pcap 동작 원리

pcap(Packet Capture) 도구를 사용해도 망이 다르면 MAC 주소 정보를 가져올 수 없다. 이는 네트워크의 기본적인 동작 원리에 따른 것이다.

이유 설명
1. MAC 주소의 역할과 ARP 프로토콜
MAC 주소는 이더넷 같은 로컬 네트워크(LAN)의 데이터 링크 계층에서 장치를 식별하기 위해 사용됩니다. ARP (Address Resolution Protocol)는 IP 주소를 MAC 주소로 변환하는 프로토콜로, 동일한 서브넷 내에서만 작동합니다. 즉, 같은 LAN 내에서만 ARP 요청을 통해 상대방의 MAC 주소를 알 수 있습니다.

2. 라우터와 MAC 주소
인터넷과 같은 외부망(WAN)에서는 패킷이 여러 라우터를 거쳐 전달됩니다. 각 라우터는 패킷을 다음 홉으로 전달할 때 자신의 MAC 주소를 사용해 패킷을 포워딩합니다. 따라서, 외부망에서 전달되는 패킷에는 실제 최종 목적지 장치의 MAC 주소가 포함되지 않으며, 대신 라우터의 MAC 주소만 포함됩니다.

3. PCAP의 한계
pcap 라이브러리나 Wireshark 같은 패킷 캡처 도구는 네트워크 인터페이스를 통해 수신된 패킷을 캡처합니다. 하지만 네트워크 구조상:

내부망(LAN): 같은 서브넷 내에서는 ARP 패킷을 캡처할 수 있고, 이를 통해 MAC 주소를 얻을 수 있습니다.
외부망(WAN): 패킷이 라우터를 거치기 때문에, 최종 목적지의 MAC 주소는 캡처할 수 없습니다. 외부망에서 캡처되는 패킷의 MAC 주소는 라우터의 MAC 주소가 됩니다.

4. 네트워크 시나리오에 따른 MAC 주소 가시성
내부망(LAN) 시나리오:
동일한 서브넷에 있는 두 장치 간의 통신에서는 MAC 주소를 ARP 요청을 통해 알 수 있습니다.
pcap으로 캡처한 패킷에서 상대방의 MAC 주소를 확인할 수 있습니다.

외부망(WAN) 시나리오:
네트워크 패킷은 라우터를 통해 전달되며, 각 라우터가 자신의 MAC 주소를 사용해 패킷을 다음 홉으로 전달합니다.
pcap으로 캡처한 패킷에서는 라우터의 MAC 주소만 보이며, 최종 목적지의 MAC 주소는 볼 수 없습니다.

5.요약
**내부망(LAN)**에서는 MAC 주소를 얻을 수 있지만,
**외부망(WAN)**에서는 MAC 주소를 얻을 수 없습니다.
이러한 동작은 네트워크 프로토콜의 특성에 따른 것이며, pcap이나 다른 네트워크 도구들도 이 원칙에 따릅니다. MAC 주소는 데이터 링크 계층에서만 유효하기 때문에, 다른 서브넷이나 인터넷을 통해 전송되는 패킷에는 원래의 MAC 주소 정보가 포함되지 않습니다.