VPN的使用越來越廣泛了，有些人用它來繞過審查制度，有些人使用它來翻墻訪問國家禁止的網(wǎng)站，還有一些人用它來作為隱私保護(hù)層。

我們?cè)诠ぷ髦惺褂肰PN通常有兩個(gè)原因：訪問漏洞利用工具包或匿名測(cè)試音頻和終端安全產(chǎn)品。大多數(shù)漏洞利用工具包都是通過過濾受害者的IP地址進(jìn)行攻擊。而且曾經(jīng)音頻和終端安全產(chǎn)品在實(shí)驗(yàn)室環(huán)境中測(cè)試的結(jié)果和在家里或企業(yè)用戶機(jī)器上的結(jié)果不同。因此VPN在日常工作中非常重要。

這個(gè)月發(fā)生了一件事。我們像往常一樣使用商業(yè)VPN，像往常一樣我們使用Fiddler測(cè)試VirtualBox客戶機(jī)的惡意流量，在配置里手動(dòng)打開了“允許遠(yuǎn)程計(jì)算機(jī)連接”，然后實(shí)驗(yàn)室的機(jī)器也打開了防火墻和NAT。代理和VPN開了一晚。

然后在第二天早上，當(dāng)晚所有客戶機(jī)全都關(guān)閉的情況下，我們?cè)贔iddler的歷史中發(fā)現(xiàn)了一些奇怪的流量。我們猜測(cè)是不是主機(jī)上運(yùn)行了一個(gè)惡意軟件或者有人通過網(wǎng)絡(luò)訪問了Fiddler代理。于是我們快速檢查了一番發(fā)現(xiàn)是從VPN網(wǎng)絡(luò)接口通過的流量。通過對(duì)VPN IP的Nmap掃描再次證明了我們的懷疑。實(shí)驗(yàn)室的機(jī)器可以通過VPN的IP連接到整個(gè)互聯(lián)網(wǎng)訪問到所有的服務(wù)(Apache、FTP、Fiddler，RDP)。其中，F(xiàn)iddler代理端口被作為了一個(gè)開放的代理，直接用于點(diǎn)擊欺詐等惡意目的。不過還好至少SMB 445端口被防火墻過濾了。

雖然Windows防火墻一直開著，VPN接口設(shè)置為公共模式，私人網(wǎng)絡(luò)設(shè)置為私人模式，但是由于這些服務(wù)是手動(dòng)配置的所以可以直接訪問服務(wù)瀏覽隱私文檔。

我們認(rèn)為大多數(shù)的VPN公司都沒有這個(gè)問題。一般VPN提供商所有的公共IP要比一些VPN用戶所擁有的還要少，這意味著他們?cè)谀承┑胤绞褂昧薔AT。使用NAT就不會(huì)發(fā)生這種情況。