RDP协议流程详解(二)Basic Settings Exchange 阶段

        RDP连接建立过程,在Connection Initiation后,RDP客户端和服务端将进行双方基础配置信息交换,也就是basic settings exchange阶段。在此阶段,将包含两条消息Client MCS Connect Initial PDU和Server MCS Connect Response PDU,示例如下。        RDP协议流程详解(二)Basic Settings Exchange 阶段_第1张图片

        这里Wireshark并未对TPKT协议做具体解析,我们参照RDP Open Specifications文档解释。

        (1)Client MCS Connect Initial PDU

字段名 说明
tpkHeader 4字节,包括TPKT版本以及数据包长度
x224Data 3字节,包括长度、PDU类型、EOT
mcsCi 可变长度,通过userdata封装 GCC Conference Create Request数据
gccCCrq 可变长度,GCC Conference Create Request
ClientCoreData 可变长度,类型CS_CORE 0xC001。包括RDP客户端版本、客户端图形显示设备、输入设备、客户端桌面信息以及serverSelectedProtocol(在上个阶段从server端接受到)
ClientSecurityData 12字节,CS_SECURITY 0xC002。当使用标准RDP安全时本字段有效,包括客户端支持的数据完整性和机密性算法信息,如128-bit安全强度的RC4
ClientNetworkData 可变长度,CS_NET 0xC003
ClientClusterData 12字节,CS_CLUSTER 0xC004
ClientMonitorData 可变长度,CS_MONITOR 0xC005
ClientMessageChannelData 可选,CS_MCS_MSGCHANNEL 0xC006
ClientMultitransportChannelData 可选,CS_MULTITRANSPORT 0xC00A
clientMonitorExtendData 可变长度,CS_MONITOR_EX 0xC008

        (2)Server MCS Connect Response PDU

字段名 说明
tpktHeader 4字节,包括TPKT版本以及数据包长度
x.224Data 3字节,包括长度、PDU类型、EOT
mcsCrsp 可变长度,通过userdata封装 GCC Conference Create Response数据
gccCCrsp 可变长度,GCC Conference Create Response
serverCoreData 可变长度,类型SC_CORE (0x0C01)。包括服务端支持RDP版本、clientRequestedProtocols(在上个阶段从client接收到)
serverNetworkData 可变长度,
serverSecurityData 可变长度,类型SC_SECURITY (0x0C02)。包括选定的数据机密性和完整性保护算法(若使用加强加密方式则为ENCRYPTION_METHOD_NONE
)、加密保护级别、随机数长度及随机数、数字证书长度及数字证书。
serverMessageChannelData 可选,类型SC_NET 0x0C03
serverMultitransportChannelData 可选,类型SC_MULTITRANSPORT (0x0C08)

你可能感兴趣的:(#,密评实践,#,密码应用协议,安全,信息安全工程师)