如何通过技术手段审计家庭网关是否被安插了后门？

就算你解决了入户光猫，那上级 isp 的网关设备你怎么解决呢

意义在哪？

运营商搞 http 劫持插广告的比比皆是

所有电信光猫一体机都有后门，局方可以远程控制

上海电信可以自行安装光猫，我之前用的就是自己的，填好 loid 就能注册

可以自己买一个信任的品牌，自己配置光猫参数。听说可行，但比较麻烦。

1. 不能
2. 做不到
3. 基本都可以，只要留着电信给的光猫就行了，到时候要还的

回答题目:抓包，自己分析

@baobao1270 能抓天翼网关的包？

@Oucreate 买两张光纤网卡和工业小主机 把光猫接其中一张网卡 另一张接电信

@cmostuor 软件用 wireshark

@cmostuor 流程是像下面这样吗？
普通电脑 → 网线 → 光猫 → 光纤网卡 1 → 小主机 + 抓包软件 → 光纤网卡 2 → 运营商光纤接头

脱裤子放 P，自拉光纤保平安，否则监控你与你何干？

有 https 不用担心中间人攻击。倒是可以担心一下局域网投毒，给你电脑上开个后门啥的。

@sagaxu 装维小哥允许？已经在线的宽带，怎么拿到 LOID ？
另外，自购光猫 mac 地址要改么？ TR69 要配么？谢谢

@tril 中间人攻击就是针对 https 的

@bigghost 无需安装工介入，自己更换的，loid 可以登陆上去查，还有宽带账号密码。mac 地址不用改，有固定电话或者 iptv 的需要额外配置，没有就不用配其他东西。

@Darkatse
有根本区别。家庭网关直接接入局域网，有更大的可攻击面。对于恶意的 ISP 上级设备，有很多手段可以确保端到端安全。

运营商家庭网关事实上是非常现实的重大安全隐患。不是说运营商有什么恶意，问题是网关固件水平普遍非常低，毫无安全加固、弱口令、已知漏洞不更新等等。

移动光猫路由一体机，内置移动接口，用于监控用户行为和其他互动，这个在拨号的时候可以设置，被我取消了

@Oucreate 嗯 这样子可以抓到一些 xpon 通信里的全部协议 也可以在买一台光猫 让两台光猫互联 但这样只能抓比较高层一些的协议

@bigghost
装维小哥允许？肯定不允许 因为电信的设备不是卖给用户而是租赁给用户
已经在线的宽带，怎么拿到 LOID ？ 用火狐浏览器可以获取 具体方法自己试
自购光猫 mac 地址要改么？看省市也要看运营商的设置 有些省市要改有些不要 有些运营商要改有些不要
TR69 要配么？随君意 TR69 协议会让电信可以远程控制管理用户的设备

@bigghost 一些设备还有可以通过 telenet 登录上去看设备日志找到 LOID 连宽带密码也可以看到 也可以通过配置文件找到

不要想了，只要是运营商送的光猫一定会有一堆后门，包括且不限于迅雷、PCDN 、各种加速器等 ... 我尝试手动 telnet 进去删掉，结果可能上层检测到异常，LOID 都给我改了，光猫直接离线。

@aloyuu 电信怎么设置

@cmostuor 我写的拓扑图是正确的？光猫与光纤网卡之间是直接相连还是另需网线 /光纤 /数据线？

我写的拓扑图是正确的？还好吧, 我写会更简单
光猫 → 光纤网卡 1 → 小主机 → 光纤网卡 2 → 运营商光纤接头

光猫与光纤网卡之间是直接相连还是另需网线 /光纤 /数据线？肯定得另外做光纤网线(长度随意)

@onion83 你把 TR69 协议给关了就行了

@onion83 我是找到 loid 之后换了个光猫，TR69 没开，不过不知道你那里行不行

1.可以,但意义不大.攻击完全没必要放到你家庭网关上,不仅不方便管理还有可能违法.
2.现行技术下,不可以.你可以了解下 tls 和加密相关的知识.
3.很多地方都可以.但你这个解决问题的思路似乎不太对.

我的光猫是自己装的，LOID 自己填好就能注册，但是，我赞同 28 楼的说法，可以但是， 对运营商来说，完全没有必要，就算给你后台装，也是装网络探针、各种应用 APK 之类的，感觉也不用管。

赞同 28 楼说法，确实没必要太在意接入设备，折腾得太多反而不方便用一些宽带快修等自助排障工具。

你们折腾光猫干啥。光缆里都是偶数，为什么设备上却少了一路……这一路是干啥的还用多问么。

@jousca 还把 DPI 美其名曰 “光保护器”

唯一出路：自己干 ISP

一个应用如果有安全需求，那么设计上就会假定从数据出机箱开始，就有海量的中间人攻击，这是网络安全的幼儿园试题，所以你无需防范，程序员早给你防范好了

用快递打个比方：
程序员早就给你设计了个可靠的快递盒子，不用超算基本打不开
所以说，你的数据是安全的，但并不代表你是安全的
你寄快递，要把快递盒给顺丰，黑客去查顺丰问问，发现张三有个快递寄给了本拉登，尽管不知道寄的什么，但去查查水表准没错
就算你把上门给你取件的快递小哥换成可靠的亲信，黑客还可以去问快递货车司机，可以去问中转站分拣员，可以去问顺丰老板，可以去问....
所以，安全的已经安全了，不安全怎样都不安全

@warcraft1236 对程序员搞 https 中间人攻击很难得，又不会乱装证书，浏览器也也不会用很老的版本

@onion83 你这个我不知道是怎样的，我的移动光猫 /路由一体机，宽带设置，链接名称中有两个，一个是正常拨号，另一个附加的拨号，连接状态中有两个连接，都显示连接成功，后来我删掉，只使用正常的，并且更改光猫为桥接模式，仅仅发挥他的光猫功能，使用自己的路由拨号，还有一处写的移动家庭什么的接口，直接被我关闭掉

“第三方”指有充足条件使用光猫 /家庭网关设备接口的任何人

@Oucreate 需要自己购买分光设备等器材

中间人攻击在数据途径的任何一级网关都可能实现，就算你自己干 ISP 与外部的通信也可能会被外部给中间人攻击，根本的防范方法是可靠加密、安全本地环境、严格证书校验这些
光猫更大的隐患反倒是前面网友提到的“直接接入局域网”，因为有的网络服务对局域网内的访问会比较疏于防范。这种情况选用可信的光猫，或者用路由器隔开可以增加安全性

给你们提个醒 一般光纤到户使用的 GPON 或者 EPON 系统和普通的以太网光缆系统有很大的区别 光猫也不是一个普通的光纤收发器这么简单, 不要想从这个角度折腾了。如果真的不信任你的 ISP 可以考虑使用国内服务器搭 VPN.

@bearice 是怕第三方个人做手脚

@jousca 还有一路钢丝

个人也没必要在运营商网关上做手脚啊，有点用的就是 tr069 了，那玩意删了也行，就是更改套餐以后不能自动下发配置

据魔都移动的装维小哥说，移动能远程抓取你家光猫的数据包

@mxT52CRuqR6o5 首先，程序员也会乱装证书，另外，对于公司设备来说，IT 部门给你初始化设备的时候就带上根证书了，这不是你自己能控制的，也不会允许你自己卸载

starlink：doge

第一组：
1. 不能。
2. 目前没有已知的运营商提供的光猫设备干这个。但理论对理论的话这个位置可以干。
3. 考虑到不同运营商不同省份适用的管理平台不同，因此自行安装非运营商提供的光猫属于灰色地带。

第二组：
1. 光猫安全系数普遍不容乐观（不然为啥网友都能找出改桥接的方法）。轻易不轻易这种问题难以回答，毕竟难者不会会者不难。而且各地自 FTTH 推广以来，一个地市拥有几十种不同厂家、不同品牌、不同型号的光猫是很正常的事情，因此很难给出确切答案。
2. 经过了 SSL/TLS 体系（也就是文中所谓的“证书”）后建立的连接以及其产生的流量只占整体流量的一部分，很多业务是以明文进行传输的（常见的如 HTTP 、SMTP 、POP3 、IMAP 等），而且考虑到网关可以侦听的数据包范围要大于互联网（例如 ARP 、NDP 以及对内全网广播等，此类流量一般均为明文传输），这更增大了危害系数，如果考虑上述情况的话窃听行为还是很有价值的。
3. “官方新品”的定义是什么？如果是零售市场的话，可以买到例如 TP 、MikroTik 等品牌的光猫或 PON Stick，但是否兼容当地运营商则是另外一回事。如果是运营商市场的话，一般此类光猫没有官方零售渠道，一般只能在新入网时取得或向运营商单独购买（各地政策不一，因此无法给出统一回复）。另外即使购买自己的光猫，但一般来说此类设备的代码同样不开源，同样是一个黑盒子，那您如何保证您买到的“黑盒子”就一定比运营商提供的“黑盒子”强呢？

P.S.
1. 针对 2-2 所提出的内网数据包问题，可以考虑光猫改桥接，自行选用信得过（信得过与否取决于您的标准）路由器设备或软件处理内网数据包，避免内网数据包经过光猫导致可能的安全隐患。
2. 保护数据安全的最好方法是尽量提高自己发出或接收的数据包的安全性，较为可行的方法之一增大经过 SSL/TLS 体系的数据包占总数据包的比重。毕竟将您的数据安全寄托于沿途设备厂家以及相关人员的自重是不现实的，因为数据包在运营商网络中一般至少经过数千米的光缆以及数个网络设备，做手脚的地方有很多很多，因此很难实现靠沿途设备保护解决此类问题。

深圳电信自已换了万兆猫

@laozhoubuluo 非常感谢你这么详细的回答！


其实我的真实意图是想了解一下有没有网友是在营业厅还是什么地方付款后就能 [ [直接领到光猫而不经过装维人员之手] ] （对应第三问）。

因为我这次遇到的装维人员居然提前撕掉了光猫接口那半边的塑料封膜，那么前一晚他是有充足的时间的， [ [只要他想给光猫刷入什么模块都是有机会的] ] （对应第一问）。

对，各位可以鄙视我有“被害妄想症”，但上一次换光猫时包装盒拿出来后才启封让作为用户的我压根就不会起这种疑心并事后生气。

[]

咦，V 站回复中的中文方头括号会被替换为英文方括号

@laozhoubuluo 嗨哟！“官方新品”重点落在了“官方”两字之上，是我表述不准确，应该是“官方全新品”，这样重点就是“全新品”了才对。

@Oucreate 看你是没遇到过直接旧光猫拿给你用的地区 /运营商

@Oucreate

1. 这个各地政策不同，比如北京联通就不存在不经过装维体系获得光猫的官方合法渠道。基本流程是根据局端设备兼容性以及业务需求将设备配送到属地（北京俗称电话局），通过属地直接下发给装维人员进行安装。
2. 如果怀疑塑料封膜的话，营业厅体系、终端采购入库体系甚至 ITMS/RMS 体系（三套体系都很大，经手人都很多）同样可以做手脚，毕竟能做手脚的地方太多了。

光猫本来就有后门，下发插件、固件升级都没有什么问题
1. 感觉应该没戏。光猫的系统就是东拼西凑的垃圾
2. HTTP 内容可以，而且光猫是在内里面的，攻击面很多
3. 看这方面的论坛

对补充内容的回复
1. 感觉应该挺容易的。一个地区的光猫，超管的密码一般是一样的，开启 telnet 的操作一般也是一样的，而且基本上都可以用很简单的脚本搞定
2. 一般的光猫是路由模式，在内网里面作妖还是比较容易的
3. 还是去这方面的论坛可能性大些，但是光猫的固件很烂，而且注册的时候固件普遍会被加料

光猫在通过 TR069 下发配置文件来更新超管账号前，基本上就那几个密码
想要做手脚，地方多得是。而且现在很多地区是用的旧猫，更加没办法辨别
要保障安全，就确保内网没有不可控的设备，外网访问保证加密
光猫改桥接感觉只是少层 NAT 而已吧，伪桥接，而且还是靠的路由器的 NAT 和防火墙来防护。就算光猫那边搞定了，光纤上面还有 DPI，信息照样会被分析
减少攻击面，不要把光猫直接连到内网里面应该就可以了吧，其他的用处没多大。不在意网络质量的话，光猫的千兆口下面接一个路由器就好了，反正光猫一般也就一个千兆口。改桥接也提升不了多少性能，那么弱的 CPU 上面跑了太多东西，而且固件太烂

@laozhoubuluo 逛了逛你的网站看来你果然是业内知情人士~

你意思是改了再封膜来假装是原装未开封的光猫都是轻易可能的咯？那反倒让人释怀了……

真的是迫害妄想症

真要监听你何必在光猫这种低性能设备上动手呢，剥光纤，在光猫上层接入设备上进行审计，你接触都不可能接触到

1，后门肯定有，tr069 协议就是，局端设备也有监听。局端设备是网络安全法规定的，真想不监听那就不上网。
2，能。
3，能搞到 MAC/VLAN/LOID/PASSWORD 这些 EPON 或 GPON 的资料就能自行更换光猫或使用光模块上网。有些地区的 tr069 不通就拨不通 pppoe，或者说是光猫不在 itms 注册就拨不通 pppoe，这种情况下，你换了光猫就不能上网，而且没得破。
换个问法的第二条，2. 用户只要不信任有问题的证书就能使网关或路由器或光猫上的任何窃听行为几乎无用了对吗？
有 https 强制降级的攻击方式，不信任证书你就啥都访问不到。

TR069 协议是下发配置用的，个人理解比较像 OTA 。至于是否存在后门。我觉得与其折腾光猫，不如清除掉 腾讯 360 这些流氓软件更安全

@taobibi 我特指装维人员往光猫固件中“加料”的可能性

@lc7029 第二条：在网关上实施什么样高级的中间人攻击居然压根无法被防御？

@Oucreate 准入，让你装他们的根证书，不装就不能上网