Wireshark Network Analysis Tool

Wireshark merupakan salah satu network analysis tool, atau disebut juga dengan protocol analysis tool atau packet sniffer. Wireshark dapat digunakan untuk troubleshooting jaringan, analisis, pengembangan software dan protocol, serta untuk keperluan edukasi. Wireshark merupakan software gratis, sebelumnya, Wireshark dikenal dengan nama Ethereal.
Packet sniffer sendiri diartikan sebagai sebuah program atau tool yang memiliki kemampuan untuk ‘mencegat’ dan melakukan pencatatan terhadap traffic data dalam jaringan. Selama terjadi aliran data dalam, packet sniffer dapat menangkap protocol data unit (PDU), melakukan dekoding serta melakukan analisis terhadap isi paket berdasarkan spesifikasi RFC atau spesifikasispesifikasi yang lain.
Wireshark sebagai salah satu packet sniffer diprogram sedemikian rupa untuk mengenali berbagai macam protokol jaringan. Wireshark mampu menampilkan hasil enkapsulasi dan field yang ada dalam PDU.
Pada artikel ini saya akan coba menjelaskan sedikit cara menggunakan Wireshark sera contohnya menjalankan capture PDU. Prosedurnya ialah sebagai berikut :
  • Jalankan Wireshark
  • Untuk melakukan capture dengan memilih pilihan yang tersedia, pilih menu Capture > Options… akan tampil jendela semacam ini:
  • Pada jendela Capture Option, pilihlah interface Ethernet yang akan dicapture. Terlihat pada screenshot di atas terdapat 3 buah highlight. Highlight paling atas menunjukkan pilihan untuk melakukan capture pada Promiscuous Mode. Jika pilihan ini diaktifkan, maka Wireshark akan melakukan capture terhadap paket-paket yang ditujukan untuk komputer ini dan paket-paket yang terdeteksi oleh NIC dari komputer-komputer dalam satu segmen jaringan.
  • Highlight kedua menunjukkan pilihan-pilihan untuk mengatur tampilan atauPada jendela Capture Option, pilihlah interface Ethernet yang akan dicapture. Terlihat pada screenshot di atas terdapat 3 buah highlight. Highlight paling atas menunjukkan pilihan untuk melakukan capture pada Promiscuous Mode. Jika pilihan ini diaktifkan, maka Wireshark akan melakukan capture terhadap paket-paket yang ditujukan untuk komputer ini dan paket-paket informasi yang akan ditampilkan oleh Wireshark. Jika pilihan hide capture dialog info dinonaktifkan, ketika kita memulai capture, Wireshark akan menampilkan jendela tambahan yang memberikan statistik persentase protokol yang ter-capture sebagai berikut:
  • Highlight ketiga memberikan pilihan bahwa Wireshark akan menerjemahakan alamat jaringan dalam PDU menjadi nama. Mengaktifkan pilihan ini akan menambah PDU ekstra ke dalam data yang ter-capture.
  • Jendela Wireshark terdiri atas tiga bagian, seperti ditunjukkan pada screenshot berikut:
  • Packet List Pane menampilkan ringkasan dari paket-paket yang tertangkap oleh Wireshark. Memilih salah satu paket yang tampil pada bagian ini akan memperlihatkan detail dari paket tersebut pada dua panel di bawahnya. Packet Detail Pane menampilkan detail dari paket yang dipiliha pada Packet List Pane. Packet Byte Pane menunjukkan isi data dari sebuah paket dalam heksadesimal serta menunjukkan detail dari field yang dipilih pada Packet Detail Pane. Untuk memulai proses capture, klik pada tombol Start.
  • Buka command prompt dengan cara klik Start > Run… > ketikkan cmd > klik OK. Lakukan ping ke komputer sebelah anda dengan mengetikkan perintah ping IPkomputerDiSebelahAnda
  • Aktivitas ping tersebut akan terekam oleh Wireshark, simpan hasil capture dengan memilih menu File > Save As… pada Wireshark.
  • Berdasarkan hasil capture Wireshark tersebut, anda akan mendapatkan informasi dan dapat menganalisa kondisi yang terjadi ketika anda melakukan aktivitas ping pada jaringan komputer.

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

Hasil Analisa Wireshark

Enkapsulasi & Dekapsulasi Dalam Model Referensi (kali ini kita memakai Model OSI), terdapat 7 layer yang memiliki fungsi dan tujuan masing-masing. Misalkan pada layer Application, fungsinya adalah sebagai pengolah/pembuat/developer data sebelum dikirimkan ke network. Naaaahhh... di dalam setiap layer, ada data yang diolah dengan bentuk tertentu, tergantung layer yang dilaluinya. Analoginya, data yang didistribusikan, semakin mendekat ke layer terakhir, semakin terbungkus oleh header sebagai bungkus paket data. Dan semakin dekat dengan layer awal, maka data semakin terurai hingga berbentuk datagram. Data yang melintas pada layer-layer tersebut disebut dengan PDU (Protocol Data Units). Untuk lebih rincinya lagi, PDU apa saja yang ada pada Model OSI, dan seperti apa proses enkapsulasi dan dekapsulasi terjadi, berikut prosesnya.


1. Application, Presentation, Session = Datagram


Dalam layer-layer ini, hanya ada satu PDU saja, yaitu Datagram. Datagram adalah data yang masih berupa data hasil developed atau buatan stand-alone application dalam komputer. Data ini cenderung masih bisa dimengerti oleh kita, belum menjadi data yang berbentuk abstrak. Selain itu, Datagram juga belum terbungkus oleh header yang menyediakan info-info yang diperlukan dalam mengirim datagram tersebut.

2. Transport = Segment




Pada layer Transport, Datagram mulai dibungkus dengan header. Header ini berisi tentang source port, destination port, panjang header, dan info-info lainnya, hingga menjadi PDU baru yang bernama segment.
3. Network = Packet



Setelah itu, segment mulai dibungkus kembali dengan header. Header ini berisi tentang info versi IP, detail alamat IP, dsb., sehingga menjadi PDU yang bernama packet.
4. Datalink = Frame

Lalu, Packet pun dibungkus kembali dengan header. Header ini berisi tentang waktu yang tercatat saat melakukan proses pembungkusan dan pengiriman data, hingga menjadi sebuah PDU baru yang bernama frame.

5. Physical = Bitstream



Terakhir, Frame dibungkus dengan header kembali. Header ini berisi tentang info MAC address source dan MAC address destination, hingga PDU ini bernama bitstream. Bentuk ini bentuk terakhir dalam enkapsulasi. Setelah ini, langsung dikirimkan melalui media transmisi hingga sampai di host yang lain.


Semua proses ini dinamakan Enkapsulasi. Sedangkan Dekapsulasi, adalah proses yang terjadi dari layer bawah ke atas.

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

Analisa Packet Data Menggunakan Wireshark

Analisa Packet Data Menggunakan Wireshark

Wireshark adalah program yang berfungsi untuk mengetahui kejadian yang terjadi pada saat kita melakukan interaksi dengan internet.Dengan wireshark dapat dilihat proses pengiriman data dari komputer ke web yang dituju.berikut ini adalah analisa hasil dari capture yang dilakukan dengan menggunkan wireshark.
Capture pertama adalah capture pengunaan wireshark dengan membuka satu tab yaitu meminta request dari komputer ke www.google.com :
Gambar I
Pada gambar I komputer dengan IP 114.121.9.211  ketika memasukkan www.google.com maka akan mengirimkan data data ke server dan juga data tersebut akan dikirim ke DNS untuk diketahui IP nya.Setelah IP diterjemahkan oleh DNS,maka DNS akan mengirimkan kembali IP goole ke komputer yang bertanya.Kemudian setelah dilakukan translasi dari www.google.com ke 216.239.61.104 yang merupakan IP google maka komputer dengan IP 114.121.9.211 melakukan request ke destination 216.239.61.104 dengan menggunakan protocol TCP.Penggunaan TCP karena TCP merupakan protocol yang digunakan untuk melakukan browsing.Pada layer ke 4 bisa dilihat Panjang headernya 28 byte,port yang diminta adalah 80  dan source port adalah 1676. Pada layer ke4 di frame 13 terdapat flag syn yang bernilai 1 karena pada saat itu komputer melakukan request sehingga nilai syn nya bernilai 1.
Pada layer TCP terdapat beberapa flag yang digunakan dalam wireshark
  • Flag URG berfungsi untuk diidentifikasi bahwa bagian dari TCP itu mengandung data yang sangat penting.
  • Flag ACK berfungsi untuk mengetahui apakah data yang dikirimkan sudah diterima atau belum di komputer client
  • Flag PSH berfungsi untuk mengindikasi isi dari TCP yang diterima dikomputer client.jika PSH bernilai 1 maka data tidak boleh satu byte pun hilang.jika hilang maka data akan dikirim ulang.
  • Flag RST berfungsi untuk mengidentifikasi koneksi yang dibuat akan gagal.Untuk sebuah koneksi TCP yang sedang berjalan (aktif), sebuah segmen dengan flag RST diset ke nilai 1 akan dikirimkan sebagai respons terhadap sebuah segmen TCP yang diterima yang ternyata segmen tersebut bukan yang diminta, sehingga koneksi pun menjadi gagal
  • Flag SYN berfungsi untuk mengindikasi bahwa segmen TCP yang bersangkutan mengandung Initial Sequence Number (ISN). Selama proses pembuatan sesi koneksi TCP, Jika melakukan request maka akan memberikan nilai SYN bernilai 1
  • Flag FIN berfungsi untuk menandakan bahwa pengirim segmen TCP telah selesai dalam mengirimkan data dalam sebuah koneksi TCP. Ketika sebuah koneksi TCP akhirnya dihentikan (akibat sudah tidak ada data yang dikirimkan lagi), setiap host TCP akan mengirimkan sebuah segmen TCP dengan flag FIN diset ke nilai 1.
Gambar II
Pada layer ethernet II, dijelaskan bahwa pada souce (114.121.9.211) memiliki mac address 01:00:01:00:00:00 , dan pada destination(216.239.61.104) memiliki mac address ae:2e:20:00:01:00.

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

Blogger templates