Cara Membaca Paket di Wireshark
Bagi banyak pakar TI, Wireshark adalah alat bantu untuk analisis paket jaringan. Perangkat lunak sumber terbuka memungkinkan Anda untuk memeriksa dengan cermat data yang dikumpulkan dan menentukan akar masalah dengan akurasi yang lebih baik. Selanjutnya, Wireshark beroperasi secara real-time dan menggunakan kode warna untuk menampilkan paket yang diambil, di antara mekanisme bagus lainnya.
Dalam tutorial ini, kami akan menjelaskan cara menangkap, membaca, dan memfilter paket menggunakan Wireshark. Di bawah ini, Anda akan menemukan petunjuk langkah demi langkah dan rincian fungsi analisis jaringan dasar. Setelah Anda menguasai langkah-langkah mendasar ini, Anda akan dapat memeriksa arus lalu lintas jaringan Anda dan memecahkan masalah dengan lebih efisien.
Menganalisis Paket
Setelah paket ditangkap, Wireshark mengaturnya dalam panel daftar paket terperinci yang sangat mudah dibaca. Jika Anda ingin mengakses informasi mengenai satu paket, yang harus Anda lakukan adalah menemukannya di daftar dan klik. Anda juga dapat memperluas lebih jauh pohon untuk mengakses detail setiap protokol yang ada di dalam paket.
Untuk gambaran umum yang lebih komprehensif, Anda dapat menampilkan setiap paket yang diambil di jendela terpisah. Begini caranya:
- Pilih paket dari daftar dengan kursor Anda, lalu klik kanan.
- Buka tab "Tampilan" dari bilah alat di atas.
- Pilih "Tampilkan Paket di Jendela Baru" dari menu tarik-turun.
Catatan: Jauh lebih mudah untuk membandingkan paket yang diambil jika Anda membukanya di jendela terpisah.
Seperti disebutkan, Wireshark menggunakan sistem kode warna untuk visualisasi data. Setiap paket ditandai dengan warna berbeda yang mewakili berbagai jenis lalu lintas. Misalnya, lalu lintas TCP biasanya disorot dengan warna biru, sedangkan hitam digunakan untuk menunjukkan paket yang mengandung kesalahan.
Tentu saja, Anda tidak perlu menghafal makna di balik setiap warna. Sebagai gantinya, Anda dapat memeriksa di tempat:
- Klik kanan pada paket yang ingin Anda periksa.
- Pilih tab "Lihat" dari bilah alat di bagian atas layar.
- Pilih "Aturan Mewarnai" dari panel tarik-turun.
Anda akan melihat opsi untuk menyesuaikan pewarnaan sesuai keinginan Anda. Namun, jika Anda hanya ingin mengubah aturan pewarnaan untuk sementara, ikuti langkah-langkah berikut:
- Klik kanan pada paket di panel daftar paket.
- Dari daftar opsi, pilih "Warna Dengan Filter."
- Pilih warna yang ingin Anda beri label.
Nomor
Panel daftar paket akan menunjukkan jumlah pasti bit data yang diambil. Karena paket diatur dalam beberapa kolom, itu cukup mudah untuk ditafsirkan. Kategori default adalah:
- No. (Nomor): Seperti yang disebutkan, Anda dapat menemukan jumlah pasti paket yang diambil di kolom ini. Digit akan tetap sama bahkan setelah penyaringan data.
- Waktu: Seperti yang Anda duga, stempel waktu paket ditampilkan di sini.
- Sumber: Ini menunjukkan dari mana paket itu berasal.
- Destination: Ini menunjukkan tempat di mana paket akan disimpan.
- Protokol: Ini menampilkan nama protokol, biasanya dalam singkatan.
- Panjang: Ini menunjukkan jumlah byte yang terkandung dalam paket yang ditangkap.
- Info: Kolom berisi informasi tambahan tentang paket tertentu.
Waktu
Saat Wireshark menganalisis lalu lintas jaringan, setiap paket yang diambil diberi stempel waktu. Stempel waktu kemudian disertakan dalam panel daftar paket dan tersedia untuk pemeriksaan nanti.
Wireshark tidak membuat stempel waktu itu sendiri. Sebagai gantinya, alat penganalisis mendapatkannya dari perpustakaan Npcap. Namun, sumber stempel waktu sebenarnya adalah kernel. Itu sebabnya keakuratan stempel waktu dapat bervariasi dari satu file ke file lainnya.
Anda dapat memilih format di mana cap waktu akan ditampilkan dalam daftar paket. Selain itu, Anda dapat mengatur presisi pilihan atau jumlah tempat desimal yang ditampilkan. Terlepas dari pengaturan presisi default, ada juga:
- Detik
- Sepersepuluh detik
- Seperseratus detik
- Milidetik
- Mikrodetik
- nanodetik
Sumber
Seperti namanya, sumber paket adalah tempat asalnya. Jika Anda ingin mendapatkan kode sumber repositori Wireshark, Anda dapat mengunduhnya dengan menggunakan klien Git. Namun, metode ini mengharuskan Anda memiliki akun GitLab. Dimungkinkan untuk melakukannya tanpa satu, tetapi lebih baik mendaftar untuk berjaga-jaga.
Setelah Anda mendaftarkan akun, ikuti langkah-langkah ini:
- Pastikan Git berfungsi dengan menggunakan perintah ini: “
$git --versi.
” - Periksa kembali apakah alamat email dan nama pengguna Anda telah dikonfigurasi.
- Selanjutnya, buat tiruan dari sumber Workshark. Menggunakan "
$ git clone -o upstream [dilindungi email] :wireshark/wireshark.git
” URL SSH untuk membuat salinan. - Jika Anda tidak memiliki akun GitLab, coba URL HTTPS: “
$ git clone -o upstream //gitlab.com/wireshark/wireshark.git.
”
Semua sumber selanjutnya akan disalin ke perangkat Anda. Perlu diingat kloning mungkin memakan waktu cukup lama, terutama jika Anda memiliki koneksi jaringan yang lambat.
Tujuan
Jika Anda ingin mengetahui alamat IP tujuan paket tertentu, Anda dapat menggunakan filter tampilan untuk menemukannya. Begini caranya:
- Memasuki "
ip.addr == 8.8.8.8
” ke dalam “Kotak Filter” Wireshark. Kemudian, klik "Masuk." - Panel daftar paket akan dikonfigurasi ulang hanya untuk menunjukkan tujuan paket. Temukan alamat IP yang Anda minati dengan menggulir daftar.
- Setelah selesai, pilih "Hapus" dari bilah alat untuk mengonfigurasi ulang panel daftar paket.
Protokol
Protokol adalah pedoman yang menentukan transmisi data antara perangkat yang berbeda yang terhubung ke jaringan yang sama. Setiap paket Wireshark berisi protokol, dan Anda dapat memunculkannya dengan menggunakan filter tampilan. Begini caranya:
- Di bagian atas jendela Wireshark, klik kotak dialog "Filter".
- Masukkan nama protokol yang ingin Anda periksa. Biasanya, judul protokol ditulis dalam huruf kecil.
- Klik "Enter" atau "Terapkan" untuk mengaktifkan filter tampilan.
Panjang
Panjang paket Wireshark ditentukan oleh jumlah byte yang ditangkap dalam cuplikan jaringan tertentu. Angka itu biasanya sesuai dengan jumlah byte data mentah yang tercantum di bagian bawah jendela Wireshark.
Jika Anda ingin memeriksa distribusi panjang, buka jendela "Panjang Paket". Semua info dibagi ke dalam kolom berikut:
- Panjang paket
- Menghitung
- Rata-rata
- Nilai Min/Maks Val
- Kecepatan
- Persen
- Tingkat meledak
- Awal yang meledak
Info
Jika ada anomali atau item serupa dalam paket tertentu yang ditangkap, Wireshark akan mencatatnya. Informasi tersebut kemudian akan ditampilkan di panel daftar paket untuk pemeriksaan lebih lanjut. Dengan begitu, Anda akan memiliki gambaran yang jelas tentang perilaku jaringan yang tidak biasa, yang akan menghasilkan reaksi yang lebih cepat.
FAQ tambahan
Bagaimana cara memfilter data paket?
Pemfilteran adalah fitur efisien yang memungkinkan Anda melihat secara spesifik urutan data tertentu. Ada dua jenis filter Wireshark: capture dan display. Filter pengambilan ada untuk membatasi pengambilan paket agar sesuai dengan permintaan tertentu. Dengan kata lain, Anda dapat menyaring berbagai jenis lalu lintas dengan menerapkan filter tangkapan. Seperti namanya, filter tampilan memungkinkan Anda untuk mengasah elemen tertentu dari paket, dari panjang paket hingga protokol.
Menerapkan filter adalah proses yang cukup mudah. Anda dapat mengetikkan judul filter di kotak dialog di bagian atas jendela Wireshark. Selain itu, perangkat lunak biasanya akan melengkapi nama filter secara otomatis.
Sebagai alternatif, jika Anda ingin menyisir filter Wireshark default, lakukan hal berikut:
1. Buka tab "Analisis" di bilah alat di bagian atas jendela Wireshark.
2. Dari daftar drop-down, pilih “Display Filter.”
3. Jelajahi daftar dan klik salah satu yang ingin Anda terapkan.
Terakhir, berikut adalah beberapa filter Wireshark umum yang dapat berguna:
• Untuk hanya melihat alamat IP sumber dan tujuan, gunakan: “ip.src==IP-address dan ip.dst==IP-address
”
• Untuk hanya melihat lalu lintas SMTP, ketik: “tcp.port persamaan 25
”
• Untuk menangkap semua lalu lintas subnet, terapkan: “bersih 192.168.0.0/24
”
• Untuk menangkap semuanya kecuali lalu lintas ARP dan DNS, gunakan: “port bukan 53 dan bukan arp
”
Bagaimana cara menangkap data paket di Wireshark?
Setelah Anda mengunduh Wireshark ke perangkat Anda, Anda dapat mulai memantau koneksi jaringan Anda. Untuk menangkap paket data untuk analisis yang komprehensif, inilah yang perlu Anda lakukan:
1. Luncurkan Wireshark. Anda akan melihat daftar jaringan yang tersedia, jadi klik jaringan yang ingin Anda periksa. Anda juga dapat menerapkan filter pengambilan jika Anda ingin menentukan jenis lalu lintas.
2. Jika Anda ingin memeriksa beberapa jaringan, gunakan kontrol “shift + klik kiri”.
3. Selanjutnya, klik ikon sirip hiu paling kiri pada bilah alat di atas.
4. Anda juga dapat memulai pengambilan dengan mengklik tab “Capture” dan memilih “Start” dari daftar drop-down.
5. Cara lain untuk melakukannya adalah dengan menggunakan keystroke “Control – E”.
Saat perangkat lunak mengambil data, Anda akan melihatnya muncul di panel daftar paket secara real-time.
Hiu Byte
Meskipun Wireshark adalah penganalisis jaringan yang sangat canggih, sangat mudah untuk menafsirkannya. Panel daftar paket sangat komprehensif dan terorganisir dengan baik. Semua informasi tersebut didistribusikan ke dalam tujuh warna berbeda dan ditandai dengan kode warna yang jelas.
Selain itu, perangkat lunak open-source dilengkapi dengan banyak filter yang mudah diterapkan yang memfasilitasi pemantauan. Dengan mengaktifkan filter pengambilan, Anda dapat menentukan jenis lalu lintas yang ingin dianalisis oleh Wireshark. Dan setelah data diambil, Anda dapat menerapkan beberapa filter tampilan untuk pencarian tertentu. Secara keseluruhan, ini adalah mekanisme yang sangat efisien yang tidak terlalu sulit untuk dikuasai.
Apakah Anda menggunakan Wireshark untuk analisis jaringan? Apa pendapat Anda tentang fungsi filtrasi? Beri tahu kami di komentar di bawah jika ada fitur analisis paket berguna yang kami lewati.