搜尋
搜尋
  • 520

這傢伙是誰?這麼猛

前往頁尾
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5191樓
2024-01-13 6:22
AP設定更新於2024/01/18至終全完結.被逼到受不了,只好出大絕.
官方版本都淪陷,試了很多次,不是被釣魚就是手機被探測入侵,不是搞阻斷就是搞路由.
台灣真的是網路犯罪天堂.去年我本來打算要出大絕,想想還沒遇到真正的情況,先藏牌.
這期間真的是遇到不能再睜一隻眼閉一隻眼,乾脆花時間一條條弄好,把常用的埠做整理.
這很有效,基本上打趴很多了,專業駭客要入侵,應該會很頭大,因為規則就是這麼強大.
--
在9點27分左右更正規則,這下就可以放心使用,駭客要入侵,這種規則絕對有難度的.
內部就設定開放埠,本來想列個通訊軟體通訊埠表單,可是範圍太浮動,於是乾脆設範圍.
這樣設計很棒,這下應該是完全打趴常監聽我家網路的網軍團隊,到今天截止了,結束了!
--
手機被探測入侵是指手機已經被嘗試透過後臺漏洞,尤其是蘋果舊款手機,至於新款手機,
早期有,徵象是平常掃指紋或臉部辨識開鎖,卻變成輸入數字密碼開鎖,這情況下的狀態,
以正常螢幕開鎖來講是不會觸動數字密碼鎖,除非是嘗試多次錯誤才會變成數字密碼開鎖.
這種情況很少見,以資安的角度看,百分之一百被嘗試後檯做探測入侵,入侵失敗而導致.
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5192樓
2024-01-13 22:31
稍早花點時間把規則修正.這樣就可以了.規則去向定義得一清二楚,版本全部已完結.
--
上述確定很完整,祝大家未來順利,凡事心安萬事順.
--
01/14更正:不好意思,跳轉這樣設定才是對的.
--
01/16第二次更正:CAPsMAN設定建議用官方.
--
01/17再次更正:規則這樣就可以了.不用怕DDoS,還有另一規則,近期再分享.
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5193樓
2024-01-17 18:36
版本改完了,舒服!\跑掉的部分已修改好,當然還有另一個版本,過幾年以後再說!
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5194樓
2024-01-19 1:01
AP設定更新於2024/01/27至今通通全完結.網軍這下全部慘死了.
--
6點55分:細節再修正.A與B兩版因架構不同而所有變,規則果真顧慮很周詳.
--
01/20已刪減LAN Port Scanners.
--
01/21更正版本原先是對的.DNS重定向來源設介面會出事,故設位址較恰當.
--
01/23更正:A版太強大.已全面啟動.DNS重定向拿掉沒毛病.這樣子反而更好.
--
01/24已更正:CAPsMAN設定改鑰證方式及NAT的DNS重定向拿掉即可.
--
01/25再更正:CAPsMAN設定改回昨日的及A版規則微異動.這樣就行了.
--
01/26再次更正:A版已更正,下面更改即可.可以減緩無線阻斷的咒術.
--
哎呀~厲害!這麼快就破了,既然這樣,異動把標記拿掉,cake改回原來的版本.
A版就是這麼強,強到咒靈網軍都想破解,常見是插廣告追蹤咒術來阻斷無線這輪迴伎倆.
研究一下分類標記,這部份真的好玩!我打算收回cake領域,改回用PCQ領域展開.
--
01/27:先前的標記沒問題,加上cake可應用在QT,速度雖達標.但效果不彰,
改回原版本.A版規則很強大,強到接近跟我時間秒準一樣,較可惜是廣告樁追蹤不罷手.
這個我就沒辦法,有成功但破功,唯一確定是A版比起之前採用官方版本穩,看不到對手.
A版看起來很極端,但事實它保護做得接近完善,除非你自己手機有被駭客知道帳號密碼,
甚至點過詐騙連結填寫個資或帳密登入,即使內部裝置被當標靶,觸及規則被禁止很正常.
A版規則寫得很條理,若內部無線連網裝置因觸規被鎖IP,不用懷疑就是該裝置出問題.
接下來,我想沒意外的話,這版本到今天就截止,至於無線常常被阻斷,請放平常心看待.
這禮拜玩得很開心,大致上到今天為止,沒意外的話,A版可以讓網路穩定到很多年以後.
--
最後一次再更正,QoS與標記套用cake與繼續用原來的,過濾表單停用兩條不阻擋,
過濾表單DNS主機新增常用的,不新增須等ISP的解析才正常,這樣太慢,建議新增,
防火牆規則底停用阻擋減輕路由器負擔讓路由器扮演傳遞角色,路由表要拿掉,總算明白,
官網討論區有個傢伙的定義被官方下架,難怪我之前用時怪怪,因為穩定度有差,接下來,
不處理網軍,日後會遇到嚴重性的WiFi阻斷,而且是日常,我只能改到這裡,掰掰!
--
/queue type
add kind=pcq name=PCQ-Download pcq-classifier=dst-address
add kind=pcq name=PCQ-Upload pcq-classifier=src-address
/queue tree
add burst-limit=100M burst-threshold=70M burst-time=15s limit-at=60M \
max-limit=90M name=PCQ-Download packet-mark=client_download parent=global \
queue=PCQ-Download
add burst-limit=40M burst-threshold=28M burst-time=15s limit-at=24M \
max-limit=36M name=PCQ-Upload packet-mark=client_upload parent=global \
queue=PCQ-Upload
/ip firewall mangle
add action=mark-packet chain=prerouting in-interface-list=LAN \
new-packet-mark=client_upload passthrough=yes
add action=mark-packet chain=prerouting in-interface-list=WAN \
new-packet-mark=client_download passthrough=yes
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5195樓
2024-01-28 23:45
AP設定更新於2024/01/29全完結.
--
這次更正的是CAPsMAN,設定跟之前有點不同,唯一不同是它可以設定頻率與指定.
CAKE與FQ不建議用,因為有駭客用它來監聽封包,監螢幕?前天電腦剛開機就當機,
在進入作業系統後十分鐘內就莫名當掉,winbox正常運作,底部全當,可見是失敗,
電腦重開機就正常,QoS還是用PCQ作流量管理較穩定,至於CAPsMAN新設定,
等之後入手MikroTik最新的AP(WiFi6-AX)後,會花時間去釐清這塊.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5196樓
2024-01-29 1:29
CAPsMAN小修改一下.若用中華的DNS,不難查覺到會有一堆IP作Ping,
當Ping完後,接著它能透過跳板AP劫持DNS,但遇到A版而觸規被阻擋ICMP.
這就是造成手機裝置或無線裝置在閒置下而被阻斷,當遭遇到阻斷時,該裝置被跳板嘗試,
若用CloudFlareDNS,該跳板會嘗試連結無線裝置,但阻斷還是如照常發生,
然後用可能也是跳板外部IP對路由器進WAN的IP隨機埠5xxxx而被防火牆阻擋,
若你用中華DNS,阻擋ICMP的來源卻是中華DNS主機就表示駭客試圖劫持DNS.
看能不能順利取代無線WiFi來植入假資訊,這跟CAPsMAN設定一點關聯都沒有,
證實這些異常現象都來自駭客,所以設定上完全沒問題,若用其他DNS,它就會想辦法.
在你無線裝置閒置時,它會透過裝置APP的服務作連線,結論DNS建議用中華比較好.
你若用其他DNS,它都有辦法,你若用中華,它只能到中華DNS主機的那一端就被擋.
你若用安卓而谷歌DNS主機不在A版,那一開始被擋掉,然後一連串IP就入阻擋列表,
意思是說你還是可以用,只是該裝置無法被其他的裝置玩弄,為啥一定要用到中華DNS?
你想想,你ISP源頭是什麼?中華就是要用中華,源頭主機到用戶端,這一段是沒問題.
但若用其他的DNS,它透過中華DNS轉到該DNS主機,這一段若有心人作中間劫持.
那不就被看光光,若你連的網路DNS真被它劫持,你上網頁用APP它給你轉到假主機,
哪一個比較保險?雖說其他家DNS有它的好處,網路犯罪在台灣是天堂,沒這麼好康的.
前陣子某篇騙房產的新聞,同樣意思是透過假好康活動留下個資,然後偽造資訊入手房產.
至於會有一堆IP對路由器WAN的IP作Ping,主要是掌握到DNS主機然後偽造,
方便好劫持,也好做事,這次遇到A板就不一樣,它只能瞎猜,因為不能tracert,
雖能ping,它就只能瞎猜透過中華DNS的主機去做個Ping(3:13)作劫持.
至於CAPsMAN介面設定參考官方WiKi是沒有說錯,至於無線裝置為啥觸到掃埠?
有很大的因素就是裝置被劫持.在跳板試圖劫持底下的過程裡面,你使用它,它就會觸規.
跟CAPsMAN介面設定有關係,你若用官方WiKi版本的就會這樣,但官方沒說錯.
若CAPsMAN介面用非官方設定也沒問題,都不會觸規,這樣合理嗎?一定不合理嘛!
--
CAPsMAN設定頻率區分與AP的MAC碼指定,目前套用A版尚未觸規,真的有差.
QoS的CAKE與FQ部分,近期還會再做測試,畢竟這兩個功能在QoS還是很好用.
QoS的CAKE贏很多,故採用CAKE,至於在Q樹裡,需要搭配快速通道才會好用.
cake設定成這樣就可以了,就不會隨時誤觸到A版規則,無線優化很難比有線裝置好.
這是一定的,之前QueueType的cake設定,也是誤觸規則與網軍鑽漏的原因.
--
/queue type
add cake-diffserv=diffserv3 cake-flowmode=triple-isolate kind=cake name=cake
/queue simple
add max-limit=40M/100M name=cake queue=cake/cake target=192.168.88.0/24
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5197樓
2024-01-30 0:03
AP設定更新於2024/01/30全完改.
--
QoS沒問題,也不會觸規與鑽漏,DNS重定向設定也沒問題,確保DNS不會被劫持,
CAPsMAN設定頻率與cAP的MAC位址也沒問題,確保降低被跳板作攻擊與試探.
唯一不能保證的是無線,被阻斷的機率仍然高,因為網軍很嗆狂,只能將就撐到台海開戰.
--
CAPsMAN介面設定與A版已更正.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5198樓
2024-01-30 23:45
AP設定更新於2024/03/09全完改.
--
CAKE規則更正,預設值即可.
人品是做人最好的底牌.
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
49998分
5199樓
2024-01-31 23:45
版及AP設定採用CAPsMAN模式於2025/09/02更新全完結.
--
QoS採用CAKE與FQ,預設值即可.
--
/queue type
add kind=cake name=cake
/queue simple
add max-limit=40M/100M name=cake queue=cake/cake target=192.168.88.0/24
--
/queue type
add kind=fq-codel name=fq-codel
/queue simple
add max-limit=40M/100M name=cake queue=fq-codel/fq-codel target=\
192.168.88.0/24
--
In The End [Official HD Music Video] - Linkin Park

--
/ip firewall mangle
add action=change-mss chain=forward comment="Change MSS" new-mss=\
clamp-to-pmtu protocol=tcp tcp-flags=syn
add action=change-mss chain=output new-mss=clamp-to-pmtu protocol=tcp \
tcp-flags=syn
add action=jump chain=prerouting connection-state=new jump-target=\
tcp-services protocol=tcp
add action=jump chain=prerouting connection-state=new jump-target=\
udp-services protocol=udp
add action=jump chain=prerouting connection-state=new jump-target=\
other-services
add action=mark-connection chain=tcp-services dst-port=20-21 \
new-connection-mark=ftp passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=22 \
new-connection-mark=ssh passthrough=no protocol=tcp src-port=513-65535
add action=mark-connection chain=tcp-services dst-port=23 \
new-connection-mark=telnet passthrough=no protocol=tcp src-port=\
1024-65535
add action=mark-connection chain=tcp-services dst-port=25 \
new-connection-mark=smtp passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=53 \
new-connection-mark=dns passthrough=no protocol=tcp src-port=53
add action=mark-connection chain=tcp-services dst-port=53 \
new-connection-mark=dns passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=80 \
new-connection-mark=http passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=110 \
new-connection-mark=pop3 passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=113 \
new-connection-mark=auth passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=119 \
new-connection-mark=nntp passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=143 \
new-connection-mark=imap passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=161-162 \
new-connection-mark=snmp passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=443 \
new-connection-mark=https passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=465 \
new-connection-mark=smtps passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=993 \
new-connection-mark=imaps passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=995 \
new-connection-mark=pop3s passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=1723 \
new-connection-mark=pptp passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=2379 \
new-connection-mark=kgs passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=3128 \
new-connection-mark=proxy passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=3389 \
new-connection-mark=win-ts passthrough=no protocol=tcp src-port=\
1024-65535
add action=mark-connection chain=tcp-services dst-port=4242-4243 \
new-connection-mark=emule passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=1024-65535 \
new-connection-mark=overnet passthrough=no protocol=tcp src-port=\
4661-4662
add action=mark-connection chain=tcp-services dst-port=1024-65535 \
new-connection-mark=emule passthrough=no protocol=tcp src-port=4711
add action=mark-connection chain=tcp-services dst-port=5900-5901 \
new-connection-mark=vnc passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=6667-6669 \
new-connection-mark=irc passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=6881-6889 \
new-connection-mark=bittorrent passthrough=no protocol=tcp src-port=\
1024-65535
add action=mark-connection chain=tcp-services dst-port=8080 \
new-connection-mark=http passthrough=no protocol=tcp src-port=1024-65535
add action=mark-connection chain=tcp-services dst-port=8291 \
new-connection-mark=winbox passthrough=no protocol=tcp src-port=\
1024-65535
add action=mark-connection chain=tcp-services new-connection-mark=other-tcp \
passthrough=no protocol=tcp
add action=mark-connection chain=udp-services dst-port=53 \
new-connection-mark=dns passthrough=no protocol=udp src-port=1024-65535
add action=mark-connection chain=udp-services dst-port=123 \
new-connection-mark=ntp passthrough=no protocol=udp src-port=1024-65535
add action=mark-connection chain=udp-services dst-port=1701 \
new-connection-mark=l2tp passthrough=no protocol=udp src-port=1024-65535
add action=mark-connection chain=udp-services dst-port=4665 \
new-connection-mark=emule passthrough=no protocol=udp src-port=1024-65535
add action=mark-connection chain=udp-services dst-port=4672 \
new-connection-mark=emule passthrough=no protocol=udp src-port=1024-65535
add action=mark-connection chain=udp-services dst-port=1024-65535 \
new-connection-mark=emule passthrough=no protocol=udp src-port=4672
add action=mark-connection chain=udp-services dst-port=12053 \
new-connection-mark=overnet passthrough=no protocol=udp src-port=\
1024-65535
add action=mark-connection chain=udp-services dst-port=1024-65535 \
new-connection-mark=overnet passthrough=no protocol=udp src-port=12053
add action=mark-connection chain=udp-services dst-port=1024-65535 \
new-connection-mark=skype passthrough=no protocol=udp src-port=36725
add action=mark-connection chain=udp-services connection-state=new \
new-connection-mark=other-udp passthrough=no protocol=udp
add action=mark-connection chain=other-services icmp-options=8:0-255 \
new-connection-mark=ping passthrough=no protocol=icmp
add action=mark-connection chain=other-services new-connection-mark=gre \
passthrough=no protocol=gre
add action=mark-connection chain=other-services new-connection-mark=other \
passthrough=no
--
DNS重定向更正:
/ip firewall nat
add action=redirect chain=dstnat comment="Redirect DNS queries to router" \
dst-port=53 protocol=tcp
add action=redirect chain=dstnat dst-port=53 protocol=udp
--
CAPsMAN舊版的設定就採用官方的會比較好,這幾天我已證實.
--
NAT隱蔽採用官方的版本
--
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"NAT from local address back to public IP" out-interface-list=WAN \
src-address=192.168.88.0/24
--
若沒買NextDNS服務,套用下列已足夠.若有買,建議把下列刪除,並掛上DoH.
--
/ip dns
set allow-remote-requests=yes cache-max-ttl=5m cache-size=104857KiB \
servers=168.95.192.1,168.95.1.1
/ip dns adlist
add ssl-verify=no url="https://raw.githubusercontent.com/hagezi/dns-blocklists\
/main/domains/ultimate.txt"
--
把NextDNS的DoH掛上設定影片如下:
--
Encrypt your DNS requests with MikroTik
人品是做人最好的底牌.
  • 520
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 520)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?