GFW部份功能已经下放到用户线路,墙内用户小心,不要使用“云宽带”产品、FTTR套餐
不看不知道,一看吓一跳,所谓的“云宽带”竟然是把用户家的内网延伸至运营商的云平台。
来源:《电信 云网关 云宽带 怎么取消?网络突然变 71.X》https://www.v2etwitter.com/t/967811
一直以来的宽带使用方式是,用户报装了宽带,运营商把光纤拉到用户家里,然后再配个光猫。
用户既可以直接用光猫上网,把光猫当作路由器来用;
也可以自己在后面配个路由器,光猫此时仅仅是接入器。
前者的做法,相当于光猫成了自家内网的一部份,要是中了毒的话,完全可以变成肉鸡,扫描用户内网设备。
但好在,运营商配的光猫本身性能就不算很好,功能也不多,甚至还需要内置硬件加速芯片才能跑满带宽上限。通常只有高端路由器才会配置性能优异、能跑满千兆的加速芯片。可想而知,运营商的光猫CPU性能高不到哪里去(大家在闲鱼搜一下二手光猫就知道大概价格了)
而后者的做法,相当于光猫和自家网络做了层分隔,光猫无法扫描用户内网设备。
但“云宽带”改变了这个做法。
那么“云宽带”为什么需要警惕?这是因为这是“云宽带”相当于把网关路由器放到了运营商云平台那里去,只要用户家里没有多一层路由器保护,而是直连,那么只要运营商愿意,就可以在云平台直接扫描用户内网。
请记住一件事情,在云平台那里,可以调用的机器性能远比十几瓦的光猫高得多!
接下来是重点部份,GFW功能下放
根据刚才发的v2ex内的讨论来看,发帖者发现云内网多了个新设备,“Wuhan Greenet infomation Service Co.,Ltd”,热心人经过调查,发现这个设备就是专门搞流量分析的。
根据热心人的提示,FTTR等同于运营商全盘接管用户家的内网。我后续查了下,发现危害很大
不用我多说,你也能想
《为什么我们要拒绝 PON 方案的 FTTR》https://v2etwitter.com/t/938105
《终于解决坑爹的 FTTR 搭配软路由的问题了》https://www.v2etwitter.com/t/961082
根据这些讨论贴的情况来看,FTTR的做法是,每个房间都配一个光猫,每个房间之间的互通流量都会经过运营商的光猫来传送。
不用我多说,你也能想象到危害有多大了吧?
来源:《电信 云网关 云宽带 怎么取消?网络突然变 71.X》https://www.v2etwitter.com/t/967811
一直以来的宽带使用方式是,用户报装了宽带,运营商把光纤拉到用户家里,然后再配个光猫。
用户既可以直接用光猫上网,把光猫当作路由器来用;
也可以自己在后面配个路由器,光猫此时仅仅是接入器。
前者的做法,相当于光猫成了自家内网的一部份,要是中了毒的话,完全可以变成肉鸡,扫描用户内网设备。
但好在,运营商配的光猫本身性能就不算很好,功能也不多,甚至还需要内置硬件加速芯片才能跑满带宽上限。通常只有高端路由器才会配置性能优异、能跑满千兆的加速芯片。可想而知,运营商的光猫CPU性能高不到哪里去(大家在闲鱼搜一下二手光猫就知道大概价格了)
而后者的做法,相当于光猫和自家网络做了层分隔,光猫无法扫描用户内网设备。
但“云宽带”改变了这个做法。
那么“云宽带”为什么需要警惕?这是因为这是“云宽带”相当于把网关路由器放到了运营商云平台那里去,只要用户家里没有多一层路由器保护,而是直连,那么只要运营商愿意,就可以在云平台直接扫描用户内网。
请记住一件事情,在云平台那里,可以调用的机器性能远比十几瓦的光猫高得多!
接下来是重点部份,GFW功能下放
根据刚才发的v2ex内的讨论来看,发帖者发现云内网多了个新设备,“Wuhan Greenet infomation Service Co.,Ltd”,热心人经过调查,发现这个设备就是专门搞流量分析的。
根据热心人的提示,FTTR等同于运营商全盘接管用户家的内网。我后续查了下,发现危害很大
不用我多说,你也能想
《为什么我们要拒绝 PON 方案的 FTTR》https://v2etwitter.com/t/938105
《终于解决坑爹的 FTTR 搭配软路由的问题了》https://www.v2etwitter.com/t/961082
根据这些讨论贴的情况来看,FTTR的做法是,每个房间都配一个光猫,每个房间之间的互通流量都会经过运营商的光猫来传送。
不用我多说,你也能想象到危害有多大了吧?
43 个评论
全面加速
这些都没必要关心,生活该怎样还怎样。所有你看的和输入的都在应用程序里面,只有你所用的应用程序才能获取,其他手段没有卵用。只要一直使用信得过的应用程序,就不用怕。
举个例子,他监控的软件硬件再多只能拿到两个信息,就是你翻墙了,且你装了TG,仅此而已。至于你在tg里打出了打倒共产党这5个字, TG之外的软件是无法知道的。
举个例子,他监控的软件硬件再多只能拿到两个信息,就是你翻墙了,且你装了TG,仅此而已。至于你在tg里打出了打倒共产党这5个字, TG之外的软件是无法知道的。
>>这些都没必要关心,生活该怎样还怎样。所有你看的和输入的都在应用程序里面,只有你所用的应用程序才能获取...
防人之心不可无,多留个心眼还是没坏处的
有些人可能会用智能电视,家里有联网打印机,还有防贼摄像头,万一真有漏洞被云网关扫到并且利用了,那绝对不是值得高兴的事
所以发帖提个醒
不仅仅需要关注GFW,也得防范云宽带的内网扫描
看上去主要是偷偷省成本(ipv4资源),某种不做告知的加价不加量
>>这些都没必要关心,生活该怎样还怎样。所有你看的和输入的都在应用程序里面,只有你所用的应用程序才能获取...
这个搞法确实大大增加了攻击面。
结果可能没有被老大哥搞,但是被各路灰产黑产搞的风险大大增加了。
>>防人之心不可无,多留个心眼还是没坏处的有些人可能会用智能电视,家里有联网打印机,还有防贼摄像头,万一...迷雾通今天下午突然连接不上。无法登录。联通移动都如此。
迷雾通今天下午突然连接不上。无法登录。联通移动都如此。
这让我想到一个未来可能的操作(最坏猜测,很可能现在就已经用着了)
凡是紧张时期,像是每年的3月、6月、10月,检测梯子阻断连接,不仅仅由GFW来做,还可以交由这些设备来做
对于CCP而言,不但能减轻GFW的负担,还能提高效率
我这个烂VPN ,虽然说是花钱买的,但是靠谱不靠谱真担忧,名字也不敢说,一到晚上十点之后就经常连不上,过了十二点才恢复过来。
内行人过来解释解释一下!
Here much thanks .
内行人过来解释解释一下!
Here much thanks .
>>我这个烂VPN ,虽然说是花钱买的,但是靠谱不靠谱真担忧,名字也不敢说,一到晚上十点之后就经常连不上...
早就说了,最简单的翻墙办法就是购买在大陆能够漫游的外国电话卡,稳如老狗,合法翻墙不折腾,除了贵,别的没毛病
>>早就说了,最简单的翻墙办法就是购买在大陆能够漫游的外国电话卡,稳如老狗,合法翻墙不折腾,除了贵,别的...
能否简单描述一下在墙内如何可以安全的操作,以及大致的费用。最近对目前所用的梯子已经有点难以忍受了,以天为单位无法连接。麻烦了,谢谢!
>>这些都没必要关心,生活该怎样还怎样。所有你看的和输入的都在应用程序里面,只有你所用的应用程序才能获取...
你想得太简单了,出于设计或者便利因素,局域网内很多流量可能是未加密或无防火墙过滤,将内网暴露给运营商会显著降低你的设备被入侵和监听的难度。
这对于懂的人改成单光猫没什么难度, 不懂的人你在这里说我觉得人家也看不到
FTTR是完全没必要的高价服务,信号不好,买几个中继无线路由就搞定了。限制带宽的是ISP端的处理能力,百兆千兆带宽跑不满又不是自家这边的事。傻逼才FTTR。
>>我这个烂VPN ,虽然说是花钱买的,但是靠谱不靠谱真担忧,名字也不敢说,一到晚上十点之后就经常连不上...大概率是被怀疑流量可疑了,即使确定你在翻墙,但他们也会去阻断。
目前限制FTTR的原因是否是性价比问题?FTTR除了能监控你的内网之外与FTTB、FTTH对用户上网体验并没有什么有效提升,那么这样会加重运营商成本。所以随着中国经济发展停滞不前,那么运营商是否会停止这种技术的普及?
>>光纤又不贵
要每个房间配光猫。
只能加个路由器保护一下家庭内网,最好是有很多自定义功能的软路由,但是这又太专业了,对非IT人员不太友好
你这个有点外行了额。。。
防火墙就是防火墙,并不是必须用NAT。如果升级ipv6,所有设备都直接暴露在外网,也是需要配置防火墙。
所以在新架构下,用户只需要自己配个路由器或者防火墙就又回到原来的样子,这基本也就是家用wifi的顺带功能,并没啥改变。
防火墙就是防火墙,并不是必须用NAT。如果升级ipv6,所有设备都直接暴露在外网,也是需要配置防火墙。
所以在新架构下,用户只需要自己配个路由器或者防火墙就又回到原来的样子,这基本也就是家用wifi的顺带功能,并没啥改变。
>>目前限制FTTR的原因是否是性价比问题?FTTR除了能监控你的内网之外与FTTB、FTTH对用户上网...
有人怀疑,所谓的FTTR其实是为了帮某些厂商卖货
消息来源:
《看了看逼乎推荐 FTTR 的文章,感觉很多坑,也有几个不明白的地方》https://www.v2etwitter.com/t/932975
发帖人提到:
「听群友的说法,这玩意可以称为是:厂家卖不出去千兆 OLT ,于是精心包装出来的『高级』产品,家庭局域网搞 PON 可以说是脑子有包。这个说法可信度有多高?」
讨论帖里面的人说:
「根本原因还是某厂的 ont 滞销」
「fttr 是一套很神奇的几乎没有任何优点的方案。很少见到这样全是缺点几乎没优点的方案。」
「就是运营商和厂家合伙从国企薅羊毛的」
>>你这个有点外行了额。。。防火墙就是防火墙,并不是必须用NAT。如果升级ipv6,所有设备都直接暴露在...
NAT跟防火墙本来就不是一回事,我也没说这是它们等价
对于IPv4而言,在原有架构下,NAT是必须用的。IPv4公网地址不够用,连运营商自己都搞CGNAT了。
要么保持默认设置,光猫自己同时是NAT网关。要么光猫改桥接,用户自己买路由器做转换。
现在大家就是这样做的。
至于IPv6那是另一回事,虽然说NAT是不需要,但仍然有人非要搞IPv6的NAT,单纯的图方便。尽管是少数。
防火墙的话,其实有许多网关设备的IPv6防火墙是默认开启的,禁止外部主动连进来,只允许内网向外发起连接。
于是就造成这么一个现象,明明内网机器已经获得了IPv6,自己的端口打开了,本机防火墙也放行了,但外面就是死活连不进来。排查后发现,原来是网关IPv6防火墙的缘故。
这个网关IPv6防火墙 + 禁止外部主动入站的模式,国内运营商的光猫是普遍默认启用的,但用户如果知道光猫密码那就可以进去关闭,可惜不少廉价路由器是无法彻底关闭的。
对于“新“架构,运营商可以把IPv6防火墙转移到云网关那边,这样会导致用户改不了网关侧IPv6防火墙的设置,知道光猫密码都没用。而且运营商完全可以”延续“原有习惯,继续禁止外面主动入站,毕竟廉价路由器就是这样的,原先的光猫更加如此,运营商照抄”惯例“也无可奈何。
所以这种所谓的新架构,能不用就不用
微信,华为手机不是一直如此么, 有这个的记得要用guest wifi模式
应该没必要在路由器多此一举
应该没必要在路由器多此一举
>>你这个有点外行了额。。。防火墙就是防火墙,并不是必须用NAT。如果升级ipv6,所有设备都直接暴露在...
不是的。理论上FTTR是用运营商的主光猫和分光猫完全替代用户家里的路由器、交换机、AP等网络基础设施。对用户真正的价值其实是运营商提供的售后维护和技术支持,还有就是家里没有布网线条件可以做隐形光纤。
不过理论归理论,现实中运营商为了完成指标的各种奇葩操作是另一回事了。
>>FTTR是完全没必要的高价服务,信号不好,买几个中继无线路由就搞定了。限制带宽的是ISP端的处理能力...
自家设备性能差的话,有时确实会造成带宽跑不满的。像是某些服务导致硬件NAT加速失效。
还有自家设备固件有缺陷的时候也是如此。
用 AC66U 的都能进来帮我看看么,遇到性能问题了
https://www.v2etwitter.com/t/312029
最后发帖人是重置+刷最新固件才能解决问题
其中有人还提到:
“我用的也是 AC66U ,之前升级宽带后也遇到了相同的问题。后来发现是因为开启了 QoS 和流量监控功能后就不能使用硬件 NAT 加速了,只能通过 CPU 来处理 NAT ,而 AC66U 的 CPU 又比较弱,于是就跑不满了。如果是这种情况,梅林系统进到 Tools 里可以看到 HW acceleration 那栏显示的是 Disabled - incompatible with: IPTraffic 。”
Asus RT-AX86U 梅林固件 388.1 开启 WireGuard 后性能下降,测速从 930Mbps 降到 601Mbps
https://www.v2etwitter.com/t/966434
同样是固件问题,旧版固件有bug,部分网络服务启用后会导致硬件加速失效,刷了新版固件后就正常了
广州联通改桥接后会降速
https://www.v2etwitter.com/t/922995
最后发现,是电脑单线程性能不足导致PPPoE速度上不去
——————
除此以外,还有大量的人用无线测速发现跑不满带宽,最后用有线测速跑满了,才明白确实是无线部分的问题
>>防人之心不可无,多留个心眼还是没坏处的有些人可能会用智能电视,家里有联网打印机,还有防贼摄像头,万一...
网安人路过,摄像头大概是后门多,见过海康最多拿下shell,busybox执行命令没几个倒是,就是有人能看你的画面心里膈应人
无论你们怎么翻,消息dns泄露你们的翻墙信息,先把可信的dot/doh弄上
翻墙的dns在服务器解析,但是绕过大陆IP这时候会先在本地解析一次,看一下IP是否是大陆的,这个过程是直接调用本地dns直接解析进行匹配,无论你本地dns设的是什么,普通dns是明文的。
翻墙的dns在服务器解析,但是绕过大陆IP这时候会先在本地解析一次,看一下IP是否是大陆的,这个过程是直接调用本地dns直接解析进行匹配,无论你本地dns设的是什么,普通dns是明文的。