我有一个包含 RDP 流量的 pcap,它使用 TLSv1.2 来加密流量。我注意到在 RDP 流量的中间某处,特别是在客户端和服务器之间发送许多加密消息之后,我注意到突然有一条从客户端发送到服务器的消息未加密,它非常类似于在 RDP 中发送的第一条未加密消息(TPTK 消息),Wireshark 也将此消息归类为“忽略的未知记录”。RDP 服务器也用未加密的消息回复了此消息!!我注意到在那两条消息之后执行了新的 TLS 握手!有没有解释一下这个流量发生了什么?我检查了 Microsoft 的 RDP 协议规范,没有找到任何可以验证此行为的内容!我在那里读到,当双方决定启动 TLS 时,从此时起所有流量都将被加密……我认为出于某种原因,服务器要求客户端重新协商,但我在文档中找不到任何相关信息