Was ist eine "Bogon"-IP?

Ein **Bogon** ist eine IP-Adresse, die **nie** als Quelle im oeffentlichen Internet auftauchen sollte. Dazu gehoeren: **RFC1918-Privat**-Ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), **CGNAT** (100.64.0.0/10), **Link-Local** (169.254.0.0/16 fuer v4, fe80::/10 fuer v6), **Loopback** (127.0.0.0/8, ::1), **Multicast** (224.0.0.0/4, ff00::/8), **Documentation**-Ranges (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 2001:db8::/32) und **Reserved-for-Future-Use** (240.0.0.0/4). Hat ein Request an deine oeffentliche Seite eine **Bogon-Source-IP**, ist dein Netzwerk falsch konfiguriert oder jemand spooft. Bogons sind nuetzlich zu erkennen: sie sagen dir sofort, dass die IP im Internet nicht routebar ist, du kannst Tor-/Geo-/WHOIS-Lookups also fuer sie ueberspringen.

Was bedeutet CGNAT und warum wird es separat geflaggt?

**CGNAT** steht fuer **Carrier-Grade NAT** (RFC6598, Range **100.64.0.0/10**). Wenn ein ISP nicht genug oeffentliches IPv4 hat, um jedem Kunden eine eigene Adresse zu geben, packt er **hunderte Kunden hinter eine geteilte oeffentliche IP** ueber eine zweite NAT-Schicht. Innerhalb des Carriernetzes sehen diese Kunden Adressen wie 100.64.x.x. CGNAT ist sehr verbreitet bei **Mobilfunkanbietern** und **Glasfaser-ISPs in Laendern mit knappem IPv4-Vorrat** (Indien, Brasilien, Teile Osteuropas). Warum es flaggen: eine CGNAT-IP **identifiziert den geteilten Pool eines ISPs, nicht einen einzelnen Nutzer**. Sie zu blocken kann viele Unschuldige aussperren, und jede Geo-Information fuer sie ist im Grunde "wo der ISP seine NAT-Box hingestellt hat".

Wie erkennt ihr einen Tor-Exit-Node?

Das Tor-Projekt veroeffentlicht unter `https://check.torproject.org/torbulkexitlist` eine **Sammelliste aller aktuellen Exit-Nodes**. Wir holen die Liste **hoechstens einmal alle 24 Stunden**, cachen sie im Server-Memory und pruefen, ob die eingereichte IP im Set ist. Der Check ist **Exact-Match per IP** (nicht per ASN), er deckt also auch Tor-Exits ab, die auf Heimanbindungen laufen. Ein "tor: ja" bedeutet, dass die IP **in den letzten Stunden als Tor-Exit fungierte** (die Liste wird upstream rund stuendlich aktualisiert). Bei "nein" mit Hosting-ASN kann die Adresse trotzdem ein Tor-Relay oder ein privates VPN sein.

Wie erkennt ihr eine Datacenter-/Hosting-IP?

Wir pflegen eine **kuratierte Liste von rund 30 der groessten Hosting-/Cloud-ASNs** (Cloudflare, AWS, GCP, Azure, Hetzner, OVH, DigitalOcean, Linode, Vultr, Alibaba Cloud, Tencent Cloud etc.). Wenn der Team-Cymru-ASN-Lookup eines dieser ASNs zurueckgibt, flaggen wir die IP als **datacenter**. Das ist **bewusst eine kleine, signalstarke Liste**: statt 10.000 Nischen-VPS-Anbietern hinterherzulaufen, konzentrieren wir uns auf die Netze, die den **Loewenanteil automatisierten Traffics** ausmachen. Stellt sich eine seltsame IP als grosses Cloud-ASN heraus, kannst du sie mit hoher Sicherheit als "Bot" oder "non-human" behandeln.

Wann sollte ich ueberhaupt eine IP nachschlagen?

Typische Trigger: **(1)** ein Login oder API-Call von einer unbekannten IP taucht in den Logs auf und du willst Kontext, bevor du alarmierst; **(2)** ein automatisiertes System hat einen echten Kunden abgelehnt und du willst wissen, was den Filter ausgeloest hat; **(3)** du schreibst einen **Abuse-Report** und brauchst Betreibername plus Land, um ihn an die richtige Registry zu senden; **(4)** du **untersuchst Spam, Scraping oder Form-Missbrauch** und willst wissen, ob du eine einzelne IP oder ein ganzes Subnet blocken sollst; **(5)** du hast Infrastruktur migriert und willst verifizieren, dass das neue ASN deine IP ansagt; **(6)** ein Kunde sagt "ich erreiche eure Seite nicht", und du willst sehen, ob er hinter CGNAT oder Tor steckt.

Wie genau sind die Geolokationsdaten?

**Landesgenau**: meist richtig, rund **95 bis 99 Prozent** Trefferquote auf Residential-IPs. **Stadtgenau**: oft falsch, **vielleicht 60 bis 80 Prozent**. **Koordinaten**: typischerweise ein grober Stadtschwerpunkt, **nicht der tatsaechliche Standort des Nutzers**. Geo-Datenbanken werden aus einem Mix aus WHOIS-Daten, vom ISP gemeldeten Mappings, Latenz-Triangulation und Kundenfeedback gebaut und **hinken Monate hinter der Realitaet her**: eine 2019 nach Berlin allokierte IP zeigt vielleicht noch drei Jahre nach dem Umzug "Berlin". **VPNs, Tor und Mobilfunkanbieter** zerstoeren die Geo-Genauigkeit voellig. Behandle Geo als Hinweis, der eine Hypothese andeutet, nie als alleinige Evidenz.

Warum sieht die Reverse-DNS-Spalte manchmal wirr aus?

Reverse DNS (**PTR-Record**) wird vom Eigentuemer des IP-Blocks gesetzt. **Manche Eigentuemer setzen sinnvolle Namen** (`dns.google`, `one.one.one.one`, `smtp.example.com`). **Viele setzen generische Templates**: `ec2-3-x-y-z.compute-1.amazonaws.com`, `server.hostingprovider.com`. Manche setzen **nichts** (der Lookup gibt nichts zurueck). Manche setzen **irrefuehrende oder veraltete Werte**, die die Realitaet nicht mehr widerspiegeln. Ein Reverse-DNS-Treffer ist super, wenn er existiert und sinnvoll aussieht, aber sein Fehlen heisst nichts: es ist eine optionale Konvention.

Wird IPv6 unterstuetzt?

**Ja, vollstaendig.** Der ASN-Lookup nutzt fuer IPv6 Team Cymrus **origin6.asn.cymru.com**-Service, der Bogon-Detektor erkennt **::1 (Loopback), fc00::/7 (ULA), fe80::/10 (Link-Local), ff00::/8 (Multicast) und 2001:db8::/32 (Documentation)**, Reverse DNS funktioniert wie bei v4. Die Geo- und Tor-Datasets decken IPv6 ebenfalls ab, mit einem Vorbehalt: die **Datacenter-ASN-Liste** ist fuer v4 und v6 gleich, eine IPv6 auf AWS wird also weiter als Datacenter geflaggt.

Speichert ihr die nachgeschlagenen IPs?

**Nein.** Jeder Lookup laeuft End-to-End **innerhalb des Request-Lifecycles**, trifft Team Cymru DNS / ip-api / die Tor-Liste, gibt das Ergebnis an den Browser zurueck und vergisst dann den Input. Es gibt **keine Datenbank, kein Log nachgeschlagener IPs, kein Analytics-Tag** auf der Anfrage. Den einzigen State, den wir halten, sind der **modulgebundene Rate-Limit-Counter** fuer deine Requester-IP (zuruecksetzt stuendlich) und der **Tor-Exit-Listen-Cache** (eine geteilte globale Liste, nicht pro Nutzer).

IP-Info / ASN-Lookup - kostenlos

IP-Info / ASN-Lookup: wem gehoert diese Adresse, wo lebt sie, was fuer ein Host ist das

Fuege eine beliebige IPv4- oder IPv6-Adresse ein und du bekommst in einer Sekunde den vollen Hintergrund: welcher Netzbetreiber (ASN) sie ins Internet ansagt, welches Land und welche Registry sie zugewiesen haben, welchen Reverse-DNS-Namen sie traegt, welche Stadt die Geo-Datenbanken auf sie packen und ob sie ein Bogon, Privat, CGNAT, Tor-Exit-Node oder bekannter Datacenter ist.

Das ist, was Abuse-Desks, Security-Teams und neugierige Entwickler tun, wenn eine unbekannte IP in ihren Logs auftaucht. Du musst whois nicht installieren, ARIN-Queries nicht von Hand tippen und keinem einzelnen kommerziellen Geo-Provider vertrauen: das Tool kombiniert den ASN-Service von Team Cymru, den OS-Reverse-DNS-Resolver, die oeffentliche Tor-Exit-Liste und eine kuratierte Liste von Cloud-/Hosting-ASNs zu einem klaren, multi-signal-basierten Urteil.

Nutze es in dem Moment, in dem eine seltsame IP in deinen Serverlogs auftaucht, eine Comment-Spam-IP Kontext braucht, ein Kunde sich beschwert "ich werde geblockt", oder du einfach wissen willst, ob eine IP eine normale Heimanbindung oder eine AWS-EC2-Instanz ist.

So benutzt du es

IP-Adresse einfuegen in beliebigem Format: IPv4 wie `8.8.8.8`, IPv6 wie `2606:4700:4700::1111`. Das Feld validiert beim Absenden, kein `http://`, kein Port, nur die Adresse.
Lookup klicken. Das Tool fuehrt alle Checks parallel: ASN-Lookup ueber Team Cymru DNS, Reverse DNS ueber den OS-Resolver, Geo ueber eine oeffentliche API, Bogon-/CGNAT-/Multicast-Checks via lokalem Bitmaskenabgleich, Tor-Exit-Check gegen eine taeglich gecachte Liste.
Die Beispiel-IP-Chips nutzen, um typische Testfaelle sofort auszuprobieren: `8.8.8.8` (Google DNS, Datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privat), `100.64.0.1` (CGNAT).
Die Flag-Badges oben lesen: Familie (v4 / v6), public vs Bogon, Datacenter, Tor. Rote Badges heissen "nicht wie eine normale Client-IP behandeln".
Identity-Karte: zeigt IP, Familie und Reverse DNS (PTR). Ein Reverse wie `dns.google` ist ein starkes Indiz, dass die IP zu dieser Organisation gehoert.
ASN-Karte: ASN-Nummer, Registry-Name (ARIN, RIPE, APNIC...), zugewiesener Prefix und Netzbetreiber (CLOUDFLARENET, AMAZON-02, GOOGLE).
Geo-Karte: Land, Region, Stadt, Koordinaten, Zeitzone, ISP und Organisation. Stadtgenaue Daten als Hinweis sehen, nicht als Fakt, besonders bei Mobilfunknetzen und VPN-Exits.
Flag-Karte: explizite Urteile zu Bogon / Tor / Datacenter plus das Alter des Tor-Listen-Caches, damit du weisst, wie frisch die Antwort ist.

Wann das nuetzlich ist

Sechs konkrete Situationen, in denen dieses Tool das "ich google die IP halt" ersetzt:

Triage verdaechtigen Traffics in Serverlogs. Ein Login von `45.61.x.x` sieht komisch aus. Du fuegst sie ein: das ASN ist ein bekannter Hosting-Provider, das Reverse DNS ist ein generischer VPS-Hostname, und das Tool flaggt datacenter. Der eine Treffer reicht, um Rate-Limits zu verschaerfen oder MFA zu triggern.
Tor-Exit-Erkennung fuer Fraud-/Abuse-Policies. Jemand hat dein Free-Tier von `185.220.x.x` missbraucht. Du fuegst die IP ein, das Tool liefert tor: ja mit einer in den letzten 24h aktualisierten Tor-Liste. Du ergaenzt eine Policy "Signups von Tor-Exits blocken, Login durchlassen" und bist fertig.
Kunde beschwert sich, dass er dich nicht erreicht. Er sendet seine IP. Du siehst CGNAT, das ASN ist ein Mobilfunkanbieter, das Land passt zu seiner Angabe. Sein Problem liegt vermutlich an seinem NAT (Port-Range), nicht an deinem Service.',
Untersuchung von Spam-Kommentaren / Form-Missbrauch. Die IP zeigt sich als datacenter (DigitalOcean) in Sao Paulo, der Reverse DNS ist ein generischer Droplet-Name. Das sagt dir, das ganze Subnet an der Front-Edge zu blocken statt Whack-a-Mole zu spielen.
"Private IP" verifizieren, bevor man sie meldet. Du siehst `100.64.5.10` in einem Bug-Report. Das Tool flaggt sie CGNAT (keine echte oeffentliche IP), und du bittest den User, seine oeffentliche IP von einer anderen Seite zu nennen.
Sanity-Check einer Netzwerkaenderung. Du hast den Upstream-Provider an einem Server geaendert. Nach dem Cutover fuegst du die Server-IP ins Tool ein. Das ASN sollte jetzt der neue Provider sein. Steht da noch das alte ASN, weisst du, dass die Route-Ansage noch nicht propagiert ist.

Fragen und Antworten

ASN steht fuer Autonomous System Number. Das Internet ist kein einziges grosses Netz, es sind grob 100.000 separate Netze (ISPs, Hosting-Provider, Grossfirmen, Universitaeten), die alle unabhaengig laufen. Jedes hat eine Nummer, z. B. AS15169 ist Google, AS16509 ist Amazon AWS, AS13335 ist Cloudflare. Jede IP im oeffentlichen Internet wird von einem dieser ASNs ausgesagt. Das ASN sagt dir "diese IP gehoert zu Netz X", was viel zuverlaessiger ist als landesgenaue Geolokation, wenn du wissen willst, "wer kontrolliert diese Adresse". Wenn das ASN ein bekannter Consumer-ISP ist, ist die IP fast sicher ein Heimnutzer; wenn es AWS ist, fast sicher ein Server.

IP-Info / ASN-Lookup: wem gehoert diese Adresse, wo lebt sie, was fuer ein Host ist das

So benutzt du es

IP-Adresse einfuegen in beliebigem Format: IPv4 wie `8.8.8.8`, IPv6 wie `2606:4700:4700::1111`. Das Feld validiert beim Absenden, kein `http://`, kein Port, nur die Adresse.

Lookup klicken. Das Tool fuehrt alle Checks parallel: ASN-Lookup ueber Team Cymru DNS, Reverse DNS ueber den OS-Resolver, Geo ueber eine oeffentliche API, Bogon-/CGNAT-/Multicast-Checks via lokalem Bitmaskenabgleich, Tor-Exit-Check gegen eine taeglich gecachte Liste.

Die Beispiel-IP-Chips nutzen, um typische Testfaelle sofort auszuprobieren: `8.8.8.8` (Google DNS, Datacenter), `1.1.1.1` (Cloudflare), `192.168.1.1` (RFC1918 privat), `100.64.0.1` (CGNAT).

Die Flag-Badges oben lesen: Familie (v4 / v6), public vs Bogon, Datacenter, Tor. Rote Badges heissen "nicht wie eine normale Client-IP behandeln".

Identity-Karte: zeigt IP, Familie und Reverse DNS (PTR). Ein Reverse wie `dns.google` ist ein starkes Indiz, dass die IP zu dieser Organisation gehoert.

ASN-Karte: ASN-Nummer, Registry-Name (ARIN, RIPE, APNIC...), zugewiesener Prefix und Netzbetreiber (CLOUDFLARENET, AMAZON-02, GOOGLE).

Geo-Karte: Land, Region, Stadt, Koordinaten, Zeitzone, ISP und Organisation. Stadtgenaue Daten als Hinweis sehen, nicht als Fakt, besonders bei Mobilfunknetzen und VPN-Exits.

Flag-Karte: explizite Urteile zu Bogon / Tor / Datacenter plus das Alter des Tor-Listen-Caches, damit du weisst, wie frisch die Antwort ist.

Wann das nuetzlich ist

Sechs konkrete Situationen, in denen dieses Tool das "ich google die IP halt" ersetzt:

Triage verdaechtigen Traffics in Serverlogs. Ein Login von `45.61.x.x` sieht komisch aus. Du fuegst sie ein: das ASN ist ein bekannter Hosting-Provider, das Reverse DNS ist ein generischer VPS-Hostname, und das Tool flaggt datacenter. Der eine Treffer reicht, um Rate-Limits zu verschaerfen oder MFA zu triggern.
Tor-Exit-Erkennung fuer Fraud-/Abuse-Policies. Jemand hat dein Free-Tier von `185.220.x.x` missbraucht. Du fuegst die IP ein, das Tool liefert tor: ja mit einer in den letzten 24h aktualisierten Tor-Liste. Du ergaenzt eine Policy "Signups von Tor-Exits blocken, Login durchlassen" und bist fertig.
Kunde beschwert sich, dass er dich nicht erreicht. Er sendet seine IP. Du siehst CGNAT, das ASN ist ein Mobilfunkanbieter, das Land passt zu seiner Angabe. Sein Problem liegt vermutlich an seinem NAT (Port-Range), nicht an deinem Service.',
Untersuchung von Spam-Kommentaren / Form-Missbrauch. Die IP zeigt sich als datacenter (DigitalOcean) in Sao Paulo, der Reverse DNS ist ein generischer Droplet-Name. Das sagt dir, das ganze Subnet an der Front-Edge zu blocken statt Whack-a-Mole zu spielen.
"Private IP" verifizieren, bevor man sie meldet. Du siehst `100.64.5.10` in einem Bug-Report. Das Tool flaggt sie CGNAT (keine echte oeffentliche IP), und du bittest den User, seine oeffentliche IP von einer anderen Seite zu nennen.
Sanity-Check einer Netzwerkaenderung. Du hast den Upstream-Provider an einem Server geaendert. Nach dem Cutover fuegst du die Server-IP ins Tool ein. Das ASN sollte jetzt der neue Provider sein. Steht da noch das alte ASN, weisst du, dass die Route-Ansage noch nicht propagiert ist.

Fragen und Antworten

IP-Info / ASN-Lookup

IP-Info / ASN-Lookup: wem gehoert diese Adresse, wo lebt sie, was fuer ein Host ist das

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

Was ist meine IP

DNS-Lookup

WHOIS-Lookup

Reverse-DNS-Suche (PTR-Eintrag)

CIDR Subnet-Rechner

IP-Info / ASN-Lookup

IP-Info / ASN-Lookup: wem gehoert diese Adresse, wo lebt sie, was fuer ein Host ist das

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

Was ist meine IP

DNS-Lookup

WHOIS-Lookup

Reverse-DNS-Suche (PTR-Eintrag)

CIDR Subnet-Rechner