와이어샤크에서 호스트 검색 제대로 하는 법: 2026년에도 통하는 실전 필터 가이드

와이어샤크 쓰다 보면 "이 사이트 트래픽만 쏙 빼서 보고 싶은데 왜 이렇게 안 잡히지?" 하면서 밤새워본 적 많죠?

저도 작년 말에 클라이언트 보안 점검 중에 밤 11시쯤 갑자기 "특정 쇼핑몰 HTTPS 트래픽이 왜 안 보이냐"는 문의가 와서 식은땀 흘리며 필터 다시 짜본 적 있어요. 결국 SNI 필터 하나 추가하니까 해결됐는데, 그때 깨달은 게 "HTTP 호스트만 믿으면 안 된다"는 거였습니다.

또 한 번은 회사 내부망에서 이상한 DNS 쿼리가 쏟아져서 호스트명으로 필터링하려다 IP로 바꿔서 겨우 잡았던 기억도 나네요.

이 글 읽고 나면 당신도 "와이어샤크 호스트 검색" 할 때 더 이상 헤매지 않을 거예요.

이 글의 결론 한눈에 보기

와이어샤크 호스트 검색 핵심은

디스플레이 필터로 ip.addr == + http.host == + tls.handshake.extensions_server_name == 조합 쓰는 것

캡처 단계에선 host BPF만 가능하고 호스트명(도메인)은 안 됨

HTTPS 시대엔 SNI 필터 없으면 90% 이상 놓침

목차

• 와이어샤크 호스트 검색, 왜 이렇게 헷갈릴까?
• 캡처 필터 vs 디스플레이 필터 완벽 비교
• IP 주소로 호스트 검색하는 가장 빠른 방법
• 도메인·호스트명으로 필터링하는 실전 테크닉
• HTTPS 트래픽 호스트 잡는 결정적 한 수 (SNI 필터)
• 많이 하는 실수 5가지 & 바로 고치는 법
• 프로처럼 쓰는 꿀팁 체크리스트
• 마무리: 당신의 다음 단계는?

와이어샤크 호스트 검색, 왜 이렇게 헷갈릴까?

대부분의 사람들이 착각하는 첫 번째 지점은 "호스트 = 도메인" 이라고 생각하는 거예요.

와이어샤크에서 '호스트'는 보통 IP를 의미하고, 도메인은 DNS나 HTTP/TLS 헤더에만 숨어 있어요.

HTTP는 Host 헤더에 도메인이 그대로 나오지만, HTTPS는 암호화돼서 Client Hello의 SNI(Server Name Indication)에서만 볼 수 있죠.

이 차이를 모르면 "필터 썼는데 왜 빈 화면이야?" 하면서 포기하게 됩니다.

캡처 필터 vs 디스플레이 필터 완벽 비교

항목 캡처 필터 (Capture Filter) 디스플레이 필터 (Display Filter)

적용 시점	패킷 잡기 전 (미리 제한)	이미 잡힌 패킷 중 보기만 필터링
성능 영향	매우 좋음 (불필요 패킷 안 잡음)	캡처 양 많으면 느려질 수 있음
문법	BPF (tcpdump 스타일)	Wireshark 독자 문법 (더 강력)
호스트명(도메인)	불가능 (IP만 가능)	가능 (http.host, tls.handshake.extensions_server_name 등)
예시	host 8.8.8.8	ip.addr == 8.8.8.8

결론: 호스트명으로 검색하려면 무조건 디스플레이 필터 써야 해요. 캡처 필터는 "이 IP만 잡아줘" 할 때만 쓰세요.

 

IP 주소로 호스트 검색하는 가장 빠른 방법

가장 기본이자 가장 빠른 방법이에요.

• 양방향: ip.addr == 192.168.1.100
• 출발지만: ip.src == 192.168.1.100
• 도착지만: ip.dst == 8.8.8.8
• 내 PC ↔ 특정 서버: ip.addr == 192.168.1.50 && ip.addr == 211.231.99.17

 

필터 바에 ip.addr == 입력한 모습 – 초록색이면 성공!

이 필터 쓰면 트래픽 양이 확 줄어서 분석 속도가 몇 배 빨라집니다.

도메인·호스트명으로 필터링하는 실전 테크닉

HTTP는 쉽죠.

• http.host == "www.naver.com"
• 부분 일치: http.host contains "naver"

하지만 HTTPS가 대세인 지금, 이거만 쓰면 거의 안 잡혀요.

Name Resolution 켜는 것도 잊지 마세요.

Edit → Preferences → Name Resolution → Resolve network addresses 체크 → Wireshark 재시작

• 개인 hosts 파일 만들어서 IP-호스트명 매핑하면 패킷 리스트에서 IP 대신 도메인으로 보여줘요.

 

HTTPS 트래픽 호스트 잡는 결정적 한 수 (SNI 필터)

2026년 기준, 웹 트래픽 95% 이상이 HTTPS라서 이게 진짜 핵심입니다.

추천 필터 (복사해서 바로 쓰세요):

http.host == "shopping.naver.com" or tls.handshake.extensions_server_name == "shopping.naver.com"

또는 더 넓게:

http.host contains "naver" or tls.handshake.extensions_server_name contains "naver"

 

TLS Client Hello 패킷에서 Server Name Indication 확장 부분 – 여기서 도메인 확인 가능

 

패킷 디테일에서 tls.handshake.extensions_server_name 우클릭 → Apply as Filter → Selected 하면 자동 생성돼요

이 한 줄 때문에 제가 밤 11시에 살렸던 적이 한두 번이 아니에요.

많이 하는 실수 5가지 & 바로 고치는 법

1. HTTPS인데 http.host만 씀 → SNI 필터 추가하세요
2. 필터 입력 후 빨간색 → 문법 오류예요 (괄호, 따옴표 확인)
3. Name Resolution 안 켜서 IP만 보임 → Preferences에서 켜기
4. 필터 바에 캡처 필터 문법 씀 → tcp.port == 80 (X) → tcp.port == 80 (O)
5. 너무 많은 패킷 → 먼저 ip.addr로 범위 좁힌 다음 호스트 필터 적용

 

마무리: 당신의 다음 단계는?

와이어샤크 호스트 검색의 핵심은 결국 "상황에 맞는 필터 조합"이에요.

IP 먼저 좁히고 → HTTP/TLS 호스트 필터 걸고 → 필요하면 열 추가해서 보기 편하게 만드는 거죠.

이 방법으로 최근에 어떤 사이트 트래픽 분석하셨나요?

아니면 아직도 HTTPS 때문에 고생 중이신가요? 댓글로 알려주세요!

다음 글 추천:

• 와이어샤크로 HTTPS 복호화 제대로 하는 법
• 실무에서 쓰는 Top 20 디스플레이 필터 모음

참고 자료:

• Wireshark 공식 Display Filters 위키
• Wireshark TLS 필터 레퍼런스

이 글 하나로 당신의 와이어샤크 분석 시간이 절반으로 줄었으면 좋겠네요.