와이어샤크를 이용한 TCP 프로토콜 분석

분석할 패킷 조건

- TCP 연결 설정인 3-WAY 핸드쉐이킹 과정에서 2번째 과정인 SYN/ACK 필드가 1로 설정된 패킷
- TCP 포트가 80(HTTP)인 패킷

 

 

1. TCP 연결 설정: 3-WAY 핸드쉐이킹 과정

 

TCP 연결 설정에서 3-WAY 핸드쉐이킹은 중요한 절차이다. 이 과정은 클라이언트와 서버 간의 신뢰할 수 있는 연결을 설정하기 위해 사용된다.

 

3-WAY 핸드쉐이킹 과정

① SYN 패킷 전송

클라이언트가 서버에 연결 요청을 보내며, 이때 SYN 플래그를 1로 설정한다.

 

② SYN/ACK 패킷 전송

서버는 클라이언트의 요청을 받아들여 응답한다. 이때 SYN과 ACK 플래그를 모두 1로 설정하여 클라이언트에 보낸다.

 

③ ACK 패킷 전송

클라이언트는 서버의 응답을 확인하고, ACK 플래그를 1로 설정하여 서버에 보낸다.

 

 

2. TCP 포트 80 (HTTP) 패킷 분석

 

HTTP 트래픽은 기본적으로 TCP 포트 80을 사용한다. 와이어샤크를 이용하여 이 패킷을 분석할 수 있다.

 

TCP 포트가 80(HTTP)인 패킷 분석

1. 와이어샤크 실행: 와이어샤크를 실행하고 네트워크 인터페이스를 선택한 후 캡처를 시작한다.
2. 필터 설정: 필터를 tcp.port == 80으로 설정하여 HTTP 트래픽만 캡처하도록 한다.
3. 3-WAY 핸드쉐이킹 과정 확인: 캡처된 패킷 중 3-WAY 핸드쉐이킹 과정을 확인한다.
   • 첫 번째 패킷: 클라이언트가 서버에 보내는 SYN 패킷
   • 두 번째 패킷: 서버가 클라이언트에 보내는 SYN/ACK 패킷 (SYN과 ACK 필드가 1로 설정됨)
   • 세 번째 패킷: 클라이언트가 서버에 보내는 ACK 패킷

 

 

3. 와이어샤크를 이용한 분석 절차

① 패킷 캡처

특정 트래픽을 캡처하기 위해 네트워크 인터페이스를 선택한 후 캡처 버튼을 클릭한다.

 

② 필터링

필터를 사용하여 관심 있는 패킷을 선택한다. 예를 들어, tcp.port == 80 필터를 사용하여 HTTP 트래픽만 표시한다.

 

 

 

③ 패킷 세부 사항 분석

각 패킷을 클릭하여 세부 사항을 확인한다. SYN/ACK 패킷에서 SYN과 ACK 필드가 1로 설정된 것을 확인할 수 있다.

 

④ 핸드쉐이킹 과정 확인

3-WAY 핸드쉐이킹 과정을 따라가며 각 패킷의 순서와 플래그 설정을 확인한다.

 

 

ⓐ Sequence Number = 1

목적지 TCP에게 세그먼트의 첫 번째 바이트가 이 번호에 해당하는 바이트라는 것을 알려줌

 

ⓑ Acknowledgement = 1

세그먼트를 수신한 수신 노드가 상대편 노드로부터 수신하고 자 하는 바이트의 번호 정의

 

ⓒ Control Bit

ECE = 0 // ECN-Echo

CWR = 0 // Congestion Window Reduced

URG = 0 // Urgent pointer is valid

ACK = 1 // Acknowledgement is valid

PSH = 0 // Request for Push

RST = 0 // Reset the connection

SYN = 1 // Synchronize sequence numbers

FIN = 0 // Terminate the connection

 

 

 

이 글이 와이어샤크를 이용한 TCP 프로토콜 분석에 도움이 되길 바란다. 와이어샤크를 통해 TCP 연결 설정 과정을 시각적으로 확인하고 이해하면 네트워크 프로토콜의 동작 방식을 명확히 이해할 수 있다.