“服务器 bogon”通常出现在网络日志、防火墙记录或路由器的输出中,指的是来自一个“未分配、保留或私人/内部”IP地址的流量。
Bogon 是网络世界中的“冒牌货”或“黑户”,以下是详细解释:
Bogon 地址分为两类:
未分配的 IP 地址: 互联网号码分配机构(IANA)尚未将这些 IP 地址分配给任何区域互联网注册机构,它们不应该出现在公共互联网上。
保留/私人/特殊用途的 IP 地址: 这些地址被设计用于特定目的,*禁止*在公共互联网上传输。
私有地址:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16(家庭和公司内部网络)
回环地址:127.0.0.0/8(指向本机)
链路本地地址:169.254.0.0/16(Windows 自动分配)
文档/测试地址:192.0.2.0/24,198.51.100.0/24 等
当你看到日志显示“来自 bogon 的流量”或“阻断 bogon”时,意味着你的服务器收到了一条数据包,其来源 IP 地址属于上述“非法”范围。
为什么这很奇怪? 因为真正的互联网服务器,不应该向你的服务器发送数据包,除非它使用的是合法的公网 IP,任何一个合法的互联网服务器,其 IP 都不可能是192.168.x.x 或127.x.x.x。
虽然这种情况看起来像是“入侵”,但有几种常见原因:
1、最常见的(网络配置错误):
- 你所在的公司/数据中心网络内部,有一台服务器或路由器配置错误(它错误地使用了私有 IP 地址作为源 IP 去访问外网,或者路由表出了问题)。
- 你的防火墙规则可能没有正确识别内部流量,导致内网 IP 被检测为“Bogon”。
2、恶意攻击(伪装/欺骗):
DDoS 攻击(分布式拒绝服务攻击):攻击者为了隐藏真实来源,会伪造数据包的源 IP 地址,他们经常使用私有地址或未分配地址,让防御变得困难,并试图绕过基于 IP 的白名单/黑名单。
扫描和漏洞探测:黑客以假 IP 对全互联网进行扫描,如果误触了你的服务器,你就会在日志中看到这些 IP。
3、错误的路由公告(BGP 泄漏):
- 某个 ISP(互联网服务提供商)错误地将本该只在其内部使用的 Bogon IP 区块公告给了整个互联网,这会导致数据包被错误地路由,并使你的服务器看到来自“Bogon”地址的流量。
首先要做: 不要惊慌,看到 Bogon 流量不一定是被攻击,绝大多数时候,它只是网络噪音。
检查是否真的是“外部”流量: 确认这个 Bogon IP 是否是你自己网络内部的 IP?如果是(例如你的内网 192.168.x.x 被日志记录为“bogon”),那说明你的防火墙或日志系统可能将内部流量误判为外部流量,需要检查网络拓扑和 ACL(访问控制列表)规则。
标准做法: 许多专业路由器、防火墙和 DDoS 防护服务默认就会丢弃 Bogon 数据包,你通常不需要手动去处理,如果你发现来源 IP 是真正的公网 IP(但被误判),才需要调整规则。
绝对不需要做: 不要尝试反向追踪或反击 Bogon 地址,因为那是假的,追踪到的终点是空地址或你自己网络的某个设备。
| 情况 | 含义 | 应对 |
| 服务器日志中频繁出现“bogon” | 有数据包从“假/未分配”的 IP 地址到达你的服务器。 | 99% 情况下是正常的网络噪声。 |
| Bogon IP 是你内部网络的 IP | 防火墙/路由器配置错误,未正确区分内外网。 | 检查 ACL(访问控制列表)规则。 |
Bogon IP 是127.x.x.x | 有人(或程序)错误地发送了指向本机的数据包到你的服务器。 | 检查内部程序配置。 |
| 大量不同 Bogon IP 的攻击 | 可能是 DDoS 攻击的伪装源。 | 启用 DDoS 防护(云服务商或硬件)。 |
一句话概括:“服务器 bogon” = 你的服务器收到来自它不应该存在的源 IP 的流量,通常无害,但如果你担心,不妨检查一下防火墙的日志和配置。
文章摘自:https://idc.huochengrm.cn/js/25168.html
评论