패킷 분석 가설 축소
캡처 파일은 전체를 읽는 자료가 아니라 가설을 좁히는 증거입니다. 시간, 5-tuple, 재전송, 응답 코드를 순서대로 줄입니다.
시간 구간
사용자 증상 시각 전후로 RTT, retransmission, DNS 지연이 튀는 구간을 잡습니다.
통신 상대
src/dst IP, port, NAT 전후 주소가 기대한 서버와 서비스인지 맞춥니다.
패킷 진행
SYN, SYN-ACK, ACK 뒤 payload와 FIN/RST가 어떤 쪽에서 시작됐는지 봅니다.
이상 신호
TCP retransmission, zero window, RST, ICMP, NXDOMAIN을 같은 시간대와 묶습니다.
`ip.addr`, `tcp.stream`, `http.response_code`, `dns.qry.name`으로 범위를 고정합니다.
정상 캡처와 handshake 길이, TLS alert, 응답 코드, 재전송 비율을 비교합니다.
패킷 한 줄이 L3 경로, L4 연결, L7 응답 중 어느 가설을 지지하는지 말해야 합니다.