파이썬 소켓 프로그래밍 TCP 핸드셰이크와 종료를 tcpdump와 Wireshark로 분석하기
🚀 소켓 통신 흐름을 tcpdump와 Wireshark로 시각화하며 네트워크 동작 원리를 쉽게 이해해보세요
프로그래밍을 하다 보면 소켓을 통해 데이터를 주고받는 경우가 많습니다.
특히 파이썬 소켓 프로그래밍은 서버와 클라이언트가 TCP 기반으로 연결을 맺고 종료하는 과정을 손쉽게 구현할 수 있어 학습용과 실무용으로 모두 활용도가 높습니다.
하지만 코드만으로는 네트워크 내부에서 어떤 일이 일어나는지 한눈에 이해하기 어렵습니다.
이럴 때 tcpdump와 Wireshark 같은 네트워크 분석 도구를 사용하면, TCP 핸드셰이크와 종료 과정이 실제 패킷 단위로 어떻게 이루어지는지 명확히 확인할 수 있습니다.
이를 통해 단순한 이론 학습을 넘어 네트워크 통신의 실질적인 흐름을 직관적으로 파악할 수 있게 됩니다.
이번 글에서는 파이썬 소켓 코드 예제를 직접 실행하고, 그 결과를 tcpdump와 Wireshark를 통해 분석해보겠습니다.
클라이언트와 서버가 연결될 때 발생하는 3-way handshake, 그리고 연결을 끊을 때의 4-way termination 과정을 구체적으로 살펴보며, 각 패킷의 의미와 동작 원리를 이해할 수 있도록 정리했습니다.
네트워크 프로그래밍을 배우는 입문자부터 실제 업무에서 트러블슈팅이 필요한 개발자까지 모두에게 도움이 될 수 있는 내용입니다.
📋 목차
🐍 파이썬 소켓 프로그래밍 기초
네트워크 통신은 서버와 클라이언트가 서로 데이터를 주고받으며 동작합니다.
이를 구현하기 위해 사용하는 대표적인 방식이 바로 소켓 프로그래밍입니다.
파이썬에서는 socket 모듈을 통해 손쉽게 서버와 클라이언트를 만들 수 있으며, TCP와 UDP 통신 모두 지원합니다.
특히 TCP 소켓은 신뢰성 있는 연결을 제공하기 때문에 웹 서비스, 메신저, 파일 전송 등 다양한 분야에서 활용됩니다.
소켓은 네트워크 상에서 데이터가 오가는 가상 통신 창구라고 할 수 있습니다.
클라이언트는 서버에 연결 요청을 보내고, 서버는 이를 수락하면서 연결이 성립됩니다.
이 과정을 통해 두 프로그램은 서로 데이터를 안전하게 주고받을 수 있게 되며, 이때 사용하는 방식이 바로 TCP 3-way handshake입니다.
⚙️ 기본적인 파이썬 TCP 서버 예제
import socket
# TCP 서버 소켓 생성
server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server_socket.bind(('0.0.0.0', 5000))
server_socket.listen()
print("서버가 연결을 기다립니다...")
conn, addr = server_socket.accept()
print("클라이언트 연결:", addr)
data = conn.recv(1024)
print("수신 데이터:", data.decode())
conn.sendall(b"Hello Client!")
conn.close()
위 코드는 가장 기본적인 TCP 서버 예제입니다.
5000번 포트에서 연결을 대기하다가 클라이언트가 접속하면 데이터를 받고 응답을 돌려줍니다.
이 과정을 tcpdump나 Wireshark 같은 도구로 분석하면, 실제로 어떤 패킷이 오가며 연결이 성립되는지 확인할 수 있습니다.
🛠️ 파이썬 TCP 클라이언트 예제
import socket
# TCP 클라이언트 소켓 생성
client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect(('127.0.0.1', 5000))
client_socket.sendall(b"Hello Server!")
data = client_socket.recv(1024)
print("서버 응답:", data.decode())
client_socket.close()
클라이언트는 서버에 접속을 시도하고 메시지를 전송합니다.
서버와 클라이언트 간의 데이터 교환이 끝나면 소켓을 닫으며 연결을 종료합니다.
이 단순한 과정 속에서도 TCP 핸드셰이크와 연결 종료가 발생하며, 이를 패킷 캡처 도구로 분석하면 훨씬 더 생생하게 확인할 수 있습니다.
📡 tcpdump로 패킷 캡처하기
소켓 프로그래밍을 학습할 때, 단순히 코드 실행 결과만 보는 것보다 실제 네트워크 상에서 오가는 패킷을 관찰하는 것이 훨씬 효과적입니다.
이때 가장 많이 사용되는 도구 중 하나가 바로 tcpdump입니다.
tcpdump는 리눅스 환경에서 네트워크 인터페이스를 통해 흐르는 패킷을 실시간으로 캡처하고 분석할 수 있는 강력한 커맨드라인 도구입니다.
tcpdump를 활용하면 TCP 핸드셰이크와 종료 과정에서 어떤 패킷이 교환되는지, IP와 포트 정보가 어떻게 표시되는지 직접 확인할 수 있습니다.
특히 파이썬으로 작성한 서버와 클라이언트 코드가 올바르게 동작하는지 검증하는 데 유용하게 쓰입니다.
🔍 기본 tcpdump 사용법
# 특정 포트(예: 5000)로 오가는 TCP 패킷 캡처
sudo tcpdump -i any tcp port 5000 -nn -vvv
위 명령어는 모든 인터페이스(-i any)에서 5000번 포트로 오가는 TCP 트래픽을 캡처합니다.
-nn 옵션은 호스트와 포트를 숫자로 표시하고, -vvv는 출력 정보를 최대한 상세하게 보여줍니다.
📂 캡처 결과 저장하기
# pcap 파일로 저장
sudo tcpdump -i any tcp port 5000 -w capture.pcap
tcpdump는 단순히 터미널에 출력하는 것뿐만 아니라 pcap 형식으로 저장할 수 있습니다.
이 파일은 이후 Wireshark 같은 GUI 분석 툴에서 열어볼 수 있으며, 패킷의 흐름을 시각적으로 이해하는 데 매우 유용합니다.
⚠️ 주의: tcpdump 실행에는 관리자 권한이 필요하며, 네트워크 트래픽이 많은 환경에서는 캡처 데이터가 방대해질 수 있으므로 반드시 필터를 설정하는 것이 좋습니다.
🖥️ Wireshark로 시각적 분석하기
tcpdump가 텍스트 기반의 강력한 분석 도구라면, Wireshark는 패킷을 시각적으로 분석하는 데 최적화된 도구입니다.
GUI 환경을 통해 TCP 세션, 핸드셰이크, 종료 과정을 트리 구조로 확인할 수 있으며, 각 패킷의 세부 필드를 쉽게 탐색할 수 있습니다.
특히 TCP 3-way handshake와 4-way termination을 단계별로 이해하기에 매우 적합합니다.
Wireshark는 캡처한 pcap 파일을 열어 각 패킷을 세션 단위로 재구성합니다.
이를 통해 단순한 패킷 나열이 아니라 통신 흐름을 따라가며 분석할 수 있습니다.
즉, 서버와 클라이언트 간의 요청과 응답이 어떤 순서로 일어나는지, 그리고 각 패킷에 어떤 플래그가 설정되어 있는지를 직관적으로 파악할 수 있습니다.
📂 Wireshark에서 pcap 열기
File → Open → capture.pcap
Wireshark를 실행한 후 File → Open 메뉴에서 tcpdump로 저장한 capture.pcap 파일을 열면 패킷 리스트가 표시됩니다.
이 리스트는 시간 순서대로 정렬되며, IP, 프로토콜, 포트, 플래그 정보가 한눈에 확인 가능합니다.
🔎 필터링과 세션 분석
Wireshark에서는 디스플레이 필터를 이용해 원하는 패킷만 볼 수 있습니다.
예를 들어 특정 포트만 보고 싶다면 아래와 같은 필터를 적용할 수 있습니다.
tcp.port == 5000
또한 Follow TCP Stream 기능을 활용하면 클라이언트와 서버 간에 실제로 어떤 문자열 데이터가 교환되었는지도 확인할 수 있습니다.
이 기능은 소켓 통신의 흐름을 디버깅할 때 특히 유용합니다.
💡 TIP: Wireshark에서 패킷을 더 깊이 이해하려면 TCP Flags 항목을 확인하세요. SYN, ACK, FIN 등의 플래그를 통해 연결의 시작과 종료를 정확히 파악할 수 있습니다.
🤝 TCP 3-way 핸드셰이크 과정
TCP 연결은 항상 3-way handshake 과정을 통해 시작됩니다.
이는 신뢰성 있는 연결을 보장하기 위해 반드시 필요한 절차로, 클라이언트와 서버가 서로의 존재와 초기 시퀀스 번호를 확인한 뒤 데이터 전송을 시작하게 됩니다.
이 과정을 tcpdump와 Wireshark로 캡처하면 각각의 단계에서 어떤 패킷이 오가는지를 구체적으로 볼 수 있습니다.
📌 3단계 연결 수립 절차
| 단계 | 설명 |
|---|---|
| 1단계 (SYN) | 클라이언트가 서버에게 연결 요청을 보내며, SYN 플래그를 설정합니다. |
| 2단계 (SYN+ACK) | 서버가 요청을 수락하며, SYN과 ACK 플래그를 함께 설정해 응답합니다. |
| 3단계 (ACK) | 클라이언트가 마지막으로 ACK을 전송하며 연결이 정식으로 수립됩니다. |
tcpdump에서 이 과정을 보면 다음과 같이 출력됩니다.
# tcpdump 예시 출력
Client → Server [SYN]
Server → Client [SYN, ACK]
Client → Server [ACK]
Wireshark에서는 이를 더 직관적으로 볼 수 있습니다.
패킷 리스트에 SYN → SYN/ACK → ACK 순서가 나타나며, 하단 패널에서 TCP 플래그가 정확히 설정된 것을 확인할 수 있습니다.
이 과정을 통해 클라이언트와 서버는 안전하게 데이터를 주고받을 준비를 마치게 됩니다.
💎 핵심 포인트:
TCP 3-way handshake는 단순한 연결 절차가 아니라, 양쪽이 서로 통신할 준비가 되었음을 확인하는 신뢰성 확보 메커니즘입니다.
🔚 TCP 4-way 연결 종료 과정
TCP 연결은 시작할 때보다 종료할 때 더 정교한 절차를 거칩니다.
바로 4-way termination인데, 이는 클라이언트와 서버가 각각 연결 종료 의사를 주고받으며 세션을 깔끔하게 마무리하기 위해 존재합니다.
tcpdump와 Wireshark로 이를 분석하면 FIN과 ACK 플래그가 교환되는 과정을 명확히 확인할 수 있습니다.
📌 4단계 연결 종료 절차
| 단계 | 설명 |
|---|---|
| 1단계 (FIN) | 클라이언트가 연결 종료 요청을 보내며 FIN 플래그를 설정합니다. |
| 2단계 (ACK) | 서버가 FIN을 수락하며 ACK을 반환합니다. |
| 3단계 (FIN) | 서버도 종료 요청을 보내며 FIN 플래그를 설정합니다. |
| 4단계 (ACK) | 클라이언트가 마지막 ACK을 전송하며 세션이 종료됩니다. |
tcpdump로 본다면 종료 과정은 다음과 같이 기록됩니다.
# tcpdump 종료 예시
Client → Server [FIN]
Server → Client [ACK]
Server → Client [FIN]
Client → Server [ACK]
Wireshark에서는 종료 과정이 시간 순서대로 표시되며, 각 패킷에 FIN, ACK 플래그가 정확히 설정된 것을 확인할 수 있습니다.
이 과정을 통해 양쪽 모두 데이터 전송이 완전히 종료되었음을 보장합니다.
- ✅FIN 플래그는 종료 의사 표시
- ✅ACK 플래그는 수락 응답
- ✅양방향 모두 종료 요청을 보내야 완전한 세션 종료
💎 핵심 포인트:
TCP 4-way termination은 양방향 통신이므로, 클라이언트와 서버가 각각 FIN을 주고받으며 정상 종료를 확인해야 합니다.
❓ 자주 묻는 질문 (FAQ)
파이썬 소켓 프로그래밍은 어떤 상황에서 주로 사용되나요?
tcpdump와 Wireshark의 차이점은 무엇인가요?
TCP 3-way handshake에서 SYN과 ACK의 의미는 무엇인가요?
TCP 연결 종료가 4단계인 이유는 무엇인가요?
Wireshark에서 TCP 스트림을 따로 볼 수 있나요?
소켓 프로그래밍에서 포트를 선택할 때 주의할 점은 무엇인가요?
UDP와 TCP의 가장 큰 차이점은 무엇인가요?
tcpdump 결과를 Wireshark에서 열 수 있나요?
📌 파이썬 소켓과 패킷 분석으로 이해하는 TCP 통신의 핵심
파이썬 소켓 프로그래밍을 통해 TCP 연결의 흐름을 직접 구현하고, tcpdump와 Wireshark를 사용해 패킷을 분석하면 네트워크 통신의 본질을 훨씬 쉽게 이해할 수 있습니다.
특히 3-way handshake와 4-way termination 과정을 단계별로 추적하면서, TCP가 왜 신뢰성을 보장하는 프로토콜인지 체감할 수 있습니다.
단순히 코드만 작성하는 것에서 그치지 않고 패킷 단위의 동작을 살펴보는 습관은 네트워크 기반 애플리케이션 개발과 문제 해결 능력을 크게 향상시킵니다.
이제 여러분은 소켓 프로그래밍 코드와 패킷 분석 도구를 함께 활용하여 통신 과정을 완전히 시각화할 수 있습니다.
이는 보안 분석, 트러블슈팅, 그리고 안정적인 서비스 개발에 있어 반드시 필요한 실무 역량으로 이어집니다.
앞으로 네트워크 문제를 만났을 때 tcpdump와 Wireshark를 통해 자신 있게 문제의 원인을 추적할 수 있을 것입니다.
🏷️ 관련 태그 : 파이썬소켓, TCP통신, tcpdump, Wireshark, 네트워크프로그래밍, 패킷분석, 3way핸드셰이크, 4way종료, 서버구현, 클라이언트개발