关于运营商 PON 接入方式明文传输的问题

2022-08-30 01:06:06 +08:00
 wuosuper
在上一个公网 IP 的贴中,有人提到了担心运营商把你数据发送给邻居的安全性问题,故新开一贴来讨论家庭宽带安全性的问题。

实际上在三大运营商普遍采用的 EPON/GPON 都没有配置加密,下行数据包是完全广播给所有 ONU 的,你的邻居可以使用镜像 PON 口的方式来获取所有同 PON 口下的数据包,甚至某些小厂的光猫过滤不严格,在桥接模式下直接就可以抓到邻居的数据包,可以说是抓包 0 门槛。上行数据包在特殊情况下也可以被获取到。
而且在相当一部分国家由于这个特性不满足当地隐私相关法律而迟迟不能使用 PON 技术,只能在 2022 年依然使用 ADSL 、CABLE 等方式接入互联网。

那么问题来了,
1.你们觉得这样存在安全问题吗?
2.你们对这个 PON 接入方式明文广播的情况是看了本帖才了解还是以前就已经了解?
3.运营商为什么不开加密传输呢?
4.对自己使用有影响吗?
4562 次点击
所在节点    宽带症候群
37 条回复
Marionic0723
2022-08-30 12:07:09 +08:00
@elboble 我知道 fec 不是加密,当时看到那个界面就去查过了,我说的没有加密是在网络侧信息那个界面没有出现加密的字样,和上面有人发的那张图不一样。图省事少打了几个字,想不到被误解了,我的我的。

但是就奇怪为什么会没有,光猫上写着生产日期是去年,按理说还是新的。
paramagnetic
2022-08-30 12:08:14 +08:00
@Marionic0723 我的光猫也没有写,可能是管理员账号才能看见?
Marionic0723
2022-08-30 12:18:20 +08:00
@paramagnetic 我用的就是超管账号,电信的万年 nE7jA%5m 看不见,可能是固件没更新,运营商网关也不支持。
acbot
2022-08-30 14:52:54 +08:00
安全问题肯定有但是这个需要在三层以上来想办法解决(比如: https 啥的), 三层以下都不在用户掌控范围所以一般用户都无法从这个层面来解决这个问题。
v2tudnew
2022-08-30 19:43:16 +08:00
慌什么,公共 WIFI 都照样连,输入密码时自己注意加密就行了。
exiaohao
2022-08-30 21:53:39 +08:00
慌什么,业务层真需要安全的地方不是 SSL 、AES 就是 chacha
明文多好省开销速度快 XD

想起了大学某叫兽的一句话:同学们,上网要注意啊,你们都是在 luoben
smallthing
2022-08-31 00:49:48 +08:00
fec 会增加延迟。
Angdo
2022-08-31 12:55:52 +08:00
记得 v2 之前有一帖,邻居半夜直播快手,通过 pon 抓包找到了直播间回复了句,吓的邻居立刻下播了。
Angdo
2022-08-31 13:04:18 +08:00
https://www.v2ex.com/t/854541 #26
oblivion
2022-08-31 14:04:35 +08:00
@elboble #20 现在 RTL 、MTK 方案的光猫普遍都默认接收所有数据的,只是在软件层面丢弃不属于自己的包,镜像功能几乎所有光猫都开放。


@Marionic0723 #23 没有就是没加密,我这个光猫没要求运营商开启加密前也是不显示的
AlexPUBLIC
2022-08-31 16:05:42 +08:00
啊,我猜到我们 fiber onu 为啥绑证书验证了
mrzx
2022-08-31 16:12:38 +08:00
会损失性能,运营商就不开了呗。

会抓包的也是我们这些懂的。。
elboble
2022-08-31 18:04:58 +08:00
@oblivion pon 协议默认就是下行收到所有包,不管哪家芯片都收得到,不过你能不能解出来就是要额外的操作。
配置这么简单,可以试试镜像 pon 口到 lan 口,看抓不抓的到别人家个包。
Wenpo
2022-09-02 13:46:09 +08:00
实测告诉大家

我这可以扫描到 olt 下绝大部分光猫

并且可以直接打开光猫后台并超级密码登陆
zmcity
2022-09-14 12:57:40 +08:00
有,所以 pon 接入是有加密的。
但开不开加密就是另一回事了,和你当地的运营商有关。
4g 5g 的上下行数据都是广播的,因为数据加密,所以你也分析不出来啥。
GSM 容易破解,用起来几乎相当于裸奔了,但大家该用不是还在用么
q8263542
234 天前
@Wenpo 如何操作呢,方便说下
username1919810
221 天前
@oblivion 能不能抓上行包?想看看光猫是不是给 dhcp 包里插了认证信息

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/876351

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX