Wireshark: Filter TCP/IP Packet

From OnnoWiki
Jump to navigation Jump to search

Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap.

LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet.

LANGKAH KEDUA:

Port Filter

Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080,


tcp.port == 8080

Misalnya, kita ingin melihat hanya packet yang menuju port 8080,

tcp.destport = 8080

Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080,

tcp.srcport = 8080

Bisa kita buat misalnya,

tcp.port == 8080

yang artinya sama dengan

tcp.srcport == 8080 || tcp.dstport == 8080


IP address Filter

Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja,

ip.src == 80.80.80.80

Atau IP address tujuan tertentu saja,

ip.dst == 80.80.80.80

atau jika kita tidak peduli arah yag dituju,

ip.addr == 80.80.80.80


Filter Data Tertentu

Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter,

tcp.len > 0

Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu,

data[0] == A0

Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja,

frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00'

Kombinasi Filter

Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya,

tcp.destport == 8080 &&
frame.time >= 'Feb 1, 2011 11:00:00' &&
frame.time < 'Feb 1, 2011 11:05:00' &&
ip.src == 80.80.80.80 &&
tcp.len > 0 &&
data[0] == A0

Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut.


Referensi