这是一个创建于 3160 天前的主题,其中的信息可能已经有所发展或是发生改变。
看看这次 WannaCry 的传播方式~
如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~
嗯,我们应该对运营商心怀感恩才对。
如果不是运营商把你深深地藏在多少级 NAT 里面,你会逃得过吗?直连公网那分分钟就是死啊~
嗯,我们应该对运营商心怀感恩才对。
第 1 条附言 2017-05-15 14:25:13 +08:00
有点激动的童鞋们,要有幽默感嘛……
 | 1 yexm0 2017-05-14 15:07:08 +08:00 via Android  1 这次 ga,石油,校园大规模中招就是通过内网散播造成的。而家庭用户可没中招。 |
 | 2 ys0290 2017-05-14 15:08:29 +08:00 via iPhone 2 感恩的是 445 端口封了,关内网啥事 |
 | 3 bazingaterry 2017-05-14 15:10:40 +08:00 就算是公网也有路由器挡着啊,楼主应该担心 IPv6 普及之后的情况…… |
 | 4 leavic 2017-05-14 15:24:47 +08:00 via iPhone 1 @bazingaterry 学校网络很多都是电脑直接就分配到公网 IP 的,一个实验室活生生一个数据中心。 |
 | 5 imn1 2017-05-14 15:30:06 +08:00 10 关进监狱可以避免更多受害可能 |
 | 6 mytsing520 PRO @yexm0 你说的这些客户大部分可没有 NAT 设备 |
 | 7 mandymak 2017-05-14 15:43:15 +08:00 我在想主要不是运营商保护了家庭用户,主要是家庭用户大多是用路由器。试想想如果家庭用户多是用电脑直接拨号的话,而同运营商 NAT 内网中有用户的电脑中了此病毒,其他用户不也同样遭殃吗? |
 | 8 Liqianyu 2017-05-14 15:47:55 +08:00 NAT≠CGN |
 | 10 Gothack 2017-05-14 15:48:19 +08:00 via iPhone 得了吧,即便给你公网 ip 也大概率不会染到家庭用户,只要你不随便点链接,因为大多数家里都会安装路由器,外面请求到不了 pc 的 445。反而是学校医院等大局域网,一万个人只要有一个人点了病毒链接就会迅速在局域网中散开。 |
 | 12 dot OP @bazingaterry 貌似很多高校,IPv6 都是一机一 IP 直连公网的…… |
| 14 dot OP @mandymak 运营商的本意当然不是为了保护用户……是为了省 IP ……至于你说的路由器,当然现在很多人都用,也有那种光猫桥接直接拨号的,什么都有的啦~ 不过貌似运营商内部 NAT 有做端口隔离吧~ 我还没扫到过其它 IP 有响应的……回家试试~ |
| 15 dot OP @Gothack 自己搞的 NAT 也是 NAT ……光猫桥接直连拨号的客户也是有的,还有 DMZ 的,那种分分钟就挂掉了嘛~ |
 | 17 skyeycirno 2017-05-14 16:56:37 +08:00 三巨头是因为封锁了 445 端口,不是因为 NAT 啊 |
 | 18 bilok 2017-05-14 17:19:20 +08:00 via iPhone 封锁 80 445 端口本意是为保护用户?醒醒 |
 | 19 965380535 2017-05-14 17:22:54 +08:00 楼主是调侃 还是当真了? 没有公网 ip 大搞 nat 是 ip 不够了 封掉 80 端口是防止用于提供网站服务 |
 | 20 ouqihang 2017-05-14 17:23:53 +08:00 via Android 公网地址也可以隔离,指定某个网段才能直接访问。 |
 | 21 kooze 2017-05-14 17:49:29 +08:00 脑子是个好东西 |
 | 22 ksmter 2017-05-14 19:03:43 +08:00 吓得我赶紧把 DMZ 给关了,虽然理论上 win10 1703 不受影响。。 |
 | 24 LGA1150 2017-05-14 19:12:01 +08:00 就算是公网 IP 也能通过 255.255.255.255 掩码并在网关处限制子网 IP 间通信来解决 |
 | 25 mooncakejs 2017-05-14 19:30:49 +08:00 公网 ip 本来就不够用,凭什么必须给你? |
 | 26 yhxx 2017-05-14 19:35:01 +08:00 封 445 应该确实是为了安全 至于封 80.。。。。 |
 | 28 chinawrj 2017-05-14 19:54:59 +08:00 @bazingaterry IPV6 普及之后更没这个问题。 |
 | 29 onion83 2017-05-14 19:56:46 +08:00 封 80 为了保护你们的路由器啊(笑 |
 | 30 awss 2017-05-14 20:06:18 +08:00 嗯,我们也应该感谢 gfw,让我们免受帝国主义的毒害。。。。 |
 | 31 JenghongLee 2017-05-14 20:09:11 +08:00 via iPhone 1 楼主想感恩运营商 NAT 那就感恩去吧。三大运营商公网都是屏蔽了 445 端口的你知道嘛。最主要还不是为了省钱不普及 IP v6。 |
 | 32 liliang13 2017-05-14 20:10:15 +08:00 1 记得当年,很流行扫描开放了 80 端口的 ADSL 猫,用弱密码登录后获取宽带账号密码去电信互联星空充值 Q 币。 这是既有公网 IP,又开放了 80 端口 |
 | 33 expy 2017-05-14 20:40:45 +08:00 nat 主要解决 ip 不够的问题吧,虽然事实上起到了保护作用。 坏处是各种 p2p 软件不能完全正常工作,想从外面连回家也是各种蛋疼。 |
 | 34 sgissb1 2017-05-14 22:01:56 +08:00 1 lz 你这嘲讽的不对,如果运营商给内网 ip,然后又没有做 vlan 隔离的话,那么更严重,因为所有的 pppoe 终端都在同一个 vlan,不仅可以互通。。。。还可以互相访问 smb。 如果做了 vlan 隔离,那么就和给了公网 ip 可能是一样的。甚至更牛逼。我说的 vlan 不是一个很准确的意思,取决于运营商做网络规划和配置的那群人的智商水平。 有些连 vlan 是啥都不知道,全部都在一个 vlan 里。有些比较狠,每一个用户的内 ip 不仅是一个 host 地址而且每个 host 之间不能互通。。。。。 我也遇到过很多种内分内网 ip 的,哥们还是别笑在前面为妙。。。。。 |
 | 36 rrfeng 2017-05-14 22:05:36 +08:00 这个事跟运营商半毛钱关系没有,只是恰好封了一些端口,避免了大规模传播。 不给公网 IP 那是真没的用了,你起服务架网站的时候发现 80 不通别骂运营商啊。IPv6 之后不给公网 IP 你看看。 我觉得怕的事,这个事被拿来教育我们:你看不能给用户公网 IP,就要用 NAT,不能用 IPv6 这样全暴露了而推迟新技术的发展。 |
 | 37 windfarer 2017-05-14 22:06:12 +08:00 封 80 是为了保护你们的水表 |
 | 39 liaoyaoheng 2017-05-14 22:32:56 +08:00 @bazingaterry 请教,adsl 公网,通过路由器的 windows 就不会感染? |
| 40 liaoyaoheng 2017-05-14 22:34:46 +08:00 @Gothack 路由开启 “禁止来自 wan 口的 ping ”就不会感染? |
 | 41 mingyun 2017-05-14 22:51:01 +08:00 赞同 2 楼 |
 | 42 hohi2015 2017-05-14 22:54:39 +08:00 我差点就信了 |
 | 43 xPKK1qofAr6RR09O 2017-05-14 23:25:20 +08:00 via iPhone @liaoyaoheng 我认为,不管什么网络,只要没动 windows 自带防火墙,网络类型选择公用,就不会感染 |
| 44 Gothack 2017-05-15 00:30:47 +08:00 via iPhone @liaoyaoheng 跟这个没关系,只要有一层 nat 就没事 |
 | 45 freestyle 2017-05-15 01:13:04 +08:00 via iPhone 明明是 ipv4 不够用... |
| 46 bazingaterry 2017-05-15 02:26:14 +08:00 via iPhone @liaoyaoheng 只要你没开 DMZ,内网没有机器被感染,就不用害怕。 |
 | 47 JJaicmkmy 2017-05-15 02:59:52 +08:00 然而 445 端口被封真的给我带来了很多麻烦,让我不得不用 VPN 访问家里的 NAS。 |
 | 48 msg7086 2017-05-15 04:04:16 +08:00 说得好像直连公网的运营商就没办法做保护了一样。 |
 | 49 axzy 2017-05-15 08:17:33 +08:00 然而是公网 IP 资源短缺,IP4 情况下,每个人都有独立 IP,铁定是不够用的 |
 | 50 zscself 2017-05-15 09:46:19 +08:00 感觉 LZ 就是顺势讽刺一波运营商的大内网 |
 | 51 YvesX 2017-05-15 11:06:50 +08:00 via iPhone 缺乏幽默感的人有点多啊…… |
 | 52 kghch 2017-05-15 12:23:31 +08:00 LZ 大概会被一些楼层蠢哭,明明就想说个玩笑的 |
 | 53 stormpeach 2017-05-15 12:37:50 +08:00 教育网一打一个准。。。关键是你敢不敢。。。 |
 | 54 Khlieb 2017-05-15 12:54:03 +08:00 将来赵家人建设 gfw 又多了个口实 |
 | 55 redsonic 2017-05-15 14:08:22 +08:00 |
| 58 dot OP @sgissb1 内网隔离的方法就很多了,VLAN 是一个,划子网是一个,光猫 NAT 是一个……所以这只是嘲讽一下啦,不是认真要讨论 NAT 这个事情。 @liaoyaoheng 通过路由器的 ADSL,只能从内攻破,外面进不来的,放心好了。 @hohi2015 哈哈哈哈,还好你没信~ |
| 61 liaoyaoheng 2017-05-15 17:54:48 +08:00 |
| 62 dot OP 1 @liaoyaoheng 如果路由器没问题的话,你的内网是安全的。路由的 NAT 可以帮助你抵挡一些外界主动发起的攻击。 但是如果你要跟外界通信的话,来自网络的攻击有多种多样的~ 可以劫持进出你路由的数据包嘛,可以劫持你的 DNS 查询请求嘛~ 运营商插入广告不就是这么干的么。 如果它劫持你的数据跳转的是一个带毒的网页呢?那你内网的设备不就被攻破了~ 所以,还是有风险的。 |
| 63 liaoyaoheng 2017-05-15 21:24:47 +08:00 @dot 其实很好奇带毒的网页,用 chrome,firefox,edge 最新版,其实觉得并不会中毒,毕竟都在沙盘内难以攻破。 |
 | 64 txydhr 2017-05-16 00:23:27 +08:00 via iPhone 这病毒不是主要危害局域网的么?家庭用户本来就对这病毒无所谓吧,这病毒只能 windows 传 windows 所以中招的都是大型局域网,少则 5 台左右多则上百台 windows,而且长期开机。。。收发邮件,文件共享都是容易中招的高风险行为,其中有个小白中招直接团灭。。还是安全意识的问题,多少公司不打补丁,有公司就关闭垃圾邮件病毒邮件扫描,说怕漏了邮件。。。 家庭用户现在一般就一两台电脑,而且在 nat 后面,只要自己不去下载奇怪的邮件,不会中招。在家玩游戏,看视频都是低风险行为,个人邮箱 qq、gmail 都自带病毒扫描。。。剩下的都是手机平板。。 另外虽然 ipv6 没有 nat 了,但是一般家用路由器默认 block all incoming ipv6 traffic,效果和 nat 一样。。 |
| 65 txydhr 2017-05-16 00:24:20 +08:00 via iPhone @liaoyaoheng 下载下来的文件就不在沙盒了 |
 | 66 raysonx 2017-05-16 01:57:13 +08:00 via iPad IPv6 因为地址空间大,如果主机地址够随机,很难去对网段进行扫描 |
 | 67 QQ2171775959 2017-05-16 10:15:03 +08:00 做好了防范的话,公网 IP 也是没有多大的问题,运营不给你们家用公司 IP,是为了节约成本考虑的。并非你说的那么伟大的。 |
 | 68 julyclyde 2017-05-16 11:00:30 +08:00 这个没啥用,其它宽带客户会感染你的 只有“少量机器在 nat 后面”才有保护效果 |
| 69 dot OP @liaoyaoheng 沙盒还不是会被破,你以为每年那么多不同的黑客大会都在干什么? |
| 70 dot OP @txydhr 这个病毒主要危害的是,存在 ETERNAL BLUE 漏洞并且开放了 445 端口的 Windows 用户。 所以,要中毒得满足两个个条件: 1. 445 开放 2. 有 ETERNAL BLUE 漏洞 缺一不可,就是光开放 445 但是打过补丁的话,也是没戏的~ 而且那些装了 360,电脑管家什么的,3 月份补丁就打过了…… 所以其实目前身边还没见到中毒的。 |
| 71 dot OP |
 | 73 huobazi 2017-05-16 16:29:57 +08:00 我上学时宿舍电脑直接教育网公网 IP |
Select Language