[Network] curl -v를 통해 SSL 핸드셰이크 과정 확인하기

업무를 하면서 서버가 안붙어서 시간을 날리는 경우가 굉장히 많았다 ..
언젠가 한번쯤은 꼭 공부해야지 했던 내용이라 기억하기 위해 작성해본다

 

CURL 명령어로 서버와 통신을 할 때, -v 옵션을 사용하면 요청과 응답의 전 과정을 상세하게 확인할 수 있다.
-v 옵션은 디버깅 옵션으로, 이를 통해 TCP 연결 → SSL 핸드셰이크 → HTTP 요청/응답까지 통신의 전 과정을 확인할 수 있다.

실제로 통신이 문제없이 되는 서버의 경우 아래와 같은 CURL 명령어를 날리면 응답이 하단의 사진처럼 뜬다.

curl -v https://google.com

 

그러나 항상 이렇게 성공적으로 뜨는건 아니다...
아무 ip로 날려봤을 때는 이렇게 아래와 같이 뜨기도 하고

이렇게 뜨기도 한다.

뭐가 다른거고 뭘 설정해줘야 연결이 되는걸까?
연결 로그를 하나하나 살펴보자!

1. TCP 연결

* Trying 142.250.207.14:443... *
Connected to google.com (142.250.207.14) port 443

클라이언트(curl)가 google 도메인을 IP로 변환해서 해당 주소의 443 포트에 접속을 시도한다.
https://로 url을 요청했기 때문에 443 포트로 연결됨
Connected to ~~~가 뜨면 TCP 연결 성공이라는 뜻이다.

실제로 google의 ip를 nslookup으로 검색해보면 아래와 같이 나온다.

 

 

2. TLS/SSL 핸드셰이크

(1) 클라이언트가 암호화 방식, 지원 버전, server name 등을 포함한 Hello 메시지를 서버에 보낸다.
(2) 서버도 응답하며 인증서를 전송하고 키를 교환한다.
(3) 세션 키 교환이 완료되고, 암호화 통신이 시작 가능한 상태가 된다.

여기서 OUT은 클라이언트 -> 구글 서버이고 IN은 구글 서버 -> 내 컴퓨터의 curl로 들어오는 데이터를 말한다.

handshake Finished가 뜨면, 서버 인증서 검증 결과가 나온다.
여기서 issue은 이 인증서를 누가 발급했는가를 나타내고, 아래의 출력 결과는 인증서가 Google 자체 CA에 의해 발급되었음을 뜻한다.

* Server certificate:
* subject: CN=google.com
* start date: ...
* issuer: C=US; O=Google Trust Services
* SSL certificate verify ok.

 

 

3. HTTP 요청/응답

> GET / HTTP/1.1
> Host: google.com
> User-Agent: curl/8.4.0
> Accept: */*

클라이언트가 / 경로로 GET 요청을 보내고

< HTTP/1.1 301 Moved Permanently
< Location: https://www.google.com/

서버가 응답한다. https://google.com이었던던 요청을 https://www.google.com으로로 리디렉션해준다.
브라우저였다면 자동으로 리디렉션 됐겠지만 curl은 수동이기 때문에 여기까지 출력되고 종료된다.

* Connection #0 to host google.com left intact

커넥션을 끊지 않고 keep-alive 상태로 유지한다는 뜻 ..

 

4. 다시보는 실패 원인

아까 무작위로 ip 입력해서 연결한 걸 다시 봐보자!
Connection timed out이 떴기 때문에 TCP 연결 자체가 되지 않았다는 뜻이다.

TCP 연결이 안되는 이유는... 서버가 꺼져있거나, 방화벽이 막혀있거나, NAT 라우팅 문제거나 등등 다양하기 때문에 이후의 단계는 또 찾아봐야 한다.

두 번째 curl 시도는 TCP 연결은 성공했지만 HTTP 요청에서 실패가 되었다.
HTTP 요청을 보냈지만 서버가 응답을 보내지 않아서 Empty reply from server가 뜬 것이다.
포트 포워딩이 안됐거나.. 백엔드가 연결되어있지 않다거나.. 이거 역시 이후의 단계는 또 찾아봐야 한다 ㅎ

 

이번 기회에 그동안 넘겨짚던 연결 흐름을 공부해볼 수 있었다.
그러나... 아직도 너무 기본적인 네트워크 지식이 부족하다고 생각되어서 SSL/TLS 핸드셰이크 구조나 키 교환 방식, TCP 통신 계층 등등.. 더 공부해봐야겠다. 분명 학교다닐때 다 배운건데....ㅎ