Bermain-main Display Filter pada Wireshark

Agustus 10, 2009 pukul 11:11 pm | Ditulis dalam Wireshark Experience | 6 Komentar
Tag: , , , , ,

Filter merupakan fitur ampuh yang harus kita pahami dalam bermain wireshark. Kenapa? Karena pada saat kita mau mulai menganalisa paket, lebih baik kita berhadapan dengan paket-paket yang memang kita ‘mau perhatikan’ saja. Apabila seluruh paket jaringan, termasuk paket-paket kurang penting juga muncul di layar kita, bisa-bisa kita pusing duluan.

Field Filter, yang ada di kiri atas, adalah tempat di mana kita memasukkan filter-filter yang kita inginkan. Wireshark yang terbaru memiliki kecanggihan fitur auto-complete, sehingga sangat mempermudah buat kita yang malas mengingat tentang paket-paket, atau bahkan belum tahu apa yang harus diketik di filter field tersebut. Sebagai contoh, pada saat kita ketik “ip.” maka akan ditampilkan option-option selanjutnya yang bisa diketik.

Apabila kita ingin meng-filter semua paket dengan ip address = 10.20.80.241, maka kita bisa mengetik “ip.addr==10.20.80.241” (Ya, harus “==” dan bukannya “=” karena mengacu operator bahasa C). Setelah di-apply, maka semua paket dengan “sumber” dan “tujuan” 10.20.80.241 akan ditampilkan oleh Wireshark.

Ada cara yang lebih mudah, yang paling sering saya gunakan, yaitu menggunakan pulldown menu langsung pada paket yang akan kita filter. Biasanya saya meng-right click pada satu paket, kemudian saya pilih Conversation Filter > IP, maka otomatis filter akan berisi “ip.addr eq 10.20.80.241 and ip.addr eq 76.13.15.36” (sekedar contoh). Dengan demikian, kita tidak perlu mengetik sama sekali syntax pada filter field tersebut.

Satu lagi yang sering saya lakukan adalah mengklik langsung pada Packet Detail seperti pada contoh di gambar berikut :

Perhatikan pada baris paling bawah di gambar di atas, terdapat parameter dns.qry.type 2 bytes. Inilah yang secara langsung akan muncul di filter, sehingga setelah saya click Apply as filter > Selected, akan muncul Filter “dns.qry.type == 0x0001”, dan pada Wireshark akan muncul paket-paket yang berisikan DNS query dengan type Host.

Bagaimana apabila kita mau melihat paket “GET” untuk http terhadap host www.detik.com ? Caranya mudah, ketik saja pada filter “http.host == www.detik.com“. Jika kita tidak ingin mengetiknya, bisa juga dengan cara yang telah dijelaskan pada paragraph sebelumnya, yaitu right click pada paket di wireshark, pada bagian packet details :

Jadi, selamat bereksperimen dengan filter yang merupakan fitur ampuh pada wireshark !!!

6 Komentar »

RSS feed for comments on this post. TrackBack URI

  1. Wogh… sangat berguna sekali.
    Terimakaasih bro..

  2. numang belajar ya pak,
    newbie wireshark.
    maturnuwun🙂

  3. mas, ada aplikasi yang lain, selain wireshark gak? kalo ada kirim ke email saya yha? mohon bantuanya

  4. bergunana bung tapi aku belum ngerti

  5. makasih infonya……

  6. siip siip
    sedikit menambah lagi pengetahuan tentang wireshark


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Blog di WordPress.com.
Entries dan komentar feeds.

%d blogger menyukai ini: