Packet Analysis View
Wireshark는 캡처 목록, 계층 해석, 바이트를 함께 보여준다
패킷 분석은 먼저 의심 구간을 필터링하고, 선택한 패킷을 Frame, Ethernet, IP, TCP/TLS, Application 계층으로 펼쳐 원인을 좁히는 과정이다.
tcpdump capture filter는 저장할 패킷을 줄인다
Wireshark display filter는 캡처 뒤 화면 표시만 줄인다
HTTPS 본문은 복호화 키가 없으면 TLS 레코드로만 보인다
Packet list
먼저 시간순 흐름을 본다
No. 12SYN클라이언트가 새 TCP 연결 시도
No. 13SYN,ACK서버가 포트를 열고 응답
No. 14ACK3-way handshake 완료
No. 18TLSClient Hello, Server Hello 관찰
Packet details
선택한 패킷을 계층별로 펼친다
Frame캡처 시각, 길이, 인터페이스 정보
Ethernet II출발지/목적지 MAC, 같은 링크의 문제 확인
IPv4 / IPv6주소, TTL, fragmentation, 라우팅 단서
TCP / UDP포트, sequence, flags, retransmission
TLS / HTTP평문 HTTP 또는 복호화된 TLS만 본문 분석 가능
tcp port 443캡처 필터: 저장되는 트래픽 자체를 줄인다.
tcp.analysis.retransmission디스플레이 필터: 이미 잡힌 패킷 중 재전송만 표시한다.
http.response.code >= 400HTTP 오류 응답만 보고 애플리케이션 계층을 좁힌다.
dns.qry.name contains "example"도메인 질의 흐름과 응답 지연을 확인한다.
읽는 법: 목록에서 이상한 시간 간격과 플래그를 찾고, 계층 상세에서 문제가 L2/L3/L4/L7 중 어디에 가까운지 확인한다.