如何检测远程计算机是否正在运行RDP？

Question

如何检测远程客户端是否正在运行远程桌面协议？并且它还接受远程桌面连接??

就像打开一个端口来检测HTTP并发送请求，接收请求标头并在请求标头中查看有关HTTP的信息，这样我就知道这个人正在运行HTTP天气，如果他改变了端口例如：运行 HTTP 6551。

Answer 1

您可以在命令行中执行 netstat -a 并查看远程桌面连接的默认端口是否正在侦听，即。 TCP:3389 但这仅适用于客户端未更改 MSTSC 端口的情况

Answer 2

尝试与 RDP 连接感知的内容建立连接（RDP 不是 HTTP）。当然，无法建立初始握手并不能证明无法建立连接。它可能被防火墙、侦听另一个端口等阻止。

MS-RDPBCGR 规范第 16 页讨论了连接，而连接又遵循 X.224，请看图。

最简单的方法可能是使用 Wireshark 并观察野外行为以开发最小的检测案例。我怀疑只需要生成/重播握手的最初部分，以便“决定”它是侦听 RDP 服务器。

（或者，也许使用具有“测试连接”功能或编写脚本的能力的现有 RDP 客户端。）

Answer 3

一种快速方法是编写一个 shell 并输入

telnet IPADDRESS 3389

If you get a connect, 很可能 RDP 服务器位于另一端。 RDP 可以在任何端口上运行，但默认设置 TCP 端口 3389。

Windows 7 需要 一些额外的步骤来启用 telnet 客户端。