Wireshark困境：为何TLS通信以RST结束？

1. TLS通信中出现RST报文可能导致应用程序记录异常中断报错，但实际应用层事务可能正常完成。 2. Wireshark抓包分析发现TCP连接关闭时出现RST报文和Encrypted Alert（18号报文），需要进一步分析TLS通信。 3. 解密后发现Encrypted Alert其实是TLS close_notify消息，根据RFC5246定义，TLS通信结束需要显式发送close_notify，但实际情况中存在多种不规范的关闭形式。 4. 不规范的TLS通信关闭形式可能导致TCP挥手过程异常，如服务端连续发送TLS close_notify和TCP FIN报文，导致客户端无法完成双向的TLS关闭。 5. Wireshark分析在发现不合理行为时可能无法进一步推导原因，这种困境称为"Wireshark困境"，需要从应用程序和内核逻辑角度进行分析。 6. 应用程序无法直接操纵TCP报文的元信息，包括TCP报文的flag、确认号、序列号等在内的TCP元信息，都是由内核管控的。 7. 在Linux内核中，产生RST报文的逻辑涉及两个函数：tcp_send_active_reset()和tcp_v4_send_reset()，分别用于主动发送RST和被动式发送RST。 8. 内核通过异常报文或特定状态组合来触发RST报文，而不是由应用程序直接操控。 9. 数据没有被读取的并不是应用层HTTP的数据，而只是表示层的TLS close_notify消息，所以对应用事务的完整性并没有产生任何影响。 10. 在分析网络问题时，形成猜想然后去证实这个猜想会更加高效。