패킷 분석

패킷 캡처에서 재전송·RST·TLS 실패 가설 좁히기

tcpdump와 Wireshark 캡처는 연결 수립, 재전송, RST, TLS handshake, HTTP 프레임을 시간 순서로 드러내는 증거다.

01

필터 설계

host, port, protocol 필터로 필요한 흐름만 캡처해 노이즈를 줄인다.

캡처 범위
02

3-way 확인

SYN, SYN-ACK, ACK가 완성되는지 보고 연결 전 실패와 연결 후 실패를 나눈다.

TCP setup
03

이상 패턴

재전송, duplicate ACK, RST, FIN 순서, TLS alert를 시간축에서 찾는다.

패킷 단서
04

상위 계층 연결

HTTP status, SNI, ALPN, DNS 결과를 패킷 흐름과 대조한다.

context
SYN 재시도
대상까지 SYN 응답이 돌아오지 않는 경로 문제일 수 있다. 방화벽, 라우팅, 서버 listen 상태를 함께 확인한다.
no SYN-ACK
RST
호스트나 중간 장비가 연결을 명시적으로 끊었다. 포트 미오픈, 정책 차단, 애플리케이션 즉시 종료가 후보다.
reset
TLS alert
TCP는 성공했지만 인증서, SNI, 버전, cipher에서 실패할 수 있다. openssl s_client와 서버 설정을 같이 본다.
handshake layer

캡처 품질 확인

방향 요청과 응답 양방향 패킷이 같은 캡처에 들어 있다.
시간 패킷 timestamp와 애플리케이션 로그 시간이 맞춰져 있다.
필터 너무 넓은 필터로 원인 패킷을 놓치지 않는다.

캡처 예시

tcpdump -i eth0 host 10.0.1.20 and port 443 -w issue.pcap
wireshark: tcp.analysis.retransmission || tcp.flags.reset == 1