Bogon

Was ist eine Bogon?

Im Kontext von Internet-Routing und Netzwerksicherheit bezeichnet der Begriff Bogon eine IP-Adresse, die entweder (noch) nicht von der Internet Assigned Numbers Authority (IANA) oder einer Regional Internet Registry (RIR), wie RIPE NCC, ARIN oder APNIC, zugewiesen wurde, zu reservierten Adressräumen gehört oder aus anderen Gründen nicht im öffentlichen Internet geroutet werden sollte. Solche Adressen erscheinen dennoch gelegentlich im Routing- oder Datenverkehr, etwa durch Fehlkonfigurationen oder gezielte Spoofing-Angriffe.

Der Begriff leitet sich vom englischen bogus (falsch, gefälscht) ab und wurde ursprünglich von der Netzwerk-Community geprägt, um nicht routbare, aber auftauchende Adressen zusammenzufassen.

Wann und warum treten Bogons auf?

Bogon-Adressen können in mehreren Formen auftreten, abhängig vom Kontext:

• Unzugewiesene Adressräume: IP-Blöcke, die von der IANA bereits reserviert, aber noch nicht an eine RIR delegiert wurden. Solange sie nicht offiziell zugewiesen und global geroutet sind, werden sie technisch als Bogons betrachtet.
• Reservierte beziehungsweise nicht routbare Adressen: Hierzu zählen Adressbereiche wie RFC 1918 (private IPs), 0.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16 oder 240.0.0.0/4. Sie werden als Martians bezeichnet – ein Teilmengenbegriff, der je nach Quelle synonym oder strenger als Bogons verwendet wird.
• Fehlkonfigurationen und Spoofing: In der Praxis tauchen Bogon-Adressen häufig durch falsche NAT-/Routing-Setups oder absichtliches IP-Spoofing in Paket-Headern auf, insbesondere in den Quelladressen.

Sicherheitsrisiken durch Bogons

Obwohl Bogons im produktiven Internetverkehr nichts zu suchen haben, werden sie regelmäßig zu böswilligen Zwecken missbraucht. Typische Angriffsvektoren sind:

• IP-Spoofing bei DDoS-Angriffen: Der Einsatz von Bogon-Adressen als Quell-IP erschwert nicht nur die Rückverfolgung, sondern kann auch Logging- und Mitigation-Systeme unterlaufen.
• Stealth Scanning (zum Beispiel TCP-SYN-Scans): Bogons werden genutzt, um Erkundungstraffic zu verschleiern, da Rückantworten ins Leere laufen und herkömmliche IDS/IPS-Systeme bei schlecht gepflegten Filterregeln versagen.
• Bypassing durch Quelladress-Manipulation: Viele Router und Firewalls prüfen Pakete primär nach Zieladressen. Wenn keine Source Address Validation (SAV) oder Reverse Path Forwarding (RPF) aktiv ist, können Pakete mit Bogon-Quellen unbemerkt passieren.

Schutzmaßnahmen gegen Bogon-Traffic

Professionelle Netzwerke setzen mehrstufige Strategien ein, um Bogon-Traffic zu erkennen und zu blockieren:

• Bogon-Filtering an den Netzwerkperimetern: Moderne Firewalls, Router und IDS/IPS-Systeme können regelmäßig aktualisierte Bogon-Listen, etwa von Team Cymru, einbinden, um verdächtigen Traffic zu unterbinden.
• BGP-Filtering und ACLs: Betreiber autonomer Systeme (AS) nutzen Access Control Lists (ACL) oder BGP-Blackholing, um nicht legitimierte Präfixe gezielt auszuschließen. Filter für Inbound- und Outbound-Traffic sind hierbei unerlässlich.
• Dynamische Updates und Automatisierung: Tools wie bgpq3, PeeringDB-basierte Routing-Policies oder kommerzielle Lösungen integrieren sich in das Netzwerkmanagement und aktualisieren Filterregeln regelmäßig auf Basis der jeweils aktuellen Routing-Informationen.
• Source Address Validation: Durch die Implementierung von Ingress Filtering am Netzwerkperimeter lässt sich verhindern, dass Pakete mit ungültigen Quelladressen das eigene Netz verlassen oder durchqueren.

Fazit

Obwohl Bogons in modernen Netzwerken kein Massenphänomen mehr darstellen, sind sie nach wie vor ein relevanter Vektor für Angriffe und Fehlverhalten im IP-Verkehr. Insbesondere in Rechenzentren, bei Transit-Providern und in sicherheitskritischen Umgebungen ist eine konsequente Implementierung von Bogon-Filtering und Quelladressvalidierung unverzichtbar. Automatisierung, kontinuierliche Updates und ein abgestimmtes Routing-Security-Konzept sind entscheidend für einen effektiven Schutz.