[iOS, Network] Wireshark로 네트워크 패킷 분석하기(2) - Wireshark로 HTTP Handshake, 3 Way-Handshake 분석하기

사전 Setting을 통해 아이폰 패킷 미러링에 성공했다면, 

아이폰에서 일어나는 네트워크 통신을 Wireshark를 통해 패킷 분석하는 방법과

HTTP Handshake, 데이터 통신과정을 확인해보자!

---

⭐️ 테스트 방법⭐️ 

1. Wireshark를 실행
2. 인터페이스에서 연결된 디바이스를 선택하여 캡처 시작(사전 Setting에서 확인)
3. 아이폰으로 사파리 실행
4. 사파리에서 네이버에 접속
5. 캡처를 종료 후 패킷 분석

[ 사전 Setting 방법 ]

[iOS, Network] Wireshark로 네트워크 패킷 분석하기(1) - iOS 패킷 캡쳐하기

---

⭐️TCP 프로토콜 구성요소 ⭐️ 

• No. : 패킷을 수집한 순서
• Time : 패킷이 수집된 시간
• Source : 패킷을 보낸 주소
• Destination : 패킷 도착 주소
• Protocol : 프로토콜 정보
• Length : 패킷의 길이
• Info : 패킷 정보

---

⭐️ 네트워크 통신 과정 분석 ⭐️ 

1.  HTTP Connect - 연결과정(HTTP Handshake 과정)

인터페이스 목록에서 원하는 디바이스에 들어가면, 

이더넷 페이스에서 오고 가는 패킷들의 목록이 보인다.

 

패킷들 중 네트워크 통신이 되면 아래와 같이, 

SYN, SYN ACK, ACK가 전송되는 것을 볼 수 있다. 이 과정을 3 Way-Handshake라 하고, 이 과정이 완료된 후 데이터 전송이 가능하다.

• SYN(클라이언트 -> 서버) : 클라이언트가 서버에 TCP 연결 요청, 자신의 연결 준비 상태를 함께 전송
• SYN + ACK(서버 -> 클라이언트) : 서버가 클라이언트의 연결 요청에 응답(ACK)하며, 자신의 연결 준비 상태를 알린다.(SYN)
• ARC(클라이언트 -> 서버) : 클라이언트가 서버의 연결 준비 상태(SYN)를 패킷을 잘 수신했음을 알림.

---

[3 Way-Handshake]

1. SYN(클라이언트 -> 서버)

No.201 패킷을 보면,

- Destination addr ip가 233.130.195.98로 검색해보니 NAVER Cloud Corp.

*ip검색 사이트 : https://ko.infobyip.com/

 

- Source addr ip 는 단말기 ip로 연결할때마다 달라진다.

 

- Info 필드의 58643 -> 443은 포트 번호로

같은 ip인 경우, 포트번호로 프로세스를 구분 가능하다.

 

- 이 과정은 Network layer에서 일어나

Intertne Protocol은 데이터그램이 속한 프로토콜 버전(Version),

데이터그램 내의 헤더와 데이터의 길이를 합한 값(Total Length), 프로토콜, 출발 주소, 도착지 주소 등으로 구성.

IP주소(32bit)를 가지고 발신지로부터 수신지까지 경로를 결정하는 역할을 한다.

바로 아래는 TCP Protocol에 관한 정보를 담고 있다.

• Seq:0 > 지금 보내는 데이터는 seq가 0이고 길이는 0
• Ack:0 > 서버야 0번부터 보내라
• Next Seq : 1 > 다음 데이터는 1이야

 

패킷의 필드별 기능은 아래와 같다.

필드명		길이(bit)				기능
Source Port		16				송신측의 응용프로세스를 구분하는 포트번호
Destination Port		16				수신측의 응용프로세스를 구분하는 포트번호
SequenceNumber		32				송신된 데이터의 순서번호 (byte 단위), TCP 세그먼트에 대한 식별값을 제공 : 최근 발신 패킷 Seq + 최근 보낸 data 길이
Ack Number		32				수신된 데이터 바이트 수+ ACK, 다음번에 기대되는 순차번호를 표시 : 최근 수신 패킷 Seq + 최근 받은 data 길이
HeaderLength		4				헤더크기(4byte 단위)
Code Bits	SYN	1				연결 요청시 사용되며 Seq Num 초기값임을 알림 (동기화비트 - TCP 핸드세이크 프로세스 단계 )
	ACK	1				확인응답패킷 (ACK Number 값 유효)
	URG	1				긴급 데이터 (Urgent Pointer 값 유효)
	FIN	1				트랜잭션 종료
	RST	1				연결 끊기
Window		16				TCP 수신 버퍼를 바이트 크기로 표시, 수신자가 사용가능한 버퍼공간 표시 🔥 Calculated window size : RWIN이라고도 하며, 연속해서 TCP 패킷을 수신하기 위한 수신 버퍼를 나타낸다.
CheckSum		16				TCP PDU 전체와 IP 계층의 헤더 중 후반부 12바이트(IP주소)에 대한 오류 검출코드
Urgent Pointer		16				긴급데이터가 들어있는 위치를 표시

---

2. SYN + ACK(서버 -> 클라이언트)

• Seq : 0 > 서버가 클라이언트에게 보내는 응답 데이터로 0번 데이터
• Ack : 1 >  클라가 다음에 서버에게 보낼 데이터 번호는 Ack1이야!

---

3. SYN (클라이언트 -> 서버)

• Seq : 1 > 서버가 클라이언트에게 1번부터 보낼게! 데이터 길이는 0이야!
• Ack : 1 >  클라가 다음에 서버로부터 받을 number는 1부터야!(ack: 0 + 2의 Seq: 1), 서버는 나에게 1부터 보내면 됨!

이제 클라이언트와 서버가 핸드 셰이크 프로세스가 완료되었으므로 데이터 전송이 가능하다.