文章内容
2021/4/19 20:00:51,作 者: 黄兵
Bogon IP
“ Bogon”是一个非正式术语,用于描述公共Internet上的IP数据包,这些IP数据包声称来自保留的IP地址空间的区域,但尚未由Internet分配号码机构(IANA)或任何区域性机构分配或委托互联网注册中心(RIR)。专用IP地址也被认为是Bogon,因为不应在公共Internet上找到它们。许多ISP和最终用户防火墙都试图阻止Bogon,因为它们没有合法用途。您会看到“无底”的唯一原因是有人不小心误配置了某些内容,还是故意为恶意目的创建了它们。
Bogon数据包对于网络罪犯很有用,因为这些数据包不能归因于实际的主机(因为源IP是虚假的)。路由器不会检查数据包的源IP地址,它们只关心目标IP地址,因此路由器会很乐意将Bogon数据包转发到其目的地。
不能使用Bogon数据包来启动和建立TCP连接(建立TCP连接需要在两个端点之间进行3次握手)。因此,无法使用Bogon数据包来发送垃圾邮件或发送HTTP / Web流量。但是Bogon可以用于发起TCP SYN攻击,并且在网络上约有10%的DDoS攻击中使用。停止使用Bogon不仅可以帮助您的企业,还可以帮助您连接的企业。Bogon还可用于秘密移动信息。
企业多年来一直在过滤无聊的东西。有些人比其他人做得更好。那些做得好的人可以减少前进的恶意流量。从历史上看,当ISP或企业说他们过滤Bogon时,它们很可能只引用私有IP地址,而不是完整的Bogon地址空间。过滤专用IP地址仅需要遵循一些规则。但是过滤完整的Bogon列表需要大约5000条针对IPv4的规则和大约70,000条针对IPv6的规则。如果要双向过滤,请将这些数字加倍。假设有5000条规则将导致防火墙和路由器ACL的性能下降,则ISP和企业(如果有的话)过滤完整的僵尸列表的可能性很小(如果有的话)。
有关上下文的其他一些非常重要的说明:
- Bogon地址不是静态的。地址被分配,未分配和更改。因此,尽管Bogon列表的核心可能会长时间保持不变,但如果要使用它进行阻止,则该列表具有足够的动态性,需要经常进行更新。诸如Centripetal Networks RuleGate之类的自动化系统可以动态获取Bogon,并自动阻止它们。
- 值得一提的是,市场上只有一种设备能够处理足够多的规则(包括双向)来阻止Bogon,这就是RuleGate。
- 此外,IPv4网络不受IPv6宽带带宽泛洪攻击的影响。大多数ISP和许多企业使用双模式设备,该设备既可以路由IPv4也可以路由IPv6,并且具有IPv6路由表,并且已经将IPv6预分配给了其订户网络。
- 网络中支持IPv6的双模式系统还可以使恶意行为者执行其他操作,例如在您不知情的情况下使用IPv6提取其数据。尽管这不是Bogon的精确定义,但是未经授权使用您的网络是虚假的,是不好的,也应停止使用。
- 希望关于Bogon的讨论能引起您的思考。关于Bogon的讨论很少,部分原因是直到现在,还没有能够真正阻止Bogon的自动化系统。现在有了,值得进行对话。
评论列表