@zro 是的，不过貌似除了 DHCP-PD，国内也可能是通过 PPPoE 拿到的 prefix 。重点是把拿到的 prefix 用 RA 广播到局域网上。至于路由 ISP 那边应该是已经把整个 /64 都路由到你这了所以不用担心。

不管你的 /64 是怎么来的，只要 ISP 把整个 /64 都路由到了你这一端，直接跑 radvd 给内网宣告就行。如果 ISP 变态只路由了一个单独的地址到你这那就无解了。（最起码我们这边的电信不是这样的，因为不符合 RFC 和最佳实践）

既然都有了 /64，直接给内网设备 SLAAC 就可以，这样最简单。如果 ISP 给的段比 /64 再小才需要用 DHCPv6 来分配 /128 。

ROS 上这个很好配置。我写过一个文章就是把 ISP PD 给用户的 /64 用 Router Advertisements (RA) 在内网上广播，内网上的机器就会自动根据 prefix 分配地址。Linux 上看了一下应该可以用 radvd 来生成 RA 广播。

ROS 可以参考： https://idndx.com/routeros-meets-comcast-ipv6/

IPLC 可以解决你的烦恼，就是贵

QoS 优先级必须高，要不你们测速不达标还要投诉电信。

MQTT 非常方便，还可以用阿里云的 MQTT 服务，量小的话免费额度就够了，非常稳定。

https://en.wikipedia.org/wiki/Port_knocking

基本没有被扫描的可能性。

这延时看起来像是腾讯在美国有 anycast 的服务器，回国已经超过光速。

敢问 LZ 是什么应用？ 1 核 2G 的机器能跑几个 T 都没发现？什么服务这么重 I/O ？不可能是正常网站、API 之类的吧。

另外 @ryh 说得非常对，该付的账单不付就是 fraud，金额太大了恶意拒付还会上 collection，有可能会影响申请签证和入境。就算你通过调低信用卡限额也算恶意拒付。除非谷歌同意你因为遭受损失可以不付钱，但是谷歌同不同意免完全看人家心情，怎么说 LZ 都是没理的。

租住的房子里面放机房设备，噪音是怎么控制的呢？

https://i.imgur.com/3hw5ut1.png

找到导入的证书，只信任 EAP 那一项不信任其它，证书就没有办法用作 MITM，只能用来 802.1x 认证。

不过如楼上所说，公司真想监控你办法多的是。。直接在办公室装监控好了，哪需要这么复杂。

BLE 吧，不需要联网的。

https://twitter.com/guydiedrich/status/1243196694700994562

看样子是 Cisco 的方案。应该是 WebEx ？

初学者能够：

1. 控制三网骨干路由器伪造路由
2. 在全国各地跑 anycast 的服务器（被劫持的 TCP ping 全国都很低）
3. 明目张胆的留下自己的联系方式
4. 服务器再国内没有被拔线，路由器的改动到现在无法恢复

吗。

别说一个高中生，就算是电信老板恐怕也没这个本事。

这个太牛逼了：

```
curl https://cloudflare.com/cdn-cgi/trace --resolve cloudflare.com:443:104.27.175.29 -vk
* Server certificate:
* subject: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=SERVER; [email protected]
* start date: Sep 26 09:33:13 2019 GMT
* expire date: Sep 23 09:33:13 2029 GMT
* issuer: C=CN; ST=GD; L=SZ; O=COM; OU=NSP; CN=CA; [email protected]
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.

ip=自己的 IP 地址

CF 返回的 client IP 还是自己真实的 IP，所以劫持的人不仅控制了出国的路由，回国的也被控制了。这是三网全国出国骨干路由器都被控制了的节奏？

@razeen 这个 `traceroute` 不准的，因为 ICMP 并没有劫持。

这种不是一般的 BGP leak，因为如果是路由泄漏不会只泄漏 443 而 80，ICMP 都正常。应该是在骨干路由器上做的 PBR 仅把 443 端口给劫持了。

能做到七层精准劫持的一定不是那么简单。