wireshark分析RDP数据前的设置

最近在分析RDP的数据流时,发现使用wireshark默认设置打开RDP数据,无法解析RDP数据的协议格式:


配置前.png

没有办法进行协议格式解析,这对后续分析造成很大困难。网上找了一圈,没有发现相关的解决办法,后来自己摸索到了解决方法,分享出来:
wireshark默认是不支持RDP协议解析的,需要经过设置。

  1. 选中一条RDP报文,右键->协议首选项->open Data preference....


    打开设置.png
  2. 找到TPKT(此处对此协议不做解释,可自行google):


    TPKT.png

    需要注意,它的默认TCP端口是102,由于rdp常用端口为3389,进行修改。

  3. 修改端口为3389:


    修改端口为3389.png

这样,再去查看RDP的相关数据报文,就可以进行格式解析了。

你可能感兴趣的:(wireshark分析RDP数据前的设置)