Difference between revisions of "Wireshark: Filter TCP/IP Packet"
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
Line 1: | Line 1: | ||
− | + | Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap. | |
− | + | LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet. | |
− | + | LANGKAH KEDUA: | |
− | + | ==Port Filter== | |
+ | |||
+ | Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080, | ||
− | |||
tcp.port == 8080 | tcp.port == 8080 | ||
− | + | Misalnya, kita ingin melihat hanya packet yang menuju port 8080, | |
tcp.destport = 8080 | tcp.destport = 8080 | ||
− | + | Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080, | |
tcp.srcport = 8080 | tcp.srcport = 8080 | ||
− | + | Bisa kita buat misalnya, | |
+ | |||
+ | tcp.port == 8080 | ||
+ | |||
+ | yang artinya sama dengan | ||
+ | |||
+ | tcp.srcport == 8080 || tcp.dstport == 8080 | ||
+ | |||
− | + | ==IP address Filter== | |
+ | |||
+ | Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja, | ||
ip.src == 80.80.80.80 | ip.src == 80.80.80.80 | ||
− | + | Atau IP address tujuan tertentu saja, | |
ip.dst == 80.80.80.80 | ip.dst == 80.80.80.80 | ||
− | + | atau jika kita tidak peduli arah yag dituju, | |
ip.addr == 80.80.80.80 | ip.addr == 80.80.80.80 | ||
− | + | ||
+ | ==Filter Data Tertentu== | ||
+ | |||
+ | Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter, | ||
tcp.len > 0 | tcp.len > 0 | ||
− | + | Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu, | |
data[0] == A0 | data[0] == A0 | ||
− | + | Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja, | |
frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00' | frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00' | ||
− | + | ==Kombinasi Filter== | |
− | + | Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya, | |
tcp.destport == 8080 && | tcp.destport == 8080 && | ||
Line 56: | Line 69: | ||
data[0] == A0 | data[0] == A0 | ||
− | + | Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut. | |
− | + | ||
==Referensi== | ==Referensi== | ||
* http://www.weseman.net/blog/tools/wireshark-2/filtering-tcpip-packets-with-wireshark/ | * http://www.weseman.net/blog/tools/wireshark-2/filtering-tcpip-packets-with-wireshark/ |
Latest revision as of 11:16, 18 April 2017
Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap.
LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet.
LANGKAH KEDUA:
Port Filter
Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080,
tcp.port == 8080
Misalnya, kita ingin melihat hanya packet yang menuju port 8080,
tcp.destport = 8080
Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080,
tcp.srcport = 8080
Bisa kita buat misalnya,
tcp.port == 8080
yang artinya sama dengan
tcp.srcport == 8080 || tcp.dstport == 8080
IP address Filter
Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja,
ip.src == 80.80.80.80
Atau IP address tujuan tertentu saja,
ip.dst == 80.80.80.80
atau jika kita tidak peduli arah yag dituju,
ip.addr == 80.80.80.80
Filter Data Tertentu
Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter,
tcp.len > 0
Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu,
data[0] == A0
Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja,
frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00'
Kombinasi Filter
Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya,
tcp.destport == 8080 && frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00' && ip.src == 80.80.80.80 && tcp.len > 0 && data[0] == A0
Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut.