RDP协议流程详解（一）Connection Initiation阶段

        Connetction Initiation是RDP连接的第一个阶段，具体包含两个消息RDP Negotiation Request和RDP Negotiation Response，下面结合协议数据包详细分析。

        （1）RDP Negotiation Request

        从数据包可以清晰看到此时的协议栈依次是TCP-TPKT-X.224-RDP。其中TCP协议非常普遍，这里不详细说了。TPKT协议的全称是"Transport Protocol Data Unit"，它在RDP中负责对RDP数据进行分割、传输和重组。TPKT协议主要用于在网络中可靠地传输RDP数据。TPKT协议具体定义了如何将RDP数据分割成数据单元（称为数据包）以及如何在网络中传输这些数据包。每个TPKT数据包包含一个特定的头部，用于标识包的开始和结束，并提供错误检测和纠正机制。TPKT头部中包含了数据包长度、版本号和其他必要的控制信息。TPKT示例如下，包含版本和长度。

        X.224协议是一种用于远程桌面协议（RDP）中的传输层协议。它提供了在网络中建立和管理RDP会话的功能，是RDP协议栈中的关键组成部分。X.224负责连接的建立和维护、可靠的数据传输、错误检测和纠正、会话管理以及安全性支持等功能。比如，X.224协议可以与其他安全协议结合使用，如SSL（Secure Sockets Layer）或TLS（Transport Layer Security），以提供传输层的数据加密和身份验证机制。通过这些安全协议，X.224可以确保RDP会话的机密性和保密性，示例如下。

        下面我们来重点分析RDP_NEG_REQ消息。

        RoutingToken/Cookie是可选字段，如果是RoutingToken则是用来作为负载均衡（load balancing），如果是Cookie则具体形式为“Cookie: mstshash=IDENTIFIER”，Token或Cookie只能是二者选一。

        Type取值为0x01，表明消息类型为TYPE_RDP_NEG_REQ。

        Flags字段包含8位，定义为0x01：RESTRICTED_ADMIN_MODE_REQUIRED （客户端要求为restricted admin mode，如果服务端支持则发送相应空证书），0x02：REDIRECTED_AUTHENTICATION_MODE_REQUIRED （客户端要求为Remote Credential Guard模式，如果服务器支持则基于CredSSP的重定向鉴别），0x08：CORRELATION_INFO_PRESENT（这里指示是否有rdpCorrelationInfo字段）。

        Length必须是0x0008，也就是8个字节。

        requestedProtocols指示支持的安全协议，长度为4字节。定义为0x00000000：PROTOCOL_RPD（支持标准RDP安全），0x00000001：PROTOCOL_SSL（支持TLS1.0,1.1或1.2），0x00000002：PROTOCOL_HYBRID（支持CredSSP，一般这里设置为1则TLS也设置为1），0x00000004：PROTOCOL_RDSTLS（支持RDSTLS协议），0x00000008：PROTOCOL_HYBRID_EX（一般这里设置为1则PROTOCOL_HYBRID也设置为1），0x00000010：PROTOCOL_RDSAAD（支持RDS AAD Auth安全）。

        （2）RDP Negotiation Response 

        TPKT和X.224层不具体说了，重点分析RDP_NEG_RSP。

        Type取值为0x02，表明消息类型为TYPE_RDP_NEG_RSP。

        Flags字段也是8位长度，指示的是服务端的协议支持能力。

        Length必须是0x0008，也就是8个字节。

        selectedProtocol指示协商使用的安全协议类型，这里是CredSSP类型0x0000002。其他定义如下。