Meng-capture Menggunakan Wireshark

Juli 11, 2009 pukul 4:11 pm | Ditulis dalam Wireshark Experience | 44 Komentar
Tag: , , , ,

Untuk menangkap paket jaringan menggunakan Wireshark, terlebih dahulu harus diperhatikan dengan cermat posisi peletakkan wireshark dalam jaringan, seperti contoh pada artikel sebelumnya. Peletakkan wireshark yang tidak tepat akan menyebabkan tidak adanya paket yang ditangkap.

Penangkapan paket sederhana

Untuk mulai melakukan penangkapan paket, tinggal click pada button seperti di bawah ini,

Setelah itu akan muncul dialog box seperti di bawah ini. Pastikan interface mana yang akan kita pakai untuk menangkap paket. Seperti pada sebuah notebook yang saya pakai, selalu ada minimal 2 interface, yaitu LAN dan Wireless LAN.

Untuk memulai penangkapan paket, tinggal kita click pada tombol Start di interface yang kita pilih.

Setelah itu maka akan ditampilkan layar scrolling yang berisikan paket-paket yang kita tangkap. Untuk selesai menangkap paket, maka tinggal klik pada tombol yang ditunjukkan oleh panah berikut.

Lebih lanjut tentang Capture Options pada Interface

Ada banyak options yang menarik untuk dipelajari pada Capture Options seperti terlihat pada dialog box berikut ini :

Limit Each Packet To

Pada jaringan yang sibuk, terkadang kita hanya ingin menangkap sebagian dari paket saja ( tidak full packet ), misalnya hanya 64 bytes pertama saja. Biasanya hal tersebut dilakukan agar file capture tidak menjadi besar, namun sudah cukup informatif karena TCP/IP header sudah terlihat di 64 bytes paket.

Untuk melakukan hal tersebut, pakailah option “Limit each packet to” dan isi dengan 64 bytes.

Capture File(s)

Pada saat kita akan melakukan capture packet penuh, maka size hard disk yang dibutuhkan tentunya akan sangat besar. Secara teori, apabila kita pada kecepatan 100Mbps ( atau 12.5MByte/s ), maka untuk utilisasi jaringan 50% saja, maka tiap detik akan merekam 6.25MByte. Maka untuk 1 menit butuh lebih dari 300 Mbytes.

Melakukan analisa paket dengan file size yang sangat besar akan sangat sulit karena butuh processor dan memory yang cepat. Oleh karena nya, Wireshark menyediakan sarana-sarana untuk meng-split file hasil capture secara otomatis, pada bagian Capture File(s) berikut. Klik dahulu “Use multiple files” untuk mengaktifkan opsi-opsi berikutnya :

Apabila kita ingin memisah setiap hasil tangkapan berdasarkan ukuran, maka kita klik “Next file every” dan diisi ukuran file, misalnya 20Megabytes. Apabila ingin memisah berdasar waktu, kita klik “Next file every” dan isikan berapa menit. Apabila kedua opsi ini dipilih bersamaan, maka capture file akan terpisah dengan kondisi yang terpenuhi dahulu ( bisa berdasarkan file size, atau berdasarkan waktu ).

“Ring buffer” menyediakan opsi yang menarik. Ring buffer menggunakan system First In First Out. Apabila kita isi dengan 5 files, maka akan tercipta ‘hanya’ 5 capture file saja. Jika capture file ke-6 terbentuk, maka capture file yang paling kuno ( nomor 1 ) akan dihapus. Dengan demikian, kita bisa memperhitungkan berapa maksimum size hard disk yang akan kita pakai dalam mengcapture.

Sebagai contoh, apabila kita menyisakan 1 Gigabyte hard disk, kita bisa mengsplit dengan 20 file dengan ukuran maksimum 50 Mega Byte menggunakan “Next file every 50MByte” dan “Ring buffer 20 files”.

Stop Capture, juga bisa dipilih untuk memberhentikan capture, dengan kondisi-kondisi seperti terlihat pada option yang ada.

Setelah kita selesai menangkap paket, semua urutan paket dapat dibuka langsung dengan File>File Set>List Files :

Display Options

Option berikut berhubungan dengan kecepatan graphical user interface dari Wireshark sendiri. Dari kalimatnya sudah bisa ditebak arti dari option tersebut.

Apabila kita melakukan penangkapan paket dalam jumlah besar dan waktu lama, lebih baik kita mematikan option Update list of packets dan Automatic scrolling, karena sudah pasti kita tidak akan mengamati paket secara langsung di depan computer.

Capture Filter

Pada saat menangkap paket, apabila kita tidak menginginkan komputer kita sebagai wireshark ikut ‘tertangkap’ paket nya, cara yang paling mudah adalah dengan mengisi capture filter. Tentang filter akan dibahas lebih lanjut di artikel lain, atau tentunya di dalam wireshark documentation, namun paling sederhana adalah sebuah filter yang berisi :

Contoh di atas, 00:1c:bf:6c:28:9a merupakan MAC address dari notebook penulis.

Setelah mengerti sekilas proses penangkapan paket, langkah selanjutnya adalah membaca paket-paketnya. Dan ini yang membutuhkan kesabaran serta pengetahuan-pengetahuan yang lebih luas.

Dengan membaca artikel singkat ini, diharapkan kita dapat semakin mengenal wireshark dan lebih penting lagi… kita mulai mengenal paket-paket yang lewat dalam jaringan.

About these ads

44 Komentar »

Umpan RSS untuk komentar-komentar pada tulisan ini. TrackBack URI

  1. thanks info nya bro..

  2. kalo interface pake modem gimana caranya?

    • Halo… Kalau pakai modem… saya belum pernah coba, pak… tapi rasanya setelah kita dial up dan connect, kita buka wireshark… akan ada interface di dalam wireshark.. nah setelah itu bisa kita pakai interface tersebut

  3. kok modem saya tetap g dideteksi di capture interface wireshark? saya telah coba dialup dan connect trus cek interface di wireshark tp masih nihil. Driver modem sudah terinstal juga. mohon bantuannya. Thx

    • Saya barusan sempat coba, di wireshark saya kok ada lho pak… Ada “Adapter for generic dialup and VPN capture” dan “WAN (PPP/SLIP) Interface” yang memiliki counter terus meningkat pada saat saya mendialup dengan modem ke telkomnet instan. Saya tidak tahu di mana bedanya ya kenapa di tempat Bapak nggak bisa yah ?

      • saya juga gak ada ya pak … dulu saya pernah coba di laptop yang beda dan bisa.. bole share wireshark bapak versi berapa ? versi wireshark saya 1.4.2. tx

  4. saya juga kasusnya sama pak, saya pake modem prolink 3G HSDPA. trus paket internetnya pake im2 broadband. kok ip nya tidak dideteksi oleh wireshark ya pak,.. tulisannya unknown. Mohon saran trimakasih

    • hmmm… mohon maaf saya tidak pake modem HSDPA lho… kalau saya dial up pakai Nokia E71 sih tetap keluar lho SLIP/PPP nya… thanks

      • Salam kenal,

        saya juga menggunakan Im2 broadband 3G HSDPA.. udah diutak atik.. hasil paket loss nya ga muncul-muncul. udah mau nangis utak-atiknya. dan saya coba search ternyata ada software lain yaitu D-ITG tapi tidak nemu mana yg harus di download.. kalo ada yg tau downloadan software D-ITG.. mohon share yah… soalnya lg urgent untuk keperluan tugas akhir..

        terima kasih atas sharenya..

  5. wireshark bisa dipakai untuk memonitor seluruh jaringan tidak? atau hanya memonitor paket yg keluar masuk network interface dari komputer kita saja…terima kasih

    • Sepengetahuan saya, wireshark hanya untuk menangkat paket keluar masuk dari komputer yang terpasang wireshark.. Jadi tidak bisa memantau seluruh jaringan.. NAMUN… ada kasus khusus juga, misalnya wireshark sengaja dipasang untuk memonitor trafik keluar masuk Internet di sebuah perusahaan. Dari sini, tentu saja kita bisa memonitor trafik seluruh jaringan yang keluar masuk melalui gateway yang dimonitor

  6. capture interface & capture option punya saya kok gk bisa di buka ya?
    tulisan yg muncul :
    “Unable to load WinPcap (wpcap.dll); Wireshark will not be able to capture”
    maksud nya gmn ya mas?
    atau kita mesti download manual capture nya??

    mohon pencerahannya mas..saya msh newbi..^^

    • Salam kenal…
      Error tersebut muncul karena winpcap tidak diinstall, atau tidak berhasil diakses oleh wireshark, atau tidak kompatibel.
      Pada saat install wireshark utk windows, seharusnya ada proses instalasi winpcap terlebih dahulu. Cara pertama utk mengatasinya adalah reinstall wireshark, dan masukkan proses instalasi winpcap. Atau cara kedua, cari saja winpcap di internet dan install terpisah. Hanya saja, saya rasa cara pertama lebih tepat :)
      Monggo… Semoga berhasil

  7. Pak Saya mau tanya..
    Kalo file capture saya seperti ini.. dan saya ingin membaca isi data/payloadnya gimana??

    18:01:36.106505 IP6 FE80::7C1A:A028:E470:3892.54216 > FF02::C.1900: UDP, length 146
    0×0000: 6000 0000 009a 1101 fe80 0000 0000 0000 `……………
    0×0010: 7c1a a028 e470 3892 ff02 0000 0000 0000 |..(.p8………
    0×0020: 0000 0000 0000 000c d3c8 076c 009a 8a50 ………..l…P
    0×0030: 4d2d 5345 4152 4348 202a 2048 5454 502f M-SEARCH.*.HTTP/
    0×0040: 312e 310d 0a48 6f73 743a 5b46 4630 323a 1.1..Host:[FF02:
    0×0050: 3a43

    • atau.. bagian isi data / payloadnya yang mana sih?? mohon penjelasanya…

    • Halo, kalau lihat sekilas (sambil makan hehe gak di komp), ini hasil tcpdump kah? Spt nya ini adalah paket IPv6, yg dilemparkan oleh OS secara multicast (ada ff02 nya itu address multicast ). Payload nya, kemungkinan besar adalah m-search http dsb.
      Kalau kita pakai wireshark, akan lebih mudah menganalisa nya, krn akan jelas terpisah antara address, parameter lain, dan payload.

      • Iya saya tau.. saya lg buat program buat extrak packet.. susah…

  8. pak saya mw tanya, gimana cara monitoring jaringan untuk kluar masuk data di dalam perusahaan. kebetulan kantor saya skala kecil (bisa di bilang spesifikasi net paket home). saya pake modem router cisco, yang saya tanyakan adalah bisa ga wireshark memonitoring data internet yang keluar masuk dengan wireshark ini? mohon bimbingannya.

    atw via YM boleh di hery_aii

    makasih banget ya pak

    • Bisa saja Pak :) Hanya saja harus memakai switch yang bisa dimirror terlebih dahulu, karena untuk memonitor paket lewat wireshark, komputer harus menerima semua paket yang mengarah ke router (keluar ke internet).

      • saya tidak ingat pak, untuk yang warna hitam itu apa yaa…. Coba cek di View > Coloring Rules

  9. oh iya pak skalian mw tanya, di kompi saya dah di install wireshark terus saya langsung melakukan penangkapan paket jaringan. ada report yang di blok hitam, yang saya tanyakan report yang di blok hitam itu apa? makasih banyak ya pak saya tunggu balasannya ^_^

  10. Saya mau nanya pak…
    saya ingin menganalisa paket data yg berupa TCP/http bagaimana pak…?
    karena saya ingin menganalisa video streaming berbasis web…

    saya ingin mengetahui dan menganalisa dari jitter,delay,packet loss,beserta throughput…

    apakah bisa dibantu pak..?

    • Utk analisa paket TCP/http, kalau sekedar utk membaca throughput, saya rasa bisa dengan memanfaatkan fitur IO Graph nya, pak… Sedangkan untuk jitter (delay), biasanya muncul pada kasus Voice over IP, di mana paket voice menunggu antrian untuk dilepas ke interface karena jaringan padat. Untuk kasus ini, menurut saya wireshark bukan alat yang tepat untuk mengukurnya. Paling-paling, dari satu sisi saja, kita nyalakan wireshark untuk sadap pembicaraan voip, dan kita lihat delta time antar paket yang datang…. Semoga membantu

  11. pak,gmana caranya kok di interfase aq ga kedetek jaringan dial up aq dengan modem gsm vodafone..gmana caranya pak…
    yang penting gmana caranya biar bisa capture data dengan wireshark lewat jaringan dial up atau modem GSM?

    • Halo, salam kenal.
      Saya tidak punya usb modem vodafone, tetapi saya pernah uji coba dg modem pakai nokia e71. Sebelum menjalankan wireshark, saya lakukan proses dial up dulu sampai connected. Setelah itu baru menjalankan wireshark, maka akan muncul salah satu interface di wireshark.

  12. pak, saya mau bertanya gmn cara’a menganalisa paket dalam radio streaming untuk mengukur jitter,delay,packet loss,dan throughput dengan wireshark..adakah rumus perhitungan’a?? adakah tools yang lebih mudah di gunakan?

    mohon penjelasan’a

  13. Bagus pak tutorialnya, salam kenal. lagi cari option untuk auto split hasil capture wireshark di windows.

  14. ngitung Qos nya cem mana???

  15. yg sy ingin tanyakan adalah warna2 yg berbeda pada tampilan hasil capture…
    ada yg kuning, hitam dan merah.mksdnya apa ya..mhn pnjelasan
    trm ksh..

    • Salam kenal,
      Penjelasan dari warna warni dapat dilihat dari View > coloring rules.. Kita juga bisa menonaktifkan coloring rules untuk mempercepat proses dissecting data dengan cara mengklik tombol Colorize Packet List yang ada di toolbar.. Semoga membantu

  16. Halo pak, salam kenal.
    saya berencana meng-capture paket-paket data yg keluar dari server. client-nya saya pakai handphone (hp sebagai modem,terhubung k laptop yg sudah diinstalkan wireshark). tapi server bukan buatan saya, misalnya anggap saja saya mengakses facebook lewat hp. nah untuk tau nilai delay sepanjang pebgiriman data,saya pasang wireshark di server (agar bisa diukur di sisi client dan server). pertanyaannya, wireshark itu saya taruh dimana agar tepat?
    maaf agak ribet. hehe
    terima kasih

    • Saya rasa untuk paling tepatnya, wireshark dipasang di sisi server, sehingga bisa juga untuk memonitor keseluruhan traffic yang mengarah ke server, dan bukan hanya khusus memonitor satu client tertentu.

      • halo pak, saya memasang wireshark di klien. Jd klien yg berupa hp dihubungkan ke laptop yg berisi wireshark, lalu mengakses situs tertentu. Paket datanya akan di-capture wireshark.
        Saat saya coba pertama kali, semuanya lancar. IP hape dan server terlihat, tapi setelah bbrp kali kemudian saya coba lagi, IP yg terlihat hanya IP hp dan DHCP server yg saling berkirim paket. Yg jelas IP server (utk situs apapun yg saya coba) sama sekali tidak terlihat. Dan seringkali terjadi flooding NBNS.
        Menurut bapak knp hal itu bisa terjadi? Saya coba cari2 solusinya blm ketemu jg.
        Mohon bantuannya.

  17. keren bs mengendus aliran download virus jg

  18. pak, maaf sebelumnya saya mau minta tolong bagaimana cara meng-capture delay & jitter menggunakan wireshark ?saya lagi mengalisis radio streaming tapi pas dicapture jitter & delay’na gak keluar, bagaimana cara setting supaya jitter dan delay’nya muncul. terima kasih. tolong bantuan’na ya pak

  19. Halo pak. Salam kenal. Saya mau mengcapture packet dengan modem USB Huawei Type E150 3G. Kok packet-pakcet nya tidak terdetek si ya pak? Tetapi saya pake wifi bisa terdeteksi packet-packet nya. Apa modem USB cocok buat wireshark? Terimakasih pak atas bantuannya.

  20. pak, saya mau tanya. Bagaimana cara mengcapture broadcast storm yang terjadi di jaringan dengan menggunakan wireshark? mohon bantuan nya yah pak. :)

  21. SIP! sangat membantu ndan, lanjutkan…

  22. mas bagaimana menempatkan wireshark disisi router agar bisa melihat semua client? terimakasih

    • Apabila router yang digunakan mendukung port span atau port mirror, dapat dimanfaatkan feature tersebut. Namun apabila tidak ada, harus menggunakan switch atau hub pada port yang mengarah ke seluruh client. Ada juga solusi network tapping dari beberapa vendor seperti fluke networks.

  23. pak saya mau tanya, ko ngukur QOS video pake wireshark gimana ya??

  24. Informasinya sangat bermanfaat.!!

  25. itu cara peletakan wireshark yang benar dalam jaringan gmn mas? kok saya cari2 di blog ini gak ada?

  26. [...] Sumber : https://jaringankomputer.wordpress.com/2009/07/11/meng-capture-menggunakan-wireshark/#more-73 [...]


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Blog pada WordPress.com. | The Pool Theme.
Tulisan dan komentar feeds.

Ikuti

Get every new post delivered to your Inbox.

%d bloggers like this: