Difference between revisions of "Wireshark: Filter TCP/IP Packet"
Jump to navigation
Jump to search
Onnowpurbo (talk | contribs) (New page: Filtering TCP/IP packets with Wireshark February 2, 2011 Leave a Comment Lately I’ve been involved in a project that required the creation of a TCP/IP server. This server will be hit b...) |
Onnowpurbo (talk | contribs) |
||
| (One intermediate revision by the same user not shown) | |||
| Line 1: | Line 1: | ||
| − | + | Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap. | |
| − | + | LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet. | |
| − | + | LANGKAH KEDUA: | |
| − | + | ==Port Filter== | |
| − | + | Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080, | |
| − | |||
| − | tcp.port == 8080 | + | tcp.port == 8080 |
| − | + | Misalnya, kita ingin melihat hanya packet yang menuju port 8080, | |
| − | tcp.destport = 8080 | + | tcp.destport = 8080 |
| − | + | Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080, | |
| − | tcp.srcport = 8080 | + | tcp.srcport = 8080 |
| − | + | Bisa kita buat misalnya, | |
| − | + | tcp.port == 8080 | |
| − | + | yang artinya sama dengan | |
| − | + | tcp.srcport == 8080 || tcp.dstport == 8080 | |
| − | |||
| − | + | ==IP address Filter== | |
| − | + | Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja, | |
| − | + | ip.src == 80.80.80.80 | |
| − | + | Atau IP address tujuan tertentu saja, | |
| − | + | ip.dst == 80.80.80.80 | |
| − | + | atau jika kita tidak peduli arah yag dituju, | |
| − | + | ip.addr == 80.80.80.80 | |
| − | |||
| − | + | ==Filter Data Tertentu== | |
| − | + | Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter, | |
| − | + | tcp.len > 0 | |
| − | |||
| − | |||
| − | |||
| − | tcp.len > 0 | ||
| − | |||
| − | + | Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu, | |
| − | |||
| − | + | data[0] == A0 | |
| − | + | Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja, | |
| − | + | frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00' | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| + | ==Kombinasi Filter== | ||
| + | Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya, | ||
| + | tcp.destport == 8080 && | ||
| + | frame.time >= 'Feb 1, 2011 11:00:00' && | ||
| + | frame.time < 'Feb 1, 2011 11:05:00' && | ||
| + | ip.src == 80.80.80.80 && | ||
| + | tcp.len > 0 && | ||
| + | data[0] == A0 | ||
| + | Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut. | ||
Latest revision as of 11:16, 18 April 2017
Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap.
LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet.
LANGKAH KEDUA:
Port Filter
Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080,
tcp.port == 8080
Misalnya, kita ingin melihat hanya packet yang menuju port 8080,
tcp.destport = 8080
Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080,
tcp.srcport = 8080
Bisa kita buat misalnya,
tcp.port == 8080
yang artinya sama dengan
tcp.srcport == 8080 || tcp.dstport == 8080
IP address Filter
Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja,
ip.src == 80.80.80.80
Atau IP address tujuan tertentu saja,
ip.dst == 80.80.80.80
atau jika kita tidak peduli arah yag dituju,
ip.addr == 80.80.80.80
Filter Data Tertentu
Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter,
tcp.len > 0
Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu,
data[0] == A0
Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja,
frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00'
Kombinasi Filter
Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya,
tcp.destport == 8080 && frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00' && ip.src == 80.80.80.80 && tcp.len > 0 && data[0] == A0
Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut.