분석할 패킷 조건
- TCP 연결 설정인 3-WAY 핸드쉐이킹 과정에서 2번째 과정인 SYN/ACK 필드가 1로 설정된 패킷
- TCP 포트가 80(HTTP)인 패킷
1. TCP 연결 설정: 3-WAY 핸드쉐이킹 과정
TCP 연결 설정에서 3-WAY 핸드쉐이킹은 중요한 절차이다. 이 과정은 클라이언트와 서버 간의 신뢰할 수 있는 연결을 설정하기 위해 사용된다.
3-WAY 핸드쉐이킹 과정
① SYN 패킷 전송
클라이언트가 서버에 연결 요청을 보내며, 이때 SYN 플래그를 1로 설정한다.
② SYN/ACK 패킷 전송
서버는 클라이언트의 요청을 받아들여 응답한다. 이때 SYN과 ACK 플래그를 모두 1로 설정하여 클라이언트에 보낸다.
③ ACK 패킷 전송
클라이언트는 서버의 응답을 확인하고, ACK 플래그를 1로 설정하여 서버에 보낸다.
2. TCP 포트 80 (HTTP) 패킷 분석
HTTP 트래픽은 기본적으로 TCP 포트 80을 사용한다. 와이어샤크를 이용하여 이 패킷을 분석할 수 있다.
TCP 포트가 80(HTTP)인 패킷 분석
- 와이어샤크 실행: 와이어샤크를 실행하고 네트워크 인터페이스를 선택한 후 캡처를 시작한다.
- 필터 설정: 필터를 tcp.port == 80으로 설정하여 HTTP 트래픽만 캡처하도록 한다.
- 3-WAY 핸드쉐이킹 과정 확인: 캡처된 패킷 중 3-WAY 핸드쉐이킹 과정을 확인한다.
- 첫 번째 패킷: 클라이언트가 서버에 보내는 SYN 패킷
- 두 번째 패킷: 서버가 클라이언트에 보내는 SYN/ACK 패킷 (SYN과 ACK 필드가 1로 설정됨)
- 세 번째 패킷: 클라이언트가 서버에 보내는 ACK 패킷
3. 와이어샤크를 이용한 분석 절차
① 패킷 캡처
특정 트래픽을 캡처하기 위해 네트워크 인터페이스를 선택한 후 캡처 버튼을 클릭한다.
② 필터링
필터를 사용하여 관심 있는 패킷을 선택한다. 예를 들어, tcp.port == 80 필터를 사용하여 HTTP 트래픽만 표시한다.
③ 패킷 세부 사항 분석
각 패킷을 클릭하여 세부 사항을 확인한다. SYN/ACK 패킷에서 SYN과 ACK 필드가 1로 설정된 것을 확인할 수 있다.
④ 핸드쉐이킹 과정 확인
3-WAY 핸드쉐이킹 과정을 따라가며 각 패킷의 순서와 플래그 설정을 확인한다.
ⓐ Sequence Number = 1
목적지 TCP에게 세그먼트의 첫 번째 바이트가 이 번호에 해당하는 바이트라는 것을 알려줌
ⓑ Acknowledgement = 1
세그먼트를 수신한 수신 노드가 상대편 노드로부터 수신하고 자 하는 바이트의 번호 정의
ⓒ Control Bit
ECE = 0 // ECN-Echo
CWR = 0 // Congestion Window Reduced
URG = 0 // Urgent pointer is valid
ACK = 1 // Acknowledgement is valid
PSH = 0 // Request for Push
RST = 0 // Reset the connection
SYN = 1 // Synchronize sequence numbers
FIN = 0 // Terminate the connection
이 글이 와이어샤크를 이용한 TCP 프로토콜 분석에 도움이 되길 바란다. 와이어샤크를 통해 TCP 연결 설정 과정을 시각적으로 확인하고 이해하면 네트워크 프로토콜의 동작 방식을 명확히 이해할 수 있다.