Filter merupakan fitur ampuh yang harus kita pahami dalam bermain wireshark. Kenapa? Karena pada saat kita mau mulai menganalisa paket, lebih baik kita berhadapan dengan paket-paket yang memang kita ‘mau perhatikan’ saja. Apabila seluruh paket jaringan, termasuk paket-paket kurang penting juga muncul di layar kita, bisa-bisa kita pusing duluan.
Field Filter, yang ada di kiri atas, adalah tempat di mana kita memasukkan filter-filter yang kita inginkan. Wireshark yang terbaru memiliki kecanggihan fitur auto-complete, sehingga sangat mempermudah buat kita yang malas mengingat tentang paket-paket, atau bahkan belum tahu apa yang harus diketik di filter field tersebut. Sebagai contoh, pada saat kita ketik “ip.” maka akan ditampilkan option-option selanjutnya yang bisa diketik.
Apabila kita ingin meng-filter semua paket dengan ip address = 10.20.80.241, maka kita bisa mengetik “ip.addr==10.20.80.241″ (Ya, harus “==” dan bukannya “=” karena mengacu operator bahasa C). Setelah di-apply, maka semua paket dengan “sumber” dan “tujuan” 10.20.80.241 akan ditampilkan oleh Wireshark.
Ada cara yang lebih mudah, yang paling sering saya gunakan, yaitu menggunakan pulldown menu langsung pada paket yang akan kita filter. Biasanya saya meng-right click pada satu paket, kemudian saya pilih Conversation Filter > IP, maka otomatis filter akan berisi “ip.addr eq 10.20.80.241 and ip.addr eq 76.13.15.36″ (sekedar contoh). Dengan demikian, kita tidak perlu mengetik sama sekali syntax pada filter field tersebut.
Satu lagi yang sering saya lakukan adalah mengklik langsung pada Packet Detail seperti pada contoh di gambar berikut :
Perhatikan pada baris paling bawah di gambar di atas, terdapat parameter dns.qry.type 2 bytes. Inilah yang secara langsung akan muncul di filter, sehingga setelah saya click Apply as filter > Selected, akan muncul Filter “dns.qry.type == 0×0001″, dan pada Wireshark akan muncul paket-paket yang berisikan DNS query dengan type Host.
Bagaimana apabila kita mau melihat paket “GET” untuk http terhadap host www.detik.com ? Caranya mudah, ketik saja pada filter “http.host == www.detik.com“. Jika kita tidak ingin mengetiknya, bisa juga dengan cara yang telah dijelaskan pada paragraph sebelumnya, yaitu right click pada paket di wireshark, pada bagian packet details :
Jadi, selamat bereksperimen dengan filter yang merupakan fitur ampuh pada wireshark !!!
0 komentar:
Posting Komentar