简述：radius协议很少有人知道，但是生活中还是很常使用的。先看看他的wiki上面是怎么说的

RADIUS（Remote Authentication Dial In User Service） 用户远程拨入认证服务，它主要针对的远程登录类型有：SLIP、PPP、telnet和rlogin等。RADIUS协议应用范围很广，包括普通电话、上网业务计费，对VPN的支持可以使不同的拨入服务器的用户具有不同权限。

EAP协议：可扩展的网络认证协议，这个就是我认为网络工程师最取巧的地方，好我给你一个可扩展的键值，这个键值在我的字典中的键值是79，79内我分给你一个位的长度（也就是FF 255的长度），你随便玩儿吧，放啥随你，只要我认得。

现在常用的是PEAP的协议进行radius认证处理。首先看这个名词就知道，它是一个EAP协议的扩展，进行protect的EAP协议。这的P是最坑的地方，鬼知道他们是怎么想的把P用TLS协议进行保护的处理。我的天，抓狂中....... 言归正传，我们开始抓包咯：

上面可以看到相关的请求（这么多包....）

我们先看第一个包：

可以看到在EAP中出现了

对于这个包中的Message-Authenticator是对包完整性检测的一个值，服务端或者客户端生成一个发送过去，服务端或者客户端收到后先进行验证一遍，再进行其他的业务处理

radius服务器会给你mschap-v2的响应（在后面的讲解中会相关mschapv2的讲解）

服务端发送mschap-v2的挑战后，客户端开始发送AccesRequest的包进行处理

我们打开这个包后，看到客户端发送，我们期望使用PEAP这个协议进行保护传送的信息

服务端进行发挥EAP-TLS的标记，进行开始的处理

重点来了WTF这到底是什么。 首先是一个EAP-TLS flags 然后进行传输。第一个标记是content-Type 告诉服务端这个是handshake的。在这个22的表示时候服务端和客户端都会进行记下这个数据，后面会有使用。 TLS来了

TLS来了，第一个是Client Hello 客户端给服务端发送一个请求并且带着当前客户端支持的tls的版本。服务端的版本必须低于这个版本才能支持。这个时候客户端发送一个随机数我们叫做random1

客户端发送客户端所支持的安全组件。

这个是server端发送的server hello的包

在经过了三个包陆续把上面的东西发送完成后，我们的server hello 终于完成。

服务端要进行最后一步了Server Done

这个时候客户端再发送一个EAP-TLS请求表示握手完成。

剩下的包都是application data的包了，各位兄弟，祝你好运，因为这些都是加密后的，wireshark以及无法帮你解包了

剩下的基本都是mschap-v2的流程了，简单说一下就是服务端先给你个随机挑战数，客户端收到后

randomServer+username+password+random2 (peer random) 发送给服务端，服务端收到后再算一遍看看两个是否一样。提醒下这中间的解密，不能漏过任何一个包！！！ 都要解开不要管是否有用，因为TLS为了保证每次对话都双方通过，有个类似于HMAC的，每次都计算出来，然后解密处理。

mschapv2可以参考mschap-v2

radius 代码 jradius

当然啦，JRadius是客户端的代码，服务端自学吧。