这是一个创建于 2753 天前的主题,其中的信息可能已经有所发展或是发生改变。
看看这次 WannaCry 的传播方式~
如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~
嗯,我们应该对运营商心怀感恩才对。
如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~
嗯,我们应该对运营商心怀感恩才对。
第 1 条附言 · 2017-05-15 14:25:13 +08:00
有点激动的童鞋们,要有幽默感嘛……
 |
1
yexm0 2017-05-14 15:07:08 +08:00 via Android  1
这次 ga,石油,校园大规模中招就是通过内网散播造成的。而家庭用户可没中招。
|
 |
2
ys0290 2017-05-14 15:08:29 +08:00 via iPhone 2
感恩的是 445 端口封了,关内网啥事
|
 |
3
bazingaterry 2017-05-14 15:10:40 +08:00
就算是公网也有路由器挡着啊,楼主应该担心 IPv6 普及之后的情况……
|
 |
4
leavic 2017-05-14 15:24:47 +08:00 via iPhone 1
@bazingaterry 学校网络很多都是电脑直接就分配到公网 IP 的,一个实验室活生生一个数据中心。
|
 |
5
imn1 2017-05-14 15:30:06 +08:00 10
关进监狱可以避免更多受害可能
|
 |
6
mytsing520 2017-05-14 15:35:46 +08:00
@yexm0 你说的这些客户大部分可没有 NAT 设备
|
 |
7
mandymak 2017-05-14 15:43:15 +08:00
我在想主要不是运营商保护了家庭用户,主要是家庭用户大多是用路由器。试想想如果家庭用户多是用电脑直接拨号的话,而同运营商 NAT 内网中有用户的电脑中了此病毒,其他用户不也同样遭殃吗?
|
 |
8
Liqianyu 2017-05-14 15:47:55 +08:00
NAT≠CGN
|
 |
10
Gothack 2017-05-14 15:48:19 +08:00 via iPhone
得了吧,即便给你公网 ip 也大概率不会染到家庭用户,只要你不随便点链接,因为大多数家里都会安装路由器,外面请求到不了 pc 的 445。反而是学校医院等大局域网,一万个人只要有一个人点了病毒链接就会迅速在局域网中散开。
|
 |
12
dot OP @bazingaterry 貌似很多高校,IPv6 都是一机一 IP 直连公网的……
|
|
14
dot OP @mandymak 运营商的本意当然不是为了保护用户……是为了省 IP ……至于你说的路由器,当然现在很多人都用,也有那种光猫桥接直接拨号的,什么都有的啦~ 不过貌似运营商内部 NAT 有做端口隔离吧~ 我还没扫到过其它 IP 有响应的……回家试试~
|
|
15
dot OP @Gothack 自己搞的 NAT 也是 NAT ……光猫桥接直连拨号的客户也是有的,还有 DMZ 的,那种分分钟就挂掉了嘛~
|
 |
17
skyeycirno 2017-05-14 16:56:37 +08:00
三巨头是因为封锁了 445 端口,不是因为 NAT 啊
|
 |
18
bilok 2017-05-14 17:19:20 +08:00 via iPhone
封锁 80 445 端口本意是为保护用户?醒醒
|
 |
19
965380535 2017-05-14 17:22:54 +08:00
楼主是调侃 还是当真了? 没有公网 ip 大搞 nat 是 ip 不够了 封掉 80 端口是防止用于提供网站服务
|
 |
20
ouqihang 2017-05-14 17:23:53 +08:00 via Android
公网地址也可以隔离,指定某个网段才能直接访问。
|
 |
21
kooze 2017-05-14 17:49:29 +08:00
脑子是个好东西
|
 |
22
ksmter 2017-05-14 19:03:43 +08:00
吓得我赶紧把 DMZ 给关了,虽然理论上 win10 1703 不受影响。。
|
 |
24
LGA1150 2017-05-14 19:12:01 +08:00
就算是公网 IP 也能通过 255.255.255.255 掩码并在网关处限制子网 IP 间通信来解决
|
 |
25
mooncakejs 2017-05-14 19:30:49 +08:00
公网 ip 本来就不够用,凭什么必须给你?
|
 |
26
yhxx 2017-05-14 19:35:01 +08:00
封 445 应该确实是为了安全
至于封 80.。。。。 |
 |
28
chinawrj 2017-05-14 19:54:59 +08:00
@bazingaterry IPV6 普及之后更没这个问题。
|
 |
29
onion83 2017-05-14 19:56:46 +08:00
封 80 为了保护你们的路由器啊(笑
|
 |
30
awss 2017-05-14 20:06:18 +08:00
嗯,我们也应该感谢 gfw,让我们免受帝国主义的毒害。。。。
|
 |
31
JenghongLee 2017-05-14 20:09:11 +08:00 via iPhone 1
楼主想感恩运营商 NAT 那就感恩去吧。三大运营商公网都是屏蔽了 445 端口的你知道嘛。最主要还不是为了省钱不普及 IP v6。
|
 |
32
liliang13 2017-05-14 20:10:15 +08:00 1
记得当年,很流行扫描开放了 80 端口的 ADSL 猫,用弱密码登录后获取宽带账号密码去电信互联星空充值 Q 币。
这是既有公网 IP,又开放了 80 端口 |
 |
33
expy 2017-05-14 20:40:45 +08:00
nat 主要解决 ip 不够的问题吧,虽然事实上起到了保护作用。
坏处是各种 p2p 软件不能完全正常工作,想从外面连回家也是各种蛋疼。 |
 |
34
sgissb1 2017-05-14 22:01:56 +08:00 1
lz 你这嘲讽的不对,如果运营商给内网 ip,然后又没有做 vlan 隔离的话,那么更严重,因为所有的 pppoe 终端都在同一个 vlan,不仅可以互通。。。。还可以互相访问 smb。
如果做了 vlan 隔离,那么就和给了公网 ip 可能是一样的。甚至更牛逼。我说的 vlan 不是一个很准确的意思,取决于运营商做网络规划和配置的那群人的智商水平。 有些连 vlan 是啥都不知道,全部都在一个 vlan 里。有些比较狠,每一个用户的内 ip 不仅是一个 host 地址而且每个 host 之间不能互通。。。。。 我也遇到过很多种内分内网 ip 的,哥们还是别笑在前面为妙。。。。。 |
 |
36
rrfeng 2017-05-14 22:05:36 +08:00
这个事跟运营商半毛钱关系没有,只是恰好封了一些端口,避免了大规模传播。
不给公网 IP 那是真没的用了,你起服务架网站的时候发现 80 不通别骂运营商啊。IPv6 之后不给公网 IP 你看看。 我觉得怕的事,这个事被拿来教育我们:你看不能给用户公网 IP,就要用 NAT,不能用 IPv6 这样全暴露了而推迟新技术的发展。 |
 |
37
windfarer 2017-05-14 22:06:12 +08:00
封 80 是为了保护你们的水表
|
 |
39
liaoyaoheng 2017-05-14 22:32:56 +08:00
@bazingaterry 请教,adsl 公网,通过路由器的 windows 就不会感染?
|
|
40
liaoyaoheng 2017-05-14 22:34:46 +08:00
@Gothack 路由开启 “禁止来自 wan 口的 ping ”就不会感染?
|
 |
41
mingyun 2017-05-14 22:51:01 +08:00
赞同 2 楼
|
 |
42
hohi2015 2017-05-14 22:54:39 +08:00
我差点就信了
|
 |
43
ppbaozi 2017-05-14 23:25:20 +08:00 via iPhone
@liaoyaoheng 我认为,不管什么网络,只要没动 windows 自带防火墙,网络类型选择公用,就不会感染
|
|
44
Gothack 2017-05-15 00:30:47 +08:00 via iPhone
@liaoyaoheng 跟这个没关系,只要有一层 nat 就没事
|
 |
45
freestyle 2017-05-15 01:13:04 +08:00 via iPhone
明明是 ipv4 不够用...
|
|
46
bazingaterry 2017-05-15 02:26:14 +08:00 via iPhone
@liaoyaoheng 只要你没开 DMZ,内网没有机器被感染,就不用害怕。
|
 |
47
JJaicmkmy 2017-05-15 02:59:52 +08:00
然而 445 端口被封真的给我带来了很多麻烦,让我不得不用 VPN 访问家里的 NAS。
|
 |
48
msg7086 2017-05-15 04:04:16 +08:00
说得好像直连公网的运营商就没办法做保护了一样。
|
 |
49
axzy 2017-05-15 08:17:33 +08:00
然而是公网 IP 资源短缺,IP4 情况下,每个人都有独立 IP,铁定是不够用的
|
 |
50
zscself 2017-05-15 09:46:19 +08:00
感觉 LZ 就是顺势讽刺一波运营商的大内网
|
 |
51
YvesX 2017-05-15 11:06:50 +08:00 via iPhone
缺乏幽默感的人有点多啊……
|
 |
52
kghch 2017-05-15 12:23:31 +08:00
LZ 大概会被一些楼层蠢哭,明明就想说个玩笑的
|
 |
53
stormpeach 2017-05-15 12:37:50 +08:00
教育网一打一个准。。。关键是你敢不敢。。。
|
 |
54
Khlieb 2017-05-15 12:54:03 +08:00
将来赵家人建设 gfw 又多了个口实
|
 |
55
redsonic 2017-05-15 14:08:22 +08:00
|
|
58
dot OP @sgissb1 内网隔离的方法就很多了,VLAN 是一个,划子网是一个,光猫 NAT 是一个……所以这只是嘲讽一下啦,不是认真要讨论 NAT 这个事情。
@liaoyaoheng 通过路由器的 ADSL,只能从内攻破,外面进不来的,放心好了。 @hohi2015 哈哈哈哈,还好你没信~ |
|
61
liaoyaoheng 2017-05-15 17:54:48 +08:00
|
|
62
dot OP 1
@liaoyaoheng
如果路由器没问题的话,你的内网是安全的。路由的 NAT 可以帮助你抵挡一些外界主动发起的攻击。 但是如果你要跟外界通信的话,来自网络的攻击有多种多样的~ 可以劫持进出你路由的数据包嘛,可以劫持你的 DNS 查询请求嘛~ 运营商插入广告不就是这么干的么。 如果它劫持你的数据跳转的是一个带毒的网页呢?那你内网的设备不就被攻破了~ 所以,还是有风险的。 |
|
63
liaoyaoheng 2017-05-15 21:24:47 +08:00
@dot 其实很好奇带毒的网页,用 chrome,firefox,edge 最新版,其实觉得并不会中毒,毕竟都在沙盘内难以攻破。
|
 |
64
txydhr 2017-05-16 00:23:27 +08:00 via iPhone
这病毒不是主要危害局域网的么?家庭用户本来就对这病毒无所谓吧,这病毒只能 windows 传 windows 所以中招的都是大型局域网,少则 5 台左右多则上百台 windows,而且长期开机。。。收发邮件,文件共享都是容易中招的高风险行为,其中有个小白中招直接团灭。。还是安全意识的问题,多少公司不打补丁,有公司就关闭垃圾邮件病毒邮件扫描,说怕漏了邮件。。。
家庭用户现在一般就一两台电脑,而且在 nat 后面,只要自己不去下载奇怪的邮件,不会中招。在家玩游戏,看视频都是低风险行为,个人邮箱 qq、gmail 都自带病毒扫描。。。剩下的都是手机平板。。 另外虽然 ipv6 没有 nat 了,但是一般家用路由器默认 block all incoming ipv6 traffic,效果和 nat 一样。。 |
|
65
txydhr 2017-05-16 00:24:20 +08:00 via iPhone
@liaoyaoheng 下载下来的文件就不在沙盒了
|
 |
66
raysonx 2017-05-16 01:57:13 +08:00 via iPad
IPv6 因为地址空间大,如果主机地址够随机,很难去对网段进行扫描
|
 |
67
QQ2171775959 2017-05-16 10:15:03 +08:00
做好了防范的话,公网 IP 也是没有多大的问题,运营不给你们家用公司 IP,是为了节约成本考虑的。并非你说的那么伟大的。
|
 |
68
julyclyde 2017-05-16 11:00:30 +08:00
这个没啥用,其它宽带客户会感染你的
只有“少量机器在 nat 后面”才有保护效果 |
|
69
dot OP @liaoyaoheng 沙盒还不是会被破,你以为每年那么多不同的黑客大会都在干什么?
|
|
70
dot OP @txydhr 这个病毒主要危害的是,存在 ETERNAL BLUE 漏洞并且开放了 445 端口的 Windows 用户。
所以,要中毒得满足两个个条件: 1. 445 开放 2. 有 ETERNAL BLUE 漏洞 缺一不可,就是光开放 445 但是打过补丁的话,也是没戏的~ 而且那些装了 360,电脑管家什么的,3 月份补丁就打过了…… 所以其实目前身边还没见到中毒的。 |
|
71
dot OP |
 |
73
huobazi 2017-05-16 16:29:57 +08:00
我上学时宿舍电脑直接教育网公网 IP
|
Select Language