3389远程连接流量分析
Cookie mstshash=Administr..
本地尝试连接3389 抓包流量如下
请求中包含Cookie:mstshash=Administo
位于TransportLayerSecurity中 后面内容应该是被加密了
流量包中短时间内多次出现该字段 有可能是3389爆破用户名密码
3389远程溢出漏洞
https://www.cnblogs.com/huim/p/7570776.html
远程桌面连接安全机制
包内会有TransportLayerSecurity层
以win7为例 查看组策略 gpedit.msc,依次》计算机配置》管理模版》Windows组件》远程桌面服务》远程桌面会话主机》安全》 右边找到 远程(RDP)连接要求使用指定的安全层。
在已启用中可以看到支持RDP、SSL(TLS1.0)、协商三种。
另外还可以设置加密级别,高128 低56