Troubleshooting Patterns
증상은 패킷 패턴으로 확인한다
연결 실패를 추측으로 판단하지 말고, SYN 이후 어떤 응답이 돌아오는지와 TCP 분석 이벤트를 보면 방화벽, 포트 닫힘, 유실, 애플리케이션 문제를 분리할 수 있다.
SYN → SYN/ACK → ACK는 TCP 연결 수립
SYN → RST는 포트 닫힘 또는 즉시 거부에 가깝다
SYN 반복은 DROP, 경로 문제, 보안그룹 차단을 의심한다
정상 연결
3-way handshake 완료
SYNSYN,ACKACK
이후 TLS, HTTP 요청으로 넘어가면 L4 연결은 통과한 것이다.
Connection refused
즉시 RST 응답
SYNRSTstop
목적지까지는 도달했지만 포트에 리스닝 프로세스가 없거나 정책상
거부했다.
Timeout
SYN만 반복
SYNSYNSYN
응답이 사라진다. 보안그룹, 방화벽 DROP, 라우팅, NAT 문제를 우선
확인한다.
느림RTX재전송이 많으면 유실, 혼잡, MTU 문제를 의심한다.
멈춤ZeroWin수신 측 애플리케이션이 버퍼를 비우지 못하고 있다.
TLSAlert버전, SNI, 인증서 검증, 암호 스위트 불일치를 확인한다.
502RST프록시와 백엔드 사이 연결 실패인지 구간을 나눠 캡처한다.
Client side요청이 실제로 나갔는지, DNS가 오래 걸리는지 본다.
Server sideSYN이 도착했는지, 커널이 RST를 보내는지 본다.
Middlebox방화벽, NAT, 로드밸런서 구간에서 패킷이 사라지는지
비교한다.
Payload평문 또는 복호화 가능한 트래픽에서 HTTP 상태와 본문을
확인한다.
핵심: 패킷 분석은 “어디서 끊겼는지”를 찾는 작업이다. 클라이언트, 서버, 중간 장비 중 두 지점 이상에서 동시에 캡처하면 원인 구간이 훨씬 빨리 좁혀진다.