最近在分析RDP的数据流时,发现使用wireshark默认设置打开RDP数据,无法解析RDP数据的协议格式: 没有办法进行协议格式解析,这对后续分析造成很大困难。网上找了一圈,没有发现相关的解决办法,后来自己摸索到了解决方法,分享出来: wireshark默认是不支持RDP协议解析的,需要经过设置。

1、选中一条RDP报文,右键->协议首选项->open Data preference.... 2、找到TPKT(此处对此协议不做解释,可自行google): 需要注意,它的默认TCP端口是102,由于rdp常用端口为3389,进行修改。 3、修改端口为3389: 这样,再去查看RDP的相关数据报文,就可以进行格式解析了。

来自: 链接:https://www.jianshu.com/p/28dd6d59a82f