TCP 핸드셰이크 주요 플래그
약어전체 명칭설명트러블슈팅 활용 예시
| SYN |
Synchronize |
연결 시작 시 시퀀스 번호 동기화 |
tcp.flags.syn==1로 초기 패킷 필터링 |
| ACK |
Acknowledgment |
데이터 수신 확인 |
tcp.analysis.ack_rtt로 지연 분석 |
| FIN |
Finish |
정상 연결 종료 요청 |
비정상 FIN 패킷은 연결 리셋 의심 |
| RST |
Reset |
긴급 연결 종료/재설정 |
tcp.flags.reset==1로 이상 종료 감지 |
| PSH |
Push |
수신 측에 즉시 데이터 전달 요청 |
스트리밍 서비스에서 빈번히 사용 |
| URG |
Urgent |
긴급 데이터 표시(현대 프로토콜에서 거의 사용 안 함) |
tcp.urgent_pointer 값 확인 |
플래그(약어)의미많이 보일 때 위험 징후 및 설명
| RST |
Reset |
연결이 비정상적으로 즉시 종료될 때 사용. 대량의 RST 패킷이 보이면 네트워크 장애, 방화벽 차단, 서비스 거부 공격(DDoS) 등 의심 |
| ALL |
ALL TCP Flags |
모든 플래그가 동시에 켜진 패킷(예: Xmas Flood). 정상적이지 않은 패킷으로, DDoS 공격이나 방화벽 우회 시도일 수 있음 |
| ACK |
Acknowledgment |
단독 ACK(특히 SYN/ACK 없이 ACK만 오는 경우)은 비정상적인 핸드셰이크 흐름, 방화벽/보안장비의 세션 차단, 도중 연결 끊김 등 문제 신호 |
| FIN |
Finish |
정상 연결 종료 플래그이나, FIN과 RST가 반복적으로 섞여 나오거나 비정상적으로 많이 보이면 연결 불안정, 세션 문제 가능성 |
와이어샤크에서 많이 보이면 위험한 패턴
- RST 플래그 다수:
- 서버 또는 클라이언트가 강제로 연결을 자주 끊는 경우, 서비스 장애, 방화벽 차단, 포트 스캔 등 공격 징후일 수 있음
- ALL TCP Flags(0x3F):
- 정상적인 상황에서는 거의 나타나지 않음. 대량 출현 시 DDoS(Xmas Flood) 공격, 방화벽/IPS 우회 시도 가능성
- ACK만 반복:
- SYN/ACK 없이 ACK만 계속 보이면 정상적인 3-way handshake가 이루어지지 않는 상태. 방화벽, NAT, 세션 테이블 문제, 비정상 트래픽 의심
- FIN, RST 혼합 다수:
- 정상 종료(FIN)와 강제 종료(RST)가 반복적으로 섞여 나오면, 세션 불안정, 네트워크 장비의 세션 관리 문제, 또는 애플리케이션 오류 가능성
- Bad TCP, Out-of-Order, Retransmission:
- 와이어샤크에서 빨간색으로 표시되는 Bad TCP, 재전송, 순서 뒤바뀜 패킷이 많으면 패킷 손실, 네트워크 혼잡, MTU 불일치 등 네트워크 품질 저하 신호