You are here: Home » Dokumentation » Netzwerk » Bogonen
Sorry, this page is not translated yet.

Bogonen

Das RUS-CERT verwendet sogenannte bogon prefixes, um fehlkonfigurierte oder kompromittierte Systeme im Universitätsnetz zu ermitteln.

Was sind Bogonen?

Mit dem englischen Wort bogus wurde im 19. Jahrhundert zunächst eine Prägemaschine für Falschmünzen bezeichnet, später dann auch die Falschmünzen selbst. Bis heute überlebte nur das Adjektiv, welches in etwa gefälscht, fehlerhaft, aber auch seltsam bedeutet (womit sich der Kreis wieder schließt, denn die Münzmaschine, die im Mai 1827 in Painsville (Ohio, USA) aufflog, wurde von der örtlichen Presse angeblich wegen ihres seltsamen Aussehens bogus getauft).

In Anlehnung an Elektron, Proton und insbesondere Boson entstand in Technikerkreisen das Wort Bogon, das für fehlerhafte oder seltsame Pakete im Netz und ähnliche Dinge verwendet wird. Im Zusammenhang mit der IP-Adressierung sind Bogonen IP-Pakete, die Adressen tragen, die derzeit nicht von der Internet Assigned Numbers Authority (IANA) für IP-Routing im öffentlichen Internet freigegeben sind. Die Bogonen-Präfixe (bogon prefixes) sind die einzelnen Adreßpräfixe, die aus diesem Grunde (teilweise noch, teilweise permanent) reserviert sind (wie z.B. 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16). Auch wenn die Bogonen-Präfixe durch Adreßallokation der IANA immer weniger werden, decken sie immer noch einen signifikanten Teil des Internet-Adreßraumes ab.

Wann treten Bogonen auf?

Bogonen können durch Konfigurationsfehler auftreten. Dies kann beispielsweise geschehen, wenn statt “129.69.1.28” als Nameserver-Adresse “126.69.1.28” eingetragen wird. Diese Bogonen sind nicht weiter gefährlich, und solange sie nur sporadisch auftreten, belasten sie auch nicht das Netz, auch wenn sie natürlich völlig überflüssig sind.

Eine weitere Quelle von Bogonen sind kompromittierte Systeme, auf denen ein Angriffsprogramm läuft, welches mehr oder weniger zufällig IP-Adressen bestimmt und dann Pakete mit diesen Zieladressen losschickt. Früher oder später wird dabei ein Bogon erzeugt, wodurch sich ein kompromittiertes System bereits auf einer sehr niedrigen Schicht im Schichtenmodell erkennen lässt. Diese Bogonen sind zwar per se auch nicht gefährlich, aber deuten stark darauf hin, daß hässliche Dinge ablaufen.

Zahlreiche Angriffsprogramme vermeiden allerdings inzwischen durch geeignete Präfix-Listen das Erzeugen von Bogonen, wodurch diese Methode häufig an Schlagkraft verliert. Aus diesem Grund führt das RUS-CERT inzwischen einen Abgleich der Paketadressen mit der Internet-Routing-Tabelle durch. Schadprogramme besitzen derzeit noch keinen Zugriff auf diese globalen Routing-Informationen, weshalb sie hin und wieder nicht geroutete Pakete erzeugen, die sich durch den Abgleich mit der Roting-Tabelle erkennen lassen.

Durch das Aufkommen sogenannter Peer-To-Peer File-Sharing Networks (P2P) gibt es eine weitere Ursache für Bogonen. Systeme, die aufgrund einer privaten Adreßvergabe eine Bogonen-Adresse tragen, können zwar per Network Address Translation (NAT) viele IP-basierte Dienste einsetzen und auch an den meisten P2P-Netzten teilnehmen (und zumindest die Grundfunktionalität nutzen). Bei einigen P2P-Protokollen wird jedoch die private Adresse in die Datenpakete selbst geschrieben, wo sie vom NAT-Gateway nicht geändert wird. Falls ein P2P-Client versucht, mit dieser Adresse Kontakt aufzunehmen, entstehen Bogonen. (Dieser Effekt ist natürlich nicht P2P-spezifisch und kann auch bei anderen Protokollen auftauchen, aber P2P-Anwendungen sind die herausragende Quelle derartiger Bogonen. Die meisten Protokolle funktionieren mit unvollständigem NAT einfach nicht, P2P-Protokolle sind dagegen i.d.R. sehr robust.)

Wie beobachtet das RUS-CERT Bogonen?

Wir überwachen die flows auf dem Borderrouter zum Internet. Flows sind sozusagen virtuelle Verbindungen, die der Router automatisch aus einzelnen Paketen konstruiert. Bogonen erzeugen flows, die als Zieladresse eine reservierte IP-Adresse haben. Die Daten dieser flows werden temporär gespeichert und regelmäßig automatisiert ausgewertet. Falls uns Bogonen auffallen, benachrichtigen wir den Verantwortlichen für das Netz, aus dem die Bogonen wahrscheinlich kommen.

Weitere Informationen zu Bogonen