pptp的vpn真的安全吗？

提要

主管和我说：PPTP 不安全的，所以上VPN的时候，尽量少留个人信息，但是我之前一直没在意。

今晚闲的无聊，于是我想自己测试一下，到底PPTP协议安全与否。

Ps：此文是处于学习和发掘的目的，大牛们肯定都已经知道，但是就让我把此文献给不知道的朋友们把。

环境

本机 —> 台湾VPN

上台湾服务器—->开启smsniff（一款抓包工具）

于是这边登录google 以及SSH(二者都是加密的https://)

于是情况如下 (首先我访问的是google)：

然后登录：

到这里大家也都明白了。 但是我倒没去测试cookie是否能够登录。

于是我在继续找了个直接是以http://方式无加密的后台登录测试。

情况如下:

由此可见，PPTP VPN并不安全。
之前还测试了登录SSH，SSH的密文肯定是不能解密的。但是我SSH BANNER以及IP被显示的一清二楚。 可以说：只要连上了PPTP。 你本机所走的数据必会经过VPN。

通过抓包分析以后，我背上冒冷汗。

因为平时我的习惯是打开电脑就先连上VPN，不然心里很不舒服。

但是经过今晚测试，你还能够hold住吗？
———————————————————————-

今天早上起来，越想越不爽，于是做了以下措施。

打了个企业，利用如下方式来跳板。

企业SSLVPN(类似于cisco vpn) —>香港VPN–>台湾VPN

上个图，这样相对来说安全了吗？

91ri.org科普时间：

• PPTP

  PPTP（点对点隧道协议）是一个很好的，轻量级的VPN协议，高速提供基本的在线安全。 PPTP是内建于各种桌面和移动设备，并有128位加密功能。相比L2TP速度更快。

• L2TP

  附带IPsec（IP安全）的L2TP（第2层隧道协议）是非常安全的协议，其内置于多种桌面和移动设备。L2TP/IPsec采用256位加密， 但额外的安全开销比PPTP需要更多的CPU使用率。

从上面我们可以发现，L2TP提供的是隧道验证，而PPTP则不支持隧道验证，所以相比来说L2TP会比PPTP协议来的安全的多。乌云上就曾经讨论过关于怎么查找攻击目标的方式. 虽说挂上几层VPN相对来说比裸奔安全些，想找到你只是时间的问题而已。经常听到大牛说，不是找不到你，只是想不想找你而已。所以少年莫伸手啊！

相关阅读：《别以为有vpn我找不到你（网警抓人全过程）》

[via@wangzi]