3389遠程連接流量分析
Cookie mstshash=Administr..
本地嘗試連接3389 抓包流量如下
請求中包含Cookie:mstshash=Administo
位於TransportLayerSecurity中 后面內容應該是被加密了
流量包中短時間內多次出現該字段 有可能是3389爆破用戶名密碼
3389遠程溢出漏洞
https://www.cnblogs.com/huim/p/7570776.html
遠程桌面連接安全機制
包內會有TransportLayerSecurity層
以win7為例 查看組策略 gpedit.msc,依次》計算機配置》管理模版》Windows組件》遠程桌面服務》遠程桌面會話主機》安全》 右邊找到 遠程(RDP)連接要求使用指定的安全層。
在已啟用中可以看到支持RDP、SSL(TLS1.0)、協商三種。
另外還可以設置加密級別,高128 低56