【转】wireshark分析RDP数据前的设置

作者：南大理寺卿
链接：https://www.jianshu.com/p/28dd6d59a82f

 

最近在分析RDP的数据流时，发现使用wireshark默认设置打开RDP数据，无法解析RDP数据的协议格式：

 

 

没有办法进行协议格式解析，这对后续分析造成很大困难。网上找了一圈，没有发现相关的解决办法，后来自己摸索到了解决方法，分享出来：
wireshark默认是不支持RDP协议解析的，需要经过设置。

1. 选中一条RDP报文，右键->协议首选项->open Data preference....

   

    

    

   
   

2. 找到TPKT（此处对此协议不做解释，可自行google）：

   

    

    

   
   
   
   

   需要注意，它的默认TCP端口是102，由于rdp常用端口为3389，进行修改。

3. 修改端口为3389

    

   

这样，再去查看RDP的相关数据报文，就可以进行格式解析了。