

En güçlü tek sinyal budur. IP, bir hosting sağlayıcısına mı yoksa son kullanıcı ISS’sine mi ait? IPQS, ASN’yi hosting veya isp olarak etiketler. AWS, Google Cloud, Azure, OVH, Hetzner, DigitalOcean gibi ASN’ler neredeyse her zaman hosting olarak sınıflanır ve proxy/VPN şüphesi taşır. Comcast, Türk Telekom, Vodafone Germany gibi ISS’ler ise isp olarak işaretlenir.

Bu ayrım neden bu kadar güçlü? Çünkü gerçek bir kullanıcının evinden gelen trafiğin hosting ASN’inde olması son derece nadirdir. Datacenter proxy’leri tam bu yüzden hemen yakalanır.

2. Açık Portlar

IPQS, hedef IP üzerinde 22 (SSH), 23 (Telnet), 1080 (SOCKS), 3128 (Squid), 8080 (HTTP proxy) gibi portları tarar. Açık SOCKS/HTTP proxy portları, IP’yi neredeyse kesin olarak proxy olarak işaretler. Bu, özellikle kötü yapılandırılmış açık proxy’leri yakalar.

3. Ters DNS (rDNS)

RFC 1912’nin vurguladığı gibi, rDNS kayıtları ileri DNS ile tutarlı olmalıdır. IPQS, PTR kaydını çözer ve ec2-xx.compute.amazonaws.com gibi hosting kalıplarını ya da cable-dynamic-78-xx.isp.tr gibi ISS kalıplarını tanır. Tutarsız veya hosting kalıplı rDNS, skor artırır.

4. Geolocation Uyumsuzluğu

IP’nin bildirilen ülkesi ile tarayıcının navigator.language, zaman dilimi (Intl.DateTimeFormat().resolvedOptions().timeZone) ve HTML5 geolocation sinyalleri çelişiyorsa, bu güçlü bir proxy/VPN göstergesidir. Örneğin, IP ABD’de ama tarayıcı zaman dilimi Europe/Istanbul ise skor yükselir.

5. Bağlantı Tipi

IPQS, bağlantı tipini residential, corporate, education, mobile, datacenter olarak sınıflar. Datacenter ve bilinmeyen tipler yüksek risk taşır; residential ve mobile düşük risk taşır.

6. Recent Abuse Geçmişi

Son 90 günde honeypot veya blacklist’te görülen IP’ler recent_abuse=true alır. Bu bayrak, tek başına skoru 80’in üzerine çıkarabilir.

7. Tor ve VPN Çıkış Kontrolü

IP, bilinen Tor çıkış düğümü mü veya ticari VPN sağlayıcı aralığında mı? IPQS bu listeleri sürekli günceller ve canlı doğrular.

Eşikler ve Risk Tabanlı Kurallar: Skor >=90 Neden Blok?

IPQS, dokümantasyonunda >=90 skorları için blok önerir. Bu eşik rastgele değildir: yanlış pozitif oranını düşük tutarken gerçek kötüye kullanımı yüksek hassasiyetle yakalar. Tipik bir dağılımda, <90 skorlu IP’lerin büyük çoğunluğu meşru kullanıcı; >=90 ise yüksek olasılıkla otomatik veya kötü niyetli trafiğe karşılık gelir.

Siteler bu skoru risk tabanlı kural motoruna şu şekilde bağlar:

AkışTipik eşikAksiyon
Kayıt / signupscore >= 75CAPTTCHA + e-posta doğrulama
Giriş / loginscore >= 80Step-up auth (SMS, TOTP)
Ödeme / checkoutscore >= 90Blok + manuel inceleme
Hesap kurtarmascore >= 70Ek doğrulama + gecikme

Bu tablo, neden scraping ekiplerinin yalnızca “IP bloklandı mı” sorusuyla yetinemeyeceğini gösterir. Düşük skorlu bir IP bile, davranışsal sinyallerle (yüksek istek hızı, parmak izi tutarsızlığı) birleşince eşiğe tırmanabilir. Bu yüzden ip reputation tek başına yeterli değildir; parmak izi ve davranış hijyeni de eşit derecede önemlidir.

Neden Residential Proxy’ler Temiz Geçer?

Tüm tespit sinyallerini üst üste koyduğunuzda, residential proxy detection’ın asıl zorluğu netleşir: iyi bir residential proxy, tespit sistemlerinin aradığı her sinyali doğru şekilde taşır.

  • ASN: Gerçek bir ISS ASN’inde yer alır; connection_type=residential döner.
  • rDNS: ISS’in adlandırma şemasına uyar; hosting kalıbı içermez.
  • Geolocation: IP’nin bildirilen şehri ile gerçek çıkış tutarlıdır; ProxyHat -country-US veya -city-berlin bayrakları bu tutarlılığı garanti eder.
  • Açık portlar: Hane IP’lerinde SOCKS/HTTP proxy portları açık değildir.
  • Recent abuse: Taze residential havuzlar, önceki kötüye kullanım geçmişi taşımaz.

Buna karşılık bir datacenter IP’si, ilk sinyalde (ASN tipi) zaten yüksek risk alır. Açık port taraması ve rDNS kontrolü, skoru daha da yükseltir. Sonuç: datacenter IP’leri, IPQS üzerinde tipik olarak 85-100 arası skor alırken; temiz residential IP’ler 0-30 arası skor alır. Bu fark, tüm residential proxy detection ekonomisinin temelidir.

Yine de residential proxy “görünmez” demek değildir. Hız ve davranış hijyeni bozulursa, IP temiz olsa bile davranışsal ML modeli skoru tırmandırır. ProxyHat ile çalışırken lokasyon tutarlılığını korumak ve sticky session kullanmak, bu hijyeni korumanın en pratik yoludur.

Uygulamalı Örnek: IPQS API ile ProxyHat Residential vs Datacenter

Şimdi teoriyi pratiğe dökelim. Aşağıdaki Python örneği, hem ProxyHat residential çıkışının IP’sini hem de bir datacenter IP’sini IPQS proxy detection API’sine sorular. Amaç, kendi IP kalitenizi ölçmek ve residential çıkışın gerçekten temiz skor döndürdüğünü doğrulamaktır.

Önce ProxyHat residential çıkışından bir istek yaparak dış IP’mizi öğrenelim:

import requests

# ProxyHat residential çıkışı (ABD lokasyonu, sticky session)
proxy = {
    "http":  "http://user-country-US-session-test01:PASSWORD@gate.proxyhat.com:8080",
    "https": "http://user-country-US-session-test01:PASSWORD@gate.proxyhat.com:8080",
}

# Dış IP’mizi alalım
resp = requests.get("https://api.ipify.org?format=json", proxies=proxy, timeout=30)
residential_ip = resp.json()["ip"]
print("ProxyHat residential IP:", residential_ip)

Ardından bu IP’yi IPQS’ye soralım:

import requests

IPQS_KEY = "YOUR_IPQS_KEY"  # kendi anahtarınız
residential_ip = "203.0.113.42"  # yukarıdaki adımdan gelen IP
datacenter_ip   = "198.51.100.7"  # karşılaştırma için datacenter IP

def score_ip(ip: str) -> dict:
    url = f"https://www.ipqualityscore.com/api/json/ip/{IPQS_KEY}/{ip}"
    r = requests.get(url, timeout=20)
    r.raise_for_status()
    return r.json()

for label, ip in [("residential (ProxyHat)", residential_ip),
                 ("datacenter", datacenter_ip)]:
    data = score_ip(ip)
    print(f"\n=== {label} ({ip}) ===")
    print("fraud_score     :", data.get("fraud_score"))
    print("proxy           :", data.get("proxy"))
    print("vpn             :", data.get("vpn"))
    print("tor             :", data.get("tor"))
    print("is_crawler      :", data.get("is_crawler"))
    print("connection_type :", data.get("connection_type"))
    print("ASN             :", data.get("ASN"))
    print("recent_abuse    :", data.get("recent_abuse"))
    print("bot_status      :", data.get("bot_status"))

Tipik bir çıktıda, ProxyHat residential IP’si için fraud_score 0-30 arası, proxy=false, connection_type=residential ve recent_abuse=false beklersiniz. Datacenter IP için ise fraud_score 85-100 arası, proxy=true, connection_type=datacenter döner. Bu fark, bir SERP scraping veya e-ticaret fiyat izleme iş yükünde başarı oranını doğrudan belirler. Web scraping kullanım senaryosunda bu fark, 200ms yanıt yerine 403 yanıtı almak anlamına gelebilir.

SOCKS5 gerektiren bir senaryoda ProxyHat’i şu şekilde kullanırsınız:

proxy = {
    "http":  "socks5://user-country-US-session-test01:PASSWORD@gate.proxyhat.com:1080",
    "https": "socks5://user-country-US-session-test01:PASSWORD@gate.proxyhat.com:1080",
}

Sticky session (-session-test01) aynı IP’yi tutar; bu, IPQS üzerinde ani rotasyon kaynaklı davranışsal anomaliyi önler. Aynı IP ile tutarlı, insan benzeri istek aralıkları (örneğin istekler arası 1.5-4 saniye) kullanın.

TLS ve Davranış Parmak İzi: JA3/JA4 ve Ötesi

IP temiz olsa bile, modern sistemler IP’yi tek sinyal olarak kullanmaz. 2026’da iki ek katman standart hale geldi:

JA3/JA4 TLS Parmak İzi

JA3, ClientHello mesajındaki TLS sürümü, cipher listesi, uzantı listesi ve elliptic curve listesini hash’leyerek bir parmak izi üretir. JA4, aynı veriyi daha yapılandırılmış ve sürdürülebilir biçimde kodlar. requests kütüphanesinin JA3’ü, gerçek Chrome’un JA3’ünden farklıdır; bu fark, “IP temiz ama istek bot benzeri” sonucunu doğurur. Temiz residential IP + gerçek tarayıcı parmak izi (örneğin Playwright veya Puppeteer ile gerçek Chromium) kombinasyonu, en sağlam geçiş stratejisidir.

JavaScript ve Canvas Sinyalleri

Platform, navigator.userAgent, navigator.platform, WebGL renderer, canvas hash, font listesi ve screen özellikleri birbiriyle tutarlı olmalıdır. Headless Chrome’un navigator.webdriver=true bayrağı, --disable-blink-features=AutomationControlled ile bile bazı sistemlerde yakalanır. Canvas fingerprint’inde headless rendering, gerçek GPU’dan farklı bir hash üretir; bu, davranışsal ML modeline giden bir sinyaldir.

Davranışsal Analiz

İstek hızı, fare hareketi olmaması, form doldurma süresi (örneğin 50ms’de doldurulan bir form), scroll deseni ve oturum süresi gibi sinyaller ML modeline beslenir. 1500 istek/sn gibi bir hız, hangi IP olursa olsun anomali olarak işaretlenir. İnsan benzeri jitter ve oturum uzunluğu, bu sinyalleri sakin tutar.

Yaygın Hatalar ve Edge Case’ler

  • Her istekte IP rotasyonu: Bu, davranışsal anomali yaratır ve IPQS’nin ML modelini tetikler. Login veya checkout akışlarında sticky session kullanın.
  • Geolocation tutarsızlığı: IP ABD’de ama tarayıcı zaman dilimi Avrupa. ProxyHat -country-US ile tarayıcı zaman dilimini de eşleştirin.
  • Headless tarayıcı varsayılanları: navigator.webdriver ve eksik canvas/WebGL özellikleri, IP temiz bile olsa bot bayrağını kaldırır.
  • Eski residential havuzlar: Bazı sağlayıcıların IP’leri daha önce kötüye kullanıldığı için recent_abuse=true dönebilir. ProxyHat taze ve izole havuzlar kullanır; yine de üretim öncesi kendi IP kalitenizi IPQS ile test edin.
  • Yalnızca IP’ye odaklanmak: IP temiz ama JA3 ve canvas bozuksa, yine blok alırsınız. Hijyen bütünseldir.
  • Mobile proxy karışıklığı: Mobile proxy’ler de residential sınıfındadır ve genellikle çok temiz skor alır; ancak bazı ISS’lerde rotasyon sık olduğu için sticky session’a dikkat edin.

ProxyHat Kurulumu ve İç Bağlantılar

ProxyHat residential proxy’lerini IPQS tespitine karşı temiz tutmak için pratik adımlar:

  1. Doğru lokasyon bayrağı: user-country-US veya user-country-DE-city-berlin kullanın. Detaylar için lokasyon sayfasını inceleyin.
  2. Sticky session: -session-abc123 ile aynı IP’yi tutun; ani rotasyonu önleyin.
  3. Gerçek tarayıcı parmak izi: Playwright/Puppeteer ile gerçek Chromium ve tutarlı zaman dilimi kullanın.
  4. Hız hijyeni: İstekler arası 1.5-4 saniye jitter; 1500 istek/sn gibi agresif hızlardan kaçının.
  5. Üretim öncesi test: Yukarıdaki Python örneğiyle çıkış IP’nizi IPQS’ye sorun; fraud_score < 30 hedefleyin.
  6. Maliyet optimizasyonu: fiyandırma sayfasındaki planları karşılaştırın; scraping iş yükleri için residential paketler en uygun başarı/oran dengesini sunar.

SERP izleme ve fiyat izleme gibi senaryolarda, SERP tracking kullanım senaryosundaki gibi tutarlı lokasyon + sticky session kombinasyonu, hem IPQS hem de Google/Bing’in kendi anti-bot katmanlarını sakin tutar. Tam teknik referans için ProxyHat dokümantasyonunu inceleyin.

Etik Çerçeve ve Yasal Uyarı

Bu yazı, kendi IP kalitenizi test etmek ve yetkili otomasyon içindir; ödeme fraudu, hesap çalma, credential stuffing veya sahte hesap oluşturma için değildir. Bu tür kullanımlar yasa dışıdır ve ProxyHat tarafından kesinlikle reddedilir.

Yasal açıdan iki çerçeve öne çıkar:

  • GDPR (AB): Kişisel veri işleme, IP adreslerini de kapsayabilir; scraping sırasında toplanan veriler için yasal dayanak (rıza, meşru menfaat dengesi) gereklidir.
  • CFAA (ABD): Yetkisiz erişim, bilgisayar sistemlerine “exceeds authorized access” biçiminde zarar verici erişimi cezai kapsamda tutar; robots.txt ve platform ToS’u ihlali, dava riski taşır.

Pratik kural: yalnızca genel görünür verilere erişin, robots.txt’ye uyun, hedef platformun ToS’unu okuyun ve hızınızı hedefin altyapısına zarar vermeyecek düzeyde tutun. Güvenlik araştırması yapıyorsanız, açık bir yetkilendirme (pentest sözleşmesi, bug bounty kapsamı) edinin.

Özet: IPQS tespitini geçmek, IP’yi “gizlemek” değil; gerçek bir kullanıcının tüm sinyallerini (ASN, rDNS, geolocation, TLS, canvas, davranış) doğru şekilde taşımaktır. ProxyHat residential çıkışları, ilk üç sinyali doğru taşır; geri kalan hijyen sizin uygulamanıza düşer.

Key Takeaways

  • ip fraud score 0-100 arasıdır; IPQS >=90 için blok önerir ve siteler bunu login/checkout/signup akışlarına bağlar.
  • En güçlü tek sinyal ASN tipidir: hosting vs ISP. Datacenter IP’ler bu sinyalde hemen yüksek risk alır.
  • Residential proxy’ler, ISP ASN’i, residential rDNS, tutarlı geolocation ve temiz recent-abuse geçmişiyle düşük skor döndürür.
  • IP temiz olsa bile JA3/JA4 TLS parmak izi, canvas/WebGL ve davranışsal hız sinyalleri skoru tırmandırabilir.
  • ProxyHat -country-US ve -session-abc123 bayrakları, lokasyon tutarlılığını ve sticky session’ı garanti eder; bu, IPQS üzerinde temiz skorun temelidir.
  • Erik: yalnızca kendi IP kalitenizi test edin ve yetkili otomasyon yapın; GDPR ve CFAA uyarınca robots.txt ve ToS’a uyun.

SSS

IPQualityScore proxy detection nedir?

IPQualityScore (IPQS), bir IP adresinin proxy, VPN, Tor veya bot kullanıp kullanmadığını ASN tipi, açık portlar, rDNS, honeypot tuzakları, blacklist verileri ve makine öğrenmesi sinyallerini birleştirerek tespit eden bir IP itibarı ve fraud puanlama servisidir. 0-100 arası bir fraud skoru üretir ve siteler bu skoru risk tabanlı kurallarda kullanır.

IP itibarı proxy kullanıcıları için neden önemlidir?

Çünkü modern anti-fraud sistemleri ip fraud score’u login, ödeme ve kayıt akışlarında kullanır. Yüksek skorlu IP’ler CAPTCHA, SMS doğrulama, step-up auth veya doğrudan blok ile karşılaşır. Scraping ve otomasyon ekipleri için temiz residential IP’ler, başarılı istek oranını ve veri kalitesini doğrudan etkiler.

IPQualityScore için en iyi proxy tipi hangisidir?

Residential proxy’ler. Gerçek bir ISS tarafından atanmış hane IP’si, hosting/ISP ASN ayrımında ‘ISP’ olarak sınıflanır, residential geolocation taşır ve genellikle düşük fraud skoruna sahiptir. Datacenter IP’ler ise hosting ASN’inde olduğundan neredeyse her zaman yüksek skor alır ve proxy olarak işaretlenir.

IPQualityScore tespitinde blokları nasıl önlersiniz?

Temiz residential çıkış IP’leri kullanın, sticky session ile ani rotasyonu sınırlayın, JA3/JA4 TLS parmak izini gerçek tarayıcıyla eşleştirin, rDNS ve geolocation tutarlılığını koruyun ve robots.txt ile hedef platform ToS’una uyun. Asla ödeme fraudu için kullanmayın; yalnızca kendi IP kalitenizi test edin veya yetkili otomasyon yapın.

IPQS fraud skoru >=90 neden blok olarak kabul edilir?

IPQS, 90 ve üzeri skorları yüksek riskli kabul eder ve önerilen blok eşiği olarak belgeler. Bu eşik, yanlış pozitif oranını düşük tutarken gerçek kötüye kullanımı yakalar. E-ticaret ve finans siteleri bu eşiği login/checkout adımlarında risk tabanlı kural motoruna bağlar.

Başlamaya hazır mısınız?

148+ ülkede 50M+ konut IP'sine AI destekli filtreleme ile erişin.

Fiyatlandırmayı GörüntüleKonut Proxy'leri
← Bloga Dön