ISP 可以看到私有 IP 地址吗？

Question 1

但是私有 IP 也会发生这种情况吗？我的意思是，比如，wifi 路由器的 ISP 会查看并记录哪些数据包从哪个网站发送到连接到 wifi 的哪个 eaxct 设备，然后将其与该设备的私有 IP 关联起来？

一般不会。正如你所说，私有 IP 地址分配给设备通过 wifi 路由器，而这种情况发生在“ISP 网络”边界之外。当来自您设备的数据包到达 ISP 时，数据包的标头仅包含公共源 IP 地址，而不包含私有 IP 地址。

（但是，请记住，如果路由器本身由 ISP 提供，并且仍然由 ISP 远程管理，则 ISP 可以远程配置路由器记录每个连接并将日志条目转发给 ISP。

Answer

但是私有 IP 也会发生这种情况吗？我的意思是，比如，wifi 路由器的 ISP 会查看并记录哪些数据包从哪个网站发送到连接到 wifi 的哪个 eaxct 设备，然后将其与该设备的私有 IP 关联起来？

一般不会。正如你所说，私有 IP 地址分配给设备通过 wifi 路由器，而这种情况发生在“ISP 网络”边界之外。当来自您设备的数据包到达 ISP 时，数据包的标头仅包含公共源 IP 地址，而不包含私有 IP 地址。

（但是，请记住，如果路由器本身由 ISP 提供，并且仍然由 ISP 远程管理，则 ISP 可以远程配置路由器记录每个连接并将日志条目转发给 ISP。

Question 2

简单的答案是“大多数情况下并非如此”——然而总体答案却更加微妙。

在常见情况下路由器正在进行 NAT并且如果 ISP 无法登录路由器，并且使用的是 HTTP/HTTPS 等标准协议，则 ISP 无法看到路由器后面各个设备的 IP 地址。少数协议以未加密的形式提供此信息，ISP 可以恢复这些信息。此信息也可能通过以下方式泄露：例如，通过现场邮件服务器发送的电子邮件中的电子邮件标头，或者更罕见的是，通过现场代理服务器为 HTTP 通信添加 X-Forwarded-For 标头。

有时可以通过拦截内容来诱骗浏览器泄露这些信息。使用 HTTPS 会使这一过程变得更加困难。还可能根据源端口和 ISP 或窃取该数据的人可获得的其他“指纹”信息推断出有关 IP 地址后面的机器的信息。这不会泄露 IP 地址，但可以使用共享 IP 地址识别网络中的单个机器 - 并且无论使用 http/https 都可以做到这一点。

所有这些都假设路由器正在执行 NAT。这不是一个安全的假设。 例如，如果路由器启用了 IPV6，则通常不使用 NAT，并且可以直接看到单个设备。在路由器上同时使用 NAT 后面的 IPV4 和 IPV6 是完全可行的（并且并不罕见），并且可以在没有任何用户配置或 DHCP 的情况下设置 IPV6。某些网站（首先是 Google 属性）将使用 IPV6（如果可用），即使其他网站正在使用 IPV4。

我还注意到，您关于 ISP 日志记录的说法接近事实，但在细微差别上是不正确的。大多数 ISP 不会记录发往网站的数据包，他们会记录 IP 地址之间的数据包，而且 IP 地址和网站之间通常存在一对多或多对多的关系（例如，youtube 和 google 之间存在多对多关系，大多数网站都位于共享主机上）。虽然没有大肆宣传，但大多数政府都会在 ISP 上安装设备并窃取数据（对此有标准化协议，恕我直言，这在 ISP 的 T&C 中并不为人所知和公开，这是一件丑闻）。我预计，这些政府设备能够获取访问的网站名称和访问者的公共 IP 地址 - 即使数据已加密（因为在大多数情况下，域名未通过 HTTPS 加密 - 由于上述共享主机和 IPV4 限制）

Answer

简单的答案是“大多数情况下并非如此”——然而总体答案却更加微妙。

在常见情况下路由器正在进行 NAT并且如果 ISP 无法登录路由器，并且使用的是 HTTP/HTTPS 等标准协议，则 ISP 无法看到路由器后面各个设备的 IP 地址。少数协议以未加密的形式提供此信息，ISP 可以恢复这些信息。此信息也可能通过以下方式泄露：例如，通过现场邮件服务器发送的电子邮件中的电子邮件标头，或者更罕见的是，通过现场代理服务器为 HTTP 通信添加 X-Forwarded-For 标头。

有时可以通过拦截内容来诱骗浏览器泄露这些信息。使用 HTTPS 会使这一过程变得更加困难。还可能根据源端口和 ISP 或窃取该数据的人可获得的其他“指纹”信息推断出有关 IP 地址后面的机器的信息。这不会泄露 IP 地址，但可以使用共享 IP 地址识别网络中的单个机器 - 并且无论使用 http/https 都可以做到这一点。

所有这些都假设路由器正在执行 NAT。这不是一个安全的假设。 例如，如果路由器启用了 IPV6，则通常不使用 NAT，并且可以直接看到单个设备。在路由器上同时使用 NAT 后面的 IPV4 和 IPV6 是完全可行的（并且并不罕见），并且可以在没有任何用户配置或 DHCP 的情况下设置 IPV6。某些网站（首先是 Google 属性）将使用 IPV6（如果可用），即使其他网站正在使用 IPV4。

我还注意到，您关于 ISP 日志记录的说法接近事实，但在细微差别上是不正确的。大多数 ISP 不会记录发往网站的数据包，他们会记录 IP 地址之间的数据包，而且 IP 地址和网站之间通常存在一对多或多对多的关系（例如，youtube 和 google 之间存在多对多关系，大多数网站都位于共享主机上）。虽然没有大肆宣传，但大多数政府都会在 ISP 上安装设备并窃取数据（对此有标准化协议，恕我直言，这在 ISP 的 T&C 中并不为人所知和公开，这是一件丑闻）。我预计，这些政府设备能够获取访问的网站名称和访问者的公共 IP 地址 - 即使数据已加密（因为在大多数情况下，域名未通过 HTTPS 加密 - 由于上述共享主机和 IPV4 限制）

Question 3

如果 ISP 维护路由器并分配 WAN IP 地址，他们就可以看到您能看到的一切，包括 DHCP 详细信息。因此他们知道您连接了 30 台设备，其中两台又是路由器。他们可能还想知道您是否必须禁用他们的 Wi-Fi 并运行接入点。否则，他们可以根据日志远程“调整”您的 Wi-Fi。他们可以调查您的MAC 地址寻找智能扬声器或高端手机并相应地定制营销活动。

如果路由器没有携带其固件，则情况就更是如此。

Answer

如果 ISP 维护路由器并分配 WAN IP 地址，他们就可以看到您能看到的一切，包括 DHCP 详细信息。因此他们知道您连接了 30 台设备，其中两台又是路由器。他们可能还想知道您是否必须禁用他们的 Wi-Fi 并运行接入点。否则，他们可以根据日志远程“调整”您的 Wi-Fi。他们可以调查您的MAC 地址寻找智能扬声器或高端手机并相应地定制营销活动。

如果路由器没有携带其固件，则情况就更是如此。

Question 4

你收到了很多很棒的答案，但我想我会用一个类比来补充：

假设你回到办公室。你给另一个州的客户写了一封信，但你没有在信上写下你的信息。你把信交给接待员，告诉她你希望他们回复。

然后，接待员打开这封信，并在桌子上写下一条注释：“XYZ 办公室的 Happy 正在等待 X 公司的回复。”接待员还收到了您的同事写给 X 公司的一封匿名信，因此他们可能还会记下一些关键信息，以区分您从 X 公司的回复和您的同事从 X 公司的回复。

接待员将您的信件放入一个信封中，信封上只有您公司的邮寄地址、收件人姓名以及 X 公司的邮寄地址。当接待员收到您信件的回复时，回复中不一定有您的名字，但接待员有足够的信息来正确推断回复应该是寄给您的。

在互联网上，接待员就是您的路由器。它为您的设备提供了一个“办公室号码”（即私有 IP 地址）。您的网络之外的其他计算机都不知道（或不关心）这个私有 IP 地址是什么。对于外界来说，您与网络上的每台其他计算机共享一个 IP 地址。（此地址称为公共 IP 地址）当您的计算机发送数据并等待服务器回复时，路由器会知道这一点并将回复转发给您的计算机。这个过程称为网络地址转换 (NAT)。

Answer