3389远程连接流量分析

Cookie mstshash=Administr..

本地尝试连接3389 抓包流量如下

请求中包含Cookie：mstshash=Administo
位于TransportLayerSecurity中后面内容应该是被加密了
流量包中短时间内多次出现该字段有可能是3389爆破用户名密码

3389远程溢出漏洞

https://www.cnblogs.com/huim/p/7570776.html

远程桌面连接安全机制

包内会有TransportLayerSecurity层
以win7为例查看组策略 gpedit.msc，依次》计算机配置》管理模版》Windows组件》远程桌面服务》远程桌面会话主机》安全》右边找到远程（RDP）连接要求使用指定的安全层。
在已启用中可以看到支持RDP、SSL（TLS1.0）、协商三种。