RDP协议流程详解(一)Connection Initiation阶段

已于 2023-10-04 16:57:41 修改
阅读量1.3k 收藏 2
点赞数 1
分类专栏: # 密评实践 # 密码应用协议 文章标签: 安全 信息安全工程师
于 2023-10-04 16:53:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/133553126
版权

        Connetction Initiation是RDP连接的第一个阶段,具体包含两个消息RDP Negotiation Request和RDP Negotiation Response,下面结合协议数据包详细分析。

        (1)RDP Negotiation Request

        从数据包可以清晰看到此时的协议栈依次是TCP-TPKT-X.224-RDP。其中TCP协议非常普遍,这里不详细说了。TPKT协议的全称是"Transport Protocol Data Unit",它在RDP中负责对RDP数据进行分割、传输和重组。TPKT协议主要用于在网络中可靠地传输RDP数据。TPKT协议具体定义了如何将RDP数据分割成数据单元(称为数据包)以及如何在网络中传输这些数据包。每个TPKT数据包包含一个特定的头部,用于标识包的开始和结束,并提供错误检测和纠正机制。TPKT头部中包含了数据包长度、版本号和其他必要的控制信息。TPKT示例如下,包含版本和长度。

        X.224协议是一种用于远程桌面协议(RDP)中的传输层协议。它提供了在网络中建立和管理RDP会话的功能,是RDP协议栈中的关键组成部分。X.224负责连接的建立和维护、可靠的数据传输、错误检测和纠正、会话管理以及安全性支持等功能。比如,X.224协议可以与其他安全协议结合使用,如SSL(Secure Sockets Layer)或TLS(Transport Layer Security),以提供传输层的数据加密和身份验证机制。通过这些安全协议,X.224可以确保RDP会话的机密性和保密性,示例如下。

        下面我们来重点分析RDP_NEG_REQ消息。

        RoutingToken/Cookie是可选字段,如果是RoutingToken则是用来作为负载均衡(load balancing),如果是Cookie则具体形式为“Cookie: mstshash=IDENTIFIER”,Token或Cookie只能是二者选一。

        Type取值为0x01,表明消息类型为TYPE_RDP_NEG_REQ。

        Flags字段包含8位,定义为0x01:RESTRICTED_ADMIN_MODE_REQUIRED (客户端要求为restricted admin mode,如果服务端支持则发送相应空证书),0x02:REDIRECTED_AUTHENTICATION_MODE_REQUIRED (客户端要求为Remote Credential Guard模式,如果服务器支持则基于CredSSP的重定向鉴别),0x08:CORRELATION_INFO_PRESENT(这里指示是否有rdpCorrelationInfo字段)。

        Length必须是0x0008,也就是8个字节。

        requestedProtocols指示支持的安全协议,长度为4字节。定义为0x00000000:PROTOCOL_RPD(支持标准RDP安全),0x00000001:PROTOCOL_SSL(支持TLS1.0,1.1或1.2),0x00000002:PROTOCOL_HYBRID(支持CredSSP,一般这里设置为1则TLS也设置为1),0x00000004:PROTOCOL_RDSTLS(支持RDSTLS协议),0x00000008:PROTOCOL_HYBRID_EX(一般这里设置为1则PROTOCOL_HYBRID也设置为1),0x00000010:PROTOCOL_RDSAAD(支持RDS AAD Auth安全)。

        (2)RDP Negotiation Response 

        TPKT和X.224层不具体说了,重点分析RDP_NEG_RSP。

        Type取值为0x02,表明消息类型为TYPE_RDP_NEG_RSP。

        Flags字段也是8位长度,指示的是服务端的协议支持能力。

        Length必须是0x0008,也就是8个字节。

        selectedProtocol指示协商使用的安全协议类型,这里是CredSSP类型0x0000002。其他定义如下。

取值说明
PROTOCOL_RDP 0x00000000standared RDP Security
PROTOCOL_SSL 0x00000001TLS1.0 1.1 1.2
PROTOCOL_HYBRID 0x00000002CredSSP
PROTOCOL_RDSTLS 0x00000004RDSTLS协议
PROTOCOL_HYBRID_EX 0x00000008Credential Security Support Provider protocol (CredSSP)基于
Early User Authorization Result PDU
PROTOCOL_RDSAAD 0x00000010
RDS AAD Auth安全协议
游鲦亭长
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
RDP协议详细解析
mmdev
07-20 3568
一、前言 windows从NT开始提供终端服务,它是微软买来的网络协议技术(Citrix),服务器端要安装、配置,客户端要连接程序。终端服务使任何一台有权限的终端机,用已知的账号登录服务器,可以使用账号内的资源,包括软件,硬件资源;同时,在协议升级后,客户端连接后可以使用本地的资源,包括本地打印机、声音本地回放,本地磁盘资源和本地硬件接口。所有的计算都在服务器端进行,客户端只需要处理网络...
RDP协议格式详解
05-22
由于微软未公布RDP协议,网上的相关资料又与实际抓包有出入,故通过总结多方资料和分析实际抓包数据,最终写了本RDP协议格式分析的文档。 本文档内容为原创,分析了几种RDP版本下的抓包数据,但难免还有不足,望指正。
RDP协议详解
松狮
06-10 2万+
转自:http://lcx.cc/?i=936(修改、删除了原文的部分内容) 一 前言 二 概述 三 同络层次 四 各连接模块说明 五 各功能模块说明 六 rdpwin结构、数据流说明 七 总结 一、前言 RDP, Remote Desktop Protocol,远程桌面协议,是一个多通道(multi-channel)的协议,让用户(客户端或称“本
西门子S7协议笔记
热门推荐
Mr_Bobcp的博客
06-09 2万+
参考模型 TPKT(ISO Transport Service ontop of the TCP)TPKT是一种“封装”协议。它在自己的数据包中携带OSI数据包的数据有效载荷(负载),然后将结果结构传递给TCP,然后将该数据包作为TCP / IP数据包处理。将数据传递给TPKT的OSI程序不会察觉它们的数据将通过TCP / IP传输,因为TPKT模拟OSI协议传输服务访问点(TSAP:Transport Service Access Poin)。 TPKT(Transport Service ontop
RDP协议流程详解(概述)
最新发布
ryanzzzzz的博客
10-04 2892
(4)资源共享和远程应用程序:通过RDP协议,用户不仅可以访问远程计算机的桌面,还可以共享远程计算机上的文件、打印机和其他资源。RDP协议是一种强大而实用的远程访问协议,它提供了可视化桌面访问、安全的数据传输、多用户支持以及资源共享等特点,广泛应用于远程办公、技术支持和服务器管理等领域。(1)可视化桌面访问:RDP协议允许用户通过网络远程访问和操作远程计算机的桌面,就像在本地计算机上一样。(2)可靠且安全的传输:RDP协议使用可靠的TCP/IP协议来传输桌面、键盘、鼠标和其他设备的数据。
S7comm协议学习笔记
山兔的博客
09-12 2162
一、S7comm,西门子为了它生产的PLC、SCADA与PLC之间的通信而设计的专属私有协议。 在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后,最终通过TCP进行传输。 数据包逻辑上是由高层进行封装再一步步的转递给较低层,但我们接收到包后是低层一层层拆卸交给上层,基于逆向思维,我们之后的分析应该是由低向高展开的。 TPKT协议是一个传输服务协议,它为上层的COPT和下层TCP进行了过渡。 CR和CC其实分别是connect request和connet confirm。 连接建立成功后,发送
Ubuntu-22.04通过RDP协议连接远程桌面
jiexijihe945的博客
09-08 1万+
由于一些特殊需要,我需要通过远程桌面连接到Ubuntu-22.04。在Ubuntu-20.04和Ubuntu-18.04我都是通过VNC协议连接的,体验上只能说中规中矩吧,能用的水平。今天偶然发现Ubuntu-22.04居然支持RDP了,抑制不住兴奋的心情去试了下简直流畅到起飞。我觉得VNC可以作为备选方案了。接下来就跟我一起一步步体验飞一般的感觉!我的配置:感觉RDP比VNC流畅太多了,也许是VNC配置的不太对,默认配置下RDP体验比VNC好很多。
可靠数据协议RDP)--网络大典
Javvin的专栏
11-22 1396
        可靠数据协议RDP) 是一种面向连接的传输协议,其主要设计来为主机监控应用程序的下载/上传以及远程调试支持数据的有效成批传输。RDP 尝试只提供那些必需的服务器,达到操作有效、尺度小的效果。其主要功能如下:RDP 将在每个传输连接端口提供一个全双工通信信道; RDP 将尝试可靠发送所有的户信息,一旦发送失败,及时向用户报告错误。RDP 扩展 IP 数据包服务使之包括可
rdp协议详解
11-06
"RDP 协议详解" RDP(Remote Display Protocol),即远程显示协议,是一种提供客户和服务器之间连接的协议。该协议是对国际电信联盟发布的一个国际标准的多通道会议协议 T.120 的一个扩展。下面是 RDP 协议的详细...
RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接的解决方法
01-10
RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。 事件类型: 错误 事件来源: TermDD 描述: RDP 的 “DATA ENCRYPTION协议组件在协议流中检测到一个错误并且中断了客户机。 这里,RDP,即远程...
RDP下述X224协议详解
11-25
RDP下述X224协议详解
RDP协议开源代码
06-03
RDP开源项目FreeRDP代码,鉴于微软并未开放其源代码,所以一套符合RDP协议的代码有利于云终端软件的开发
死磕RDP协议,从截图和爆破说起
m0_46699477的博客
04-28 1231
Goby RDP 截图、暴力破解功能升级(兼容性强、检测能力提升、检测效率高) ​​​
RDP协议详细解析(五)
qimo601的专栏
03-13 657
五、各功能模块说明: 任务标志说明:适用于所有非图形通道数据。 00 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 00 00 03 00 传输中 传输开始 传输结束 传输控制 传输反馈 1 licence身份谁模块: 在加密、解密...
rdp协议解读
jiangtao_killer的专栏
11-06 1968
一、前言    RDP,远程显示协议(Remote Display Protocol )简称RDP。提供了客户和服务器 之间的连接。该协议是对国际电信联盟发布的一个国际标准的多通道会议协议T.120 的一个扩展。Shadow Session,映像会话是MetaFrame 的一项重要功能,用户可以通过这项功能映像其它用户的桌面。管理员可以通过映像会话指导用户使用软件和系统,也可以用来监视客户
RDP协议概述、协议栈以及连接流程
weixin_34290096的博客
12-08 2718
从本文开始,我们将介绍一系列RDP协议的相关实现技术。一、RDP协议的诞生网络上存在着大量关于RDP协议是如何产生的话题和历史论述,有人说RDP协议是微软自家自研的协议,有人说这是微软从国际电信联盟收购而来的基于T.share协议进行改进的协议,有人说是微软公司从思杰公司收购而来等等不一而足。那么真实的RDP协议到底最初是如何产生的?实际上,微软RDP协议在诞生之初,是基于...
H.323协议分析
彭令鹏(bripengandre)的专栏
03-30 1万+
整理记录 版本 时间 内容 整理人
S7协议解析
weixin_38843284的博客
11-24 1万+
S7 1 西门子通信场景 西门子设备使用多种不同现场总线协议,例如:MPI、Profibus、IE 、Profinet 等。Profinet用于将PLC连接到IO模块,而不是设备的管理协议。S7以太网通信协议,主要用于将PLC连接到(i)pc站(PG/PC - PLC 通信)。 大多数情况下,西门子通信遵循传统的主从模式(master-slave)或者**CS模式(**client-server )。 其中PC(master/client)将S7请求发送到现场设备(slave/server)。这些请求用于从
IOS端开发RDP协议
03-31
iOS端开发RDP协议需要以下步骤: 1. 了解RDP协议:Remote Desktop Protocol(RDP)是一种远程桌面协议,它可以让用户通过网络连接到远程计算机并控制其桌面。RDP协议通常用于远程支持、远程办公、远程培训等场景。 2. 选择合适的开发工具:iOS端开发RDP协议需要选择合适的开发工具,如Xcode、Visual Studio等。 3. 编写代码:根据RDP协议的规定,编写相应的代码实现远程桌面连接、控制等功能。 4. 测试和调试:在开发过程中需要不断测试和调试代码,确保应用程序的功能和稳定性。 5. 发布和维护:开发完成后需要将应用程序发布到App Store或其他分发渠道,并持续维护和更新应用程序,以提供更好的用户体验。 需要注意的是,开发RDP协议需要对网络协议安全性有一定的了解和实践经验,建议在开发之前先进行相关的学习和实践。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值