主管和我说:PPTP 不安全的,所以上VPN的时候,尽量少留个人信息,但是我之前一直没在意。
今晚闲的无聊,于是我想自己测试一下,到底PPTP协议安全与否。
Ps:此文是处于学习和发掘的目的,大牛们肯定都已经知道,但是就让我把此文献给不知道的朋友们把。
本机 —> 台湾VPN
上台湾服务器—->开启smsniff(一款抓包工具)
于是这边登录google 以及SSH(二者都是加密的https://)
于是情况如下 (首先我访问的是google):
然后登录:
到这里大家也都明白了。 但是我倒没去测试cookie是否能够登录。
于是我在继续找了个直接是以http://方式无加密的后台登录测试。
情况如下:
由此可见,PPTP VPN并不安全。
之前还测试了登录SSH,SSH的密文肯定是不能解密的。但是我SSH BANNER以及IP被显示的一清二楚。 可以说:只要连上了PPTP。 你本机所走的数据必会经过VPN。
通过抓包分析以后,我背上冒冷汗。
因为平时我的习惯是打开电脑就先连上VPN,不然心里很不舒服。
但是经过今晚测试,你还能够hold住吗?
———————————————————————-
今天早上起来,越想越不爽,于是做了以下措施。
打了个企业,利用如下方式来跳板。
企业SSLVPN(类似于cisco vpn) —>香港VPN–>台湾VPN
上个图,这样相对来说安全了吗?
91ri.org科普时间:
PPTP(点对点隧道协议)是一个很好的,轻量级的VPN协议,高速提供基本的在线安全。 PPTP是内建于各种桌面和移动设备,并有128位加密功能。相比L2TP速度更快。
附带IPsec(IP安全)的L2TP(第2层隧道协议)是非常安全的协议,其内置于多种桌面和移动设备。L2TP/IPsec采用256位加密, 但额外的安全开销比PPTP需要更多的CPU使用率。
从上面我们可以发现,L2TP提供的是隧道验证,而PPTP则不支持隧道验证,所以相比来说L2TP会比PPTP协议来的安全的多。乌云上就曾经讨论过关于怎么查找攻击目标的方式. 虽说挂上几层VPN相对来说比裸奔安全些,想找到你只是时间的问题而已。经常听到大牛说,不是找不到你,只是想不想找你而已。所以少年莫伸手啊!
相关阅读:《别以为有vpn我找不到你(网警抓人全过程)》
[via@wangzi]
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号