RDP协议详细解析（一）.docVIP

RDP协议详细解析（一）RDP协议详细解析 一 前言 二 概述 三 同络层次 四 各连接模块说明 五 各功能模块说明 六 rdpwin结构、数据流说明 七 总结 一、前言 windows从NT开始提供终端服务，它是微软买来的网络协议技术(Citrix)，服务器端要安装、配置，客户端要连接程序。终端服务使任何一台有权限的终端机，用已知的账号登录服务器，可以使用账号内的资源，包括软件，硬件资源；同时，在协议升级后，客户端连接后可以使用本地的资源，包括本地打印机、声音本地回放，本地磁盘资源和本地硬件接口。所有的计算都在服务器端进行，客户端只需要处理网络连接、接收数据、界面显示和设备数据输出。 目前，关于RDP服务的linux客户端程序有winconnect，linrdp，rdesktop，前两个没有源码，但redsktop已经由原来的个人开发后公开代码演变成现在的项目组开发。由于项目的跨平台开发需要，我们在开始时进行过单独的协议破解工作，破解后，我们的程序在原来的RDP4.0基础上扩展到5.1，实现了16位颜色，声音本地回放， 映射本地打印机。对于当前的终端机，这些功能完全满足需要，因此其他功能暂不便破解实现。为防患RDP协议的升级而影响我们破解而得的终端程序的功能性，需要对RDP协议的变化进行跟踪，对et-rdesktop进行优化、完善。鉴于当前的工作安排，将跟踪redsktop项目的进展，以提炼功能为我所用和完善现有程序。 二、概述 1 版本功能说明： RDP协议在终端服务推出后已有四个版本，4.0、5.0、5.1、5.2。一般来说，版本是根据windows的版本确定的。 从客户端的角度来说，5.X版本间提供的功能差别不是很大，相对于4.0版本，它提供了用户带密码直接登录、客户端驱动器资源映射、客户端音频回放、最高24位色显示和符合FIPS加密级别连接。 另外，从4.0协议开始变提供的客户羰功能有：高、中、低三种数据加密级别，客户端自定义初始登录环境，客户端打印机映射，客户端LPT端口映射，客户端com端口映射，剪贴板映射，客户登录的个性化设置(包括键盘、显示界面大小等)。 2、协议层次说明： 通过破解研究，我们掌握了RDP协议的基本层次结构。基本上，RDP协议的每一层次上都标示出其层内的数据长度值。 对于层次划分，主要是指RDP协议网络功能数据传送时通常都包含的各层次，而对于各层次内所实现的单层次连接等功能将做为单独的模块来进行阐述。 网络连接层：RDP协议建立在TCP/IP协议之上，由于传输的数据量比较大，因此在协议的底层首先定义一层网络连接层。它定义了一个完事的RDP数据逻辑包，以避免由于网络包长度过长而被分割使数据丢失。 ISO数据层：在网络连接层之上是ISO数据层，它表示RDP数据的正常连接通信。 虚拟通道层：在ISO数据层之上，RDP协议定义一个虚拟通道层，用以拆分标示不同虚拟通道的数据，加快客户端处理速度，节省占用网络接口的时间。 加密解密层：在虚拟通道层之上，RDP定义一个数据加密解密层。此层用于对所有的功能数据进行加密、解密处理。 功能数据层：在加密解密层之上是功能数据，画面信息，本地资源转换，声音数据，打印数据等所有的功能数据信息都在此层进行处理。另外，根据数据类型的不同，这些数据都有各自不同层次的分割，他们的内部层次结构将在各个功能模块中进行阐述。 3 其它说明： 本协议解析中所提到的各层次结构都是指RDP功能数据正常传送时的各底层结构，在功能数据传送前的各层次的建立连接过程及其结构、实现都归于模块实现来进行说明。 对于服务器端的各种设置以及个版本间的内部实现差异请看RDP帮助文档，以及rdpwin开发文档。 4 连接过程说明： 1) 客户端连接服务器 2) ISO数据层建立连接 3) 发送初始协议相关信息，接收加密、解密密钥 4) 虚拟通道申请 5) 加密形式发送客户端系统信息，同时验证加密协议 6) 平台软件证书验证 7) 各功能建立连接，各功能数据传输，功能实现 三、网络层次： 1 网络连接层： 在RDP协议网络实现连接中，本层的数据格式是固定的。 内容 协议版本号 保留 此逻辑包长度 字节数 1 1 2 值 当前版本皆是3 0 逻辑长度，从版本号开始到本包结束 2 ISO数据层： 在RDP功能数据网络传输中，本层的数据格式是固定的。 内容 单层数据长度 ISO包类型 标志 字节数 1 1 1 值 2，从下字节开始计算 0xf0，表示数据 0x80 3 虚拟通道层： 虚拟通道层用于在正常的网络连接数据之上，中个虚拟通道的功能数据。此层次的连接另见初始连接