pptp的vpn真的安全吗?

提要

主管和我说:PPTP 不安全的,所以上VPN的时候,尽量少留个人信息,但是我之前一直没在意。

今晚闲的无聊,于是我想自己测试一下,到底PPTP协议安全与否。

Ps:此文是处于学习和发掘的目的,大牛们肯定都已经知道,但是就让我把此文献给不知道的朋友们把。

环境

本机 —> 台湾VPN

上台湾服务器—->开启smsniff(一款抓包工具)

于是这边登录google 以及SSH(二者都是加密的https://)

于是情况如下 (首先我访问的是google):

101

然后登录:

102

 

103

到这里大家也都明白了。 但是我倒没去测试cookie是否能够登录。

于是我在继续找了个直接是以http://方式无加密的后台登录测试。

情况如下:

104

 

105

由此可见,PPTP VPN并不安全。
之前还测试了登录SSH,SSH的密文肯定是不能解密的。但是我SSH BANNER以及IP被显示的一清二楚。 可以说:只要连上了PPTP。 你本机所走的数据必会经过VPN。

通过抓包分析以后,我背上冒冷汗。

因为平时我的习惯是打开电脑就先连上VPN,不然心里很不舒服。

但是经过今晚测试,你还能够hold住吗?
———————————————————————-

今天早上起来,越想越不爽,于是做了以下措施。

打了个企业,利用如下方式来跳板。

企业SSLVPN(类似于cisco vpn) —>香港VPN–>台湾VPN

上个图,这样相对来说安全了吗?

106

 

91ri.org科普时间:

  • PPTP

    PPTP(点对点隧道协议)是一个很好的,轻量级的VPN协议,高速提供基本的在线安全。 PPTP是内建于各种桌面和移动设备,并有128位加密功能。相比L2TP速度更快。

  • L2TP

    附带IPsec(IP安全)的L2TP(第2层隧道协议)是非常安全的协议,其内置于多种桌面和移动设备。L2TP/IPsec采用256位加密, 但额外的安全开销比PPTP需要更多的CPU使用率。

从上面我们可以发现,L2TP提供的是隧道验证,而PPTP则不支持隧道验证,所以相比来说L2TP会比PPTP协议来的安全的多。乌云上就曾经讨论过关于怎么查找攻击目标的方式. 虽说挂上几层VPN相对来说比裸奔安全些,想找到你只是时间的问题而已。经常听到大牛说,不是找不到你,只是想不想找你而已。所以少年莫伸手啊!

相关阅读:《别以为有vpn我找不到你(网警抓人全过程)

[via@wangzi]