请教下 如何用 wireshark 根据信息搜索包

wajika

事情是这样，我有个 https  server，一个 client 作为插件安装在 dotnet 应用中，dotnet 应用启动后 client 会连接 https server，但是最近 dotnet 日志的中 一直出现 client 连接 server timeout 的消息，我从日志里拿到 timeout 的消息，然后在 wireshark 上配置了 tls，https 应该已经解密掉了 ，能看到 server hello 和client hello，但是我直接拿 server timeout 的消息 在 wireshark 上搜索并没有得到结果。

我想知道，通过 wireshark 怎么样才能发现 server timeout 的原因？  server 的 log 并没有发现有价值的报错信息。


例图

黑暗的背叛者

server timeout一般是由应用程序控制，数据包里看不到的。抓包看左边time栏对应包的时间有没有过长的，然后有没有异常的重传。超时也可能是应用配置错误引起的，不一定是网络问题。

wajika

黑暗的背叛者 发表于 2021-11-16 10:45
server timeout一般是由应用程序控制，数据包里看不到的。抓包看左边time栏对应包的时间有没有过长的，然后 ...

这个问题我反馈给了 client 的官方，官方人员 希望我抓包分析下。
主要也是想借由这次问题，看看 wireshark 怎么排查这种故障

黑暗的背叛者

wajika 发表于 2021-11-16 11:57
这个问题我反馈给了 client 的官方，官方人员 希望我抓包分析下。
主要也是想借由这次问题，看看 wiresh ...

他们让你自己分析？这种一般不是把抓到的包发给他们，由他们分析吗。我不是专业做运维的，你可以看看https://bigdata.51cto.com/art/202009/625340.htm，或者网络上的其它文章。这种超时问题一般有个比较标准分析流程，wireshark功能很多，没法很快就掌握。

wajika

黑暗的背叛者 发表于 2021-11-17 16:46
他们让你自己分析？这种一般不是把抓到的包发给他们，由他们分析吗。我不是专业做运维的，你可以看看http ...

好的 谢谢。慢慢积累经验把

qiujuan

好像可以抓包生成文件

imba-tjd

我不会wireshark所以只是猜测。server timeout就是服务器没有回应吧，所以就没有日志。就看客户端最后一次发的消息吧。

wajika

imba-tjd 发表于 2021-11-20 20:04
我不会wireshark所以只是猜测。server timeout就是服务器没有回应吧，所以就没有日志。就看客户端最后一次 ...

主要是我想看看 client 这边发的消息怎么在 wireshark 的数据中找到

509036866

timeout超时，一般就是没有回应啊！
这看下服务器日志就知道了啊！