如何通过技术手段审计家庭网关是否被安插了后门？

@bigghost 一些设备还有可以通过 telenet 登录上去看设备日志找到 LOID 连宽带密码也可以看到 也可以通过配置文件找到

不要想了，只要是运营商送的光猫一定会有一堆后门，包括且不限于迅雷、PCDN 、各种加速器等 ... 我尝试手动 telnet 进去删掉，结果可能上层检测到异常，LOID 都给我改了，光猫直接离线。

@aloyuu 电信怎么设置

@cmostuor 我写的拓扑图是正确的？光猫与光纤网卡之间是直接相连还是另需网线 /光纤 /数据线？

我写的拓扑图是正确的？还好吧, 我写会更简单
光猫 → 光纤网卡 1 → 小主机 → 光纤网卡 2 → 运营商光纤接头

光猫与光纤网卡之间是直接相连还是另需网线 /光纤 /数据线？肯定得另外做光纤网线(长度随意)

@onion83 你把 TR69 协议给关了就行了

@onion83 我是找到 loid 之后换了个光猫，TR69 没开，不过不知道你那里行不行

1.可以,但意义不大.攻击完全没必要放到你家庭网关上,不仅不方便管理还有可能违法.
2.现行技术下,不可以.你可以了解下 tls 和加密相关的知识.
3.很多地方都可以.但你这个解决问题的思路似乎不太对.

我的光猫是自己装的，LOID 自己填好就能注册，但是，我赞同 28 楼的说法，可以但是， 对运营商来说，完全没有必要，就算给你后台装，也是装网络探针、各种应用 APK 之类的，感觉也不用管。

赞同 28 楼说法，确实没必要太在意接入设备，折腾得太多反而不方便用一些宽带快修等自助排障工具。

你们折腾光猫干啥。光缆里都是偶数，为什么设备上却少了一路……这一路是干啥的还用多问么。

@jousca 还把 DPI 美其名曰 “光保护器”

唯一出路：自己干 ISP

一个应用如果有安全需求，那么设计上就会假定从数据出机箱开始，就有海量的中间人攻击，这是网络安全的幼儿园试题，所以你无需防范，程序员早给你防范好了

用快递打个比方：
程序员早就给你设计了个可靠的快递盒子，不用超算基本打不开
所以说，你的数据是安全的，但并不代表你是安全的
你寄快递，要把快递盒给顺丰，黑客去查顺丰问问，发现张三有个快递寄给了本拉登，尽管不知道寄的什么，但去查查水表准没错
就算你把上门给你取件的快递小哥换成可靠的亲信，黑客还可以去问快递货车司机，可以去问中转站分拣员，可以去问顺丰老板，可以去问....
所以，安全的已经安全了，不安全怎样都不安全

@warcraft1236 对程序员搞 https 中间人攻击很难得，又不会乱装证书，浏览器也也不会用很老的版本

@onion83 你这个我不知道是怎样的，我的移动光猫 /路由一体机，宽带设置，链接名称中有两个，一个是正常拨号，另一个附加的拨号，连接状态中有两个连接，都显示连接成功，后来我删掉，只使用正常的，并且更改光猫为桥接模式，仅仅发挥他的光猫功能，使用自己的路由拨号，还有一处写的移动家庭什么的接口，直接被我关闭掉

“第三方”指有充足条件使用光猫 /家庭网关设备接口的任何人

@Oucreate 需要自己购买分光设备等器材

中间人攻击在数据途径的任何一级网关都可能实现，就算你自己干 ISP 与外部的通信也可能会被外部给中间人攻击，根本的防范方法是可靠加密、安全本地环境、严格证书校验这些
光猫更大的隐患反倒是前面网友提到的“直接接入局域网”，因为有的网络服务对局域网内的访问会比较疏于防范。这种情况选用可信的光猫，或者用路由器隔开可以增加安全性