Bogon
Eine Bogon ist eine unrechtmäßige IP-Adresse, die in eine Reihe von IP-Adressen fällt, die nicht offiziell von einer Internetregistrierungsinstitution, wie der Internet Assigned Number Authority (IANA), an eine Entität vergeben wurden. Bogons entstehen durch eine Fehlkonfiguration oder absichtlichen Missbrauch, der den Empfänger über seine Quell-IP-Adresse täuscht. Der Begriff Bogon wird umgangssprachlich verwendet und ist abgeleitet von dem englischen Wort Bogus (falsch, gefälscht).
Wie funktioniert eine Bogon?
IP-Adressen werden von der Internetinfrastruktur verwendet, um eine Einheit, wie eine Website oder einen Server, eindeutig zu identifizieren. Die IANA oder andere regionale Internet-Registrierungsstellen weisen jeder Instanz über ein Netzwerk eine IP-Adresse zu. Nach der Zuweisung werden diese Adressen dann für die Kommunikation zwischen zwei Endpunkten verwendet.
Der Bereich der registrierten IP-Adressen wird als reservierter Bereich bezeichnet. Eine Bogon tritt auf, wenn seine IP-Adresse nicht in diesen registrierten Bereich fällt oder Teil des Adressraums ist, der als Bogon Space bezeichnet wird.
Einige IP-Adressen können nur vorübergehend als Bogon gelten, da die IANA-Registrierung ständig aktualisiert wird und neue Adressräume zuweist. Private IP-Adressen können unter die Bogon-Beschreibung fallen, da sie nicht im öffentlichen Internet zu finden sind.
Risiken im Zusammenhang mit Bogons
Bogons sind normalerweise nicht über ein Netzwerk sichtbar, stellen aber dennoch ein bevorzugtes Ziel für Angriffe dar. Sie werden zum Beispiel häufig von Hackern oder Spammern verwendet, wenn sie einen DDoS-Angriff (Distributed Denial of Service) starten. Dies liegt daran, dass Bogon-Pakete nicht zu einem tatsächlichen Host oder einer Quelle zurückverfolgt werden können.
Außerdem lassen sich Bogons nutzen, um TCP-SYN-Scan-Angriffe (Transmission Control Protocol) zu starten und heimlich bösartige Informationen zu übertragen. Obwohl Bogons niemals in der Routing-Tabelle auftauchen sollten, können Router Bogons nicht erkennen, da sie nur die Ziel-IP-Adresse und nicht die Quell-IP-Adresse untersuchen.
Verhindern von Bogons
Viele Internet Service Provider (ISP), Firewalls und Intrusion Prevention Systeme (IPS) blockieren Bogons. Dies kann durch Bogon-Filterung oder durch die Zuweisung von Zugriffskontrolllisten (ACL) oder BGP-Blacklists (Border Gateway Protocol) an ein Gerät erreicht werden. Eine Liste von Bogons kann aus verschiedenen Quellen bezogen werden, beispielsweise über HTTP, BGP-Peering, Routing-Registrierungen und das DNS.
Wenn eine Bogon legitim wird, ist es normalerweise auf den Verteilerlisten des Netzwerkbetreibers zu finden, sodass die Adresse aus den Filtern entfernt werden kann. Eine Organisation kann ein Software-Tool wie RuleGate in Erwägung ziehen, das Bogons auf Geräten dynamisch blockiert und entsperrt.
