它主要针对的是位于中国的目标，如外国驻华外交机构、学术界成员，或国防、物流和电信部门的公司

楼主不会是啥高价值目标吧？重新拨号换个 IP 看看呢

“
基于以上所有分析，研究人员推测 AS4134 上的攻击者可能具有以下能力：
拦截所有的网络流量，这使它们能够接收到对随机 IP 地址的后门响应，而无需部署实际的 C2 服务器；
在网络中注入任意的 TCP 和 UDP 数据包，通过这种能力，他们可以向 WinDealer 发送订单；
完全控制 DNS ，这意味着他们可以为不存在的域提供响应；
”

谁才能拥有这个能力呢

看 IP 是对的，那只有对 IP 进行劫持了，能做到这个份上的只有运营商自己了吧，或者国家级别的攻击？ https 太重要了

四川移动没有被劫持

网易传了被禁歌手的歌，感觉有点怕，又删掉了

做 ddns 暴露在公网的话就势必要开启防火墙，不能靠 ipv6 地址的海量性和随机性来保证安全，因为知道你域名的就一定知道准确的 ip 了，恶意用户只需要端口扫描就行。所以必须在网关开启防火墙，默认阻止所有入站链接，只开放需要的设备需要的端口。如果局域网设备通过 slaac 获取 ip 的话，前缀动态下发，后缀随机分配，网关防火墙设置时根本没法动态匹配 IP 。所以就只能使用 dhcpv6 给局域网设备分配 ip ，可以保证后缀的唯一性，前缀在防火墙设置中可以动态匹配。还有个办法就是 ddns 绑定到网关，网关再反代局域网的设备，网关防火墙不需要设置 ipv6 的转发规则，局域网设备甚至不用有 ipv6 地址，可以使用 socat 等工具进行 ipv6 到 ipv4 端口的转发

还有个操作忘了说，我还编辑 /etc/config/network 给 pppoe 拨号的接口手动指定了 mac 地址，这个 luci 界面改不了

nano /etc/config/network

config interface 'cmcc'
option proto 'pppoe'
option username 'xxx'
option password 'xxx'
option metric '5'
option peerdns '0'
option ipv6 'auto'
option macaddr 'xx:xx:xx:xx:xx:xx'
option mtu '1500'
option device 'bond0'

忘了说我是官方原版的 OpenWrt 21.02 ，硬件是 R86S ，聚合的是两个英特尔 I225 2.5G 口

记得配置 bond 后网卡灯不闪，把 eth1 eth2 重启下就正常。每次软路由重启都必须这一步

以下是我以前成功运行半年的配置
opkg update
opkg install kmod-bonding luci-proto-bonding proto-bonding
ip link add bond0 type bond mode balance-r

cat /etc/rc.local

ip link set eth1 type bond_slave
ip link set eth2 type bond_slave
ip link set eth1 master bond0
ip link set eth2 master bond0
ip link set bond0 up
ifconfig eth1 down
ifconfig eth2 down
sleep 1
ifconfig eth1 up
ifconfig eth2 up

然后 luci 界面，宽带 pppoe 拨号连接里的网卡选择 bond0

ip link set eth1 type bond_slave
ip link set eth2 type bond_slave
这两条呢

哪里才能买到

等 2.5G 电口的中兴 F4607P 大量出货，XGPON 版本的 F7607P 已经 500 多就能买到了

你这全程都是 PPPoE ，和 IPoE 没有半毛钱的关系

抓包到认证过程后就可以在 openwrt 的网卡配置里手动指定各种 option ，甚至直接发送十六进制数据

看看诊断菜单里可不可以抓包光口的数据，我接触的几款比较新的光猫都可以抓包光口数据，包括拨号的过程。不可以的话就看呢你听不能想办法 telnet 进去，放个 tcpdump 进去抓包

重疾险+意外险+百万医疗。重疾不要买终身或带身故责任或返还保费的，可以规避掉 99%的坑。小孩买到 30 岁足矣，一年 1000 的保费可以买到两百万的保额。意外险几十块。百万医疗刚出生的小孩稍贵些，要四五百。综合下来小孩的保费一年就 1000 左右，更多的保费预算花在大人身上