Wireshark Tingkat Lanjut: Panduan Lengkap untuk Pengambilan Data dan Analisis

Informatec Digital » Sumber daya » Wireshark Tingkat Lanjut: Panduan Lengkap untuk Pengambilan Data dan Analisis

Jika Anda sudah familiar dengan Wireshark dan ingin mempelajarinya lebih lanjut, artikel ini cocok untuk Anda. Kita akan melihat bagaimana cara memaksimalkan penggunaannya, mulai dari... dari pengambilan data dasar hingga analisis lalu lintas tingkat lanjuttermasuk filter, warna, protokol, dan penggunaan praktis dalam analisis keamanan siberkinerja dan pemecahan masalah.

Sepanjang teks ini, Anda akan menemukan banyak konsep yang dijelaskan dengan tenang dan dalam bahasa Spanyol sehari-hari yang sederhana. Konsep-konsep ini umumnya ditemukan dalam alat, kursus, buku, dan laboratorium profesional seperti TryHackMe, tetapi diterapkan pada situasi praktis. Tujuannya adalah agar, pada saat Anda selesai membaca, Anda dapat Jelajahi antarmuka Wireshark dengan mudah, dan tangkap apa pun yang menarik minat Anda. dan pahami apa yang terjadi di jaringan Anda.

Apa itu Wireshark dan mengapa begitu penting?

Wireshark pada dasarnya adalah, penganalisis protokol jaringan (sebuah program penyadap paket jadul) yang memungkinkan Anda untuk melihat, satu per satu, paket-paket yang masuk dan keluar dari antarmuka jaringan Anda, baik itu jaringan Wi-Fi publikEthernet atau lainnya. Setiap paket ditangkap, diisolasi, dan ditampilkan secara real-time, beserta semua detailnya.

Kita sedang membicarakan sebuah program. gratis dan open sourceDidistribusikan di bawah Lisensi Publik Umum GNU v2. Ini berarti tidak ada versi yang dipangkas atau "edisi demo": yang Anda unduh adalah versi lengkap, dengan semua fitur, dan setiap pengembang dapat meninjau kodenya untuk memverifikasi bahwa kode tersebut tidak melakukan hal yang tidak biasa.

Proyek ini dikelola oleh Yayasan WiresharkWireshark adalah organisasi nirlaba yang mengoordinasikan pengembangan, dokumentasi, dan distribusi perangkat lunak tersebut. Banyak perusahaan dan profesional yang bergantung pada Wireshark untuk pekerjaan mereka memberikan donasi, yang menjaga agar perangkat lunak ini tetap hidup dan memungkinkannya untuk terus berkembang.

Wireshark tersedia untuk Windows, macOS, dan distribusi Linux seperti UbuntuPerangkat lunak ini dapat diunduh dari situs web resminya, wireshark.org. Setelah terinstal, Anda akan melihat antarmuka yang, pada awalnya, mungkin tampak membingungkan: ratusan baris yang berubah dengan kecepatan tinggi, kolom dengan alamat IP, protokol, panjang, stempel waktu… tetapi semua itu sangat berharga untuk mendiagnosis kesalahan, mendeteksi serangan, atau memahami apa yang dilakukan perangkat Anda.

Antarmuka Wireshark: panel, preferensi, dan panduan memulai.

Saat Anda membuka Wireshark, layar akan terbagi menjadi beberapa panel utama: daftar paket, detail paket yang dipilih dan tampilan mentah (byte heksadesimal dan ASCII). Memahami panel-panel ini adalah dasar untuk bekerja dengan lancar.

Panel atas menampilkan semua paket yang ditangkap; setiap baris sesuai dengan sebuah paket dan mencakup informasi seperti nomor paket, waktu, alamat IP sumber, alamat IP tujuan, protokol, dan ringkasan singkat. Di panel tengah Anda dapat melihat dekomposisi berlapis dari paket tersebut (tautan, jaringan, transportasi, aplikasi), dan di bagian bawah, byte dalam format heksadesimal dan representasi tekstualnya.

Dari menu pengaturan, Anda dapat membuka Preferensi Wireshark dan menyesuaikan hal-hal seperti format waktu, cara panel ditampilkan, bahasa kolom, atau bahkan menyembunyikan elemen tertentu. Misalnya, Anda dapat mengubah tata letak panel atau menonaktifkan tampilan byte HEX jika Anda lebih suka hanya fokus pada analisis logis.

Navigasi dalam tangkapan layar juga sangat penting: Anda dapat langsung menuju nomor paket tertentu, melompat ke paket pertama atau terakhir dalam daftar, dan berpindah antar percakapan menggunakan pintasan keyboard. Selain itu, dimungkinkan untuk Tandai paket untuk dikembalikan kepada mereka nanti.Ini sangat berguna ketika Anda mengikuti alur yang panjang dan perlu mengingat poin-poin penting tertentu.

Pengambilan data lalu lintas: antarmuka, batasan, dan jenis paket

Sebelum menganalisis, Anda harus menangkap data terlebih dahulu. Wireshark memungkinkan Anda memilih data mana yang ingin ditangkap. antarmuka jaringan Apakah kamu ingin mendengar?Kartu Ethernet, WiFi, antarmuka virtual, terowongan, dll. Tidak semua antarmuka mendukung tingkat detail yang sama, tetapi secara umum Anda akan dapat melihat lalu lintas yang melewati perangkat Anda dan bahkan, dalam mode tertentu, lalu lintas yang beredar melalui jaringan lokal Anda.

Untuk latihan, sangat umum untuk bekerja dengan tangkapan terbatas. Misalnya, Anda dapat memulai tangkapan yang dibatasi hingga... 1.000 bungkusatau atur agar berhenti secara otomatis setelah 5 detik. Ini berguna untuk menghindari file berukuran besar dan fokus pada jendela aktivitas sementara yang spesifik.

Wireshark juga mendukung filter tangkapan, sehingga hanya paket tertentu yang direkam sejak awal. Contoh penggunaan umum adalah hanya menangkap paket-paket tertentu. lalu lintas UDP atau lalu lintas TCPSebagai contoh, Anda dapat memulai perekaman yang hanya mencakup paket UDP jika Anda tertarik pada game online atau layanan streaming, atau membatasi perekaman hanya pada TCP ketika Anda ingin mempelajari HTTP, TLS, sesi FTP, dan lain sebagainya.

Setelah Anda mendapatkan apa yang Anda butuhkan, Anda dapat menyimpan hasilnya dalam file dengan ekstensi .pcap atau .pcapng, misalnya sebagai “contoh_tcp.pcap”lalu tutup Wireshark. Kemudian Anda dapat membuka kembali program tersebut, memuat file, dan menganalisisnya dengan santai, tanpa lalu lintas data yang terus bergerak secara real-time dan tanpa risiko kehilangan data apa pun.

Bekerja dengan waktu: tanda, perbedaan, dan analisis temporal

Kolom stempel waktu adalah salah satu yang paling ampuh di Wireshark. Dalam daftar paket, Anda dapat melihat kapan setiap paket ditangkap, tetapi Anda juga dapat mengukur Berapa lama waktu yang telah berlalu antara awal pengambilan data dan paket tertentu?atau antara dua paket tertentu. Misalnya, Anda dapat melihat waktu yang dibutuhkan untuk mencapai paket 300 untuk melihat bagaimana komunikasi berkembang.

Salah satu fungsi yang sangat praktis adalah mengatur paket sebagai referensi waktu nolIni memungkinkan Anda untuk mendefinisikan ulang waktu "0" pada titik mana pun dalam perekaman, sehingga semua waktu lainnya diukur relatif terhadap titik tersebut. Ini ideal ketika Anda ingin mempelajari percakapan tertentu daripada seluruh sesi.

Dengan menggabungkan stempel waktu dengan filter dan pelacakan aliran (mengikuti aliran TCP, mengikuti aliran UDP), Anda dapat melihat dengan cukup akurat latensi, penundaan, penerusan, dan pengiriman ulang yang terjadi di jaringan. Ini sangat berguna untuk mendiagnosis masalah lag, kemacetan, atau kehilangan paket.

Analisis berlapis: dari MAC ke aplikasi

Salah satu keunggulan terbesar Wireshark adalah kemampuannya untuk melihat setiap paket yang diuraikan berdasarkan lapisan model OSI atau TCP/IP. Mulai dari bawah, Anda dapat melihat media fisik atau jenis tautan apa yang digunakan (misalnya Ethernet) dan jenis antarmuka yang mendukungnya.

Pada lapisan 2 (tautan data) Anda dapat memeriksa apa protokol sedang digunakanIni biasanya Ethernet II di jaringan modern. Di sinilah bidang "EtherType" menjadi penting, karena dapat menampilkan nilai seperti 0x0800 (menunjukkan IPv4) atau pengidentifikasi lain yang kurang umum. Anda dapat mencari paket dengan nilai tertentu, seperti 0x0800 atau 0xEBF2, menggunakan filter atau pencarian di dalam tangkapan data.

Naik ke lapisan 3, Anda akan menemukan protokol jaringan, biasanya IPv4 atau IPv6Di sini Anda dapat melihat alamat IP sumber dan tujuan, dan Anda dapat memperluas pohon bidang untuk melihat detail lainnya seperti TTL, fragmentasi, opsi, dll. Identifikasi IP sumber dan IP tujuan Ini adalah salah satu tugas paling mendasar, tetapi juga paling sering dilakukan saat menyelidiki masalah.

Pada lapisan 4, Wireshark memberi tahu Anda apakah Anda sedang berurusan dengan TCP, UDP, atau protokol transport lainnyaDi sini Anda dapat melihat port sumber dan tujuan, flag TCP (SYN, ACK, FIN, RST), nomor urutan dan pengakuan, serta detail penting untuk memahami apakah koneksi stabil, apakah ada pengiriman ulang, apakah paket hilang, atau apakah koneksi telah ditutup secara tiba-tiba.

Terakhir, pada lapisan aplikasi, Wireshark mencoba menginterpretasikan konten sesuai dengan protokol yang terdeteksi: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP dan masih banyak lagi. Ketika lalu lintas tidak dienkripsi, bahkan dimungkinkan untuk melihat konten dalam teks biasa, termasuk header HTTP, perintah FTP, dan bahkan kredensial jika dikirim secara tidak aman.

Pencarian, filter, dan string teks di dalam paket.

Mengolah data tangkapan berukuran besar membutuhkan penggunaan filter dan kemampuan pencarian yang canggih. Di bagian atas Wireshark, Anda memiliki bilah alat. filter tampilan, yang memungkinkan Anda untuk hanya menampilkan paket yang memenuhi kondisi tertentu: misalnya, ip.addr == 192.168.1.50 untuk fokus pada perangkat tertentu, atau http untuk hanya melihat lalu lintas web.

Jika Anda mencurigai bahwa kata sandi atau data sensitif ditransmisikan tanpa enkripsi dalam pesan yang ditangkap, Anda dapat mencari string teks di dalam isi paket. Dimungkinkan untuk menemukan paket yang berisi, misalnya, kata “lulus” atau “konten” dalam data yang diambil. Anda juga dapat memeriksa apakah string tersebut muncul dalam ringkasan atau informasi paket, bukan hanya di bagian isi.

Hal ini sangat berguna terutama saat menganalisis protokol yang tidak aman seperti HTTP atau FTP. Dalam lingkungan pelatihan tipe TryHackMe, salah satu tugas tipikal adalah mengekstrak kredensial dikirim dalam teks biasa melalui layanan-layanan ini, atau mendeteksi formulir yang mengirimkan informasi yang tidak terenkripsi, yang jelas merupakan risiko keamanan.

Selain string teks, Anda dapat menggunakan filter yang jauh lebih halus dengan menggabungkan bidang protokol, operator logika, dan perbandingan. Ini memungkinkan Anda, misalnya, untuk mengisolasi hanya permintaan DNS yang gagal, paket TCP dengan kesalahan, atau pesan dari aliran RTP tertentu.

Aturan warna dan penyorotan untuk visibilitas lalu lintas yang lebih baik.

Wireshark mencakup sebuah sistem yang warna untuk kemasan Ini membantu Anda membedakan berbagai jenis lalu lintas dengan cepat. Warna hijau biasanya dikaitkan dengan lalu lintas TCP "normal", biru dengan lalu lintas UDP atau DNS, dan hitam atau merah menunjukkan kesalahan atau anomali. Hanya dengan melihat layar, Anda dapat mengetahui apakah semuanya berjalan dengan cukup baik atau apakah ada terlalu banyak jalur yang bermasalah.

Dari menu pengaturan, Anda dapat mengaktifkan atau menonaktifkan tampilan warna. Jika diperlukan, hal itu juga dimungkinkan. mengubah warna latar belakang aturan tertentuSebagai contoh, membuat aturan yang menyoroti semua sesi TCP dengan warna tertentu, atau menandai pengiriman ulang atau paket yang salah format dengan warna lain.

Selain mengubah warna, Anda memiliki opsi untuk menonaktifkan aturan tertentu tanpa menghapusnya, sehingga aturan tersebut menghentikan pewarnaan paket tetapi Anda dapat mengaktifkannya kembali nanti. Ini sangat berguna saat Anda menguji berbagai skema dan tidak ingin kehilangan pengaturan yang sudah ada.

Teknik menarik lainnya adalah mewarnai semua kemasan yang termasuk dalam kategori yang sama. Percakapan TCP atau UDPDengan cara ini, Anda dapat secara visual mengikuti seluruh alur antara dua titik akhir, bahkan ketika alur tersebut bercampur dengan ratusan koneksi paralel lainnya. Anda kemudian dapat menavigasi di antara paket-paket yang disorot tersebut dengan jauh lebih mudah.

Mendiagnosis masalah jaringan di rumah dan di perusahaan.

Meskipun Wireshark adalah alat kelas profesional, alat ini juga dapat membantu pengguna rumahan memahami apa yang terjadi dengan koneksi mereka. Misalnya, jika Anda mengalami lag atau tersendat-sendat dalam game online Anda, alat ini dapat membantu Anda memecahkan masalah koneksi internet Anda. Gangguan WiFiAnda dapat menganalisis lalu lintas untuk melihat apakah Paket-paket hilang jika tiba dalam urutan yang tidak sesuai. atau jika terjadi keterlambatan yang berlebihan di bagian tertentu dari perjalanan.

Dalam konteks ini, biasanya fokusnya adalah pada lalu lintas UDP, yang digunakan oleh banyak game dan aplikasi real-time. Jika, saat memfilter berdasarkan UDP, Anda melihat banyak baris yang ditandai dengan warna kesalahan, paket yang tidak berurutan, atau pengiriman ulang, Anda akan tahu bahwa masalahnya bukan hanya ping tinggi dalam pengujian, tetapi sesuatu yang lebih dalam terkait dengan stabilitas rute atau saturasi node.

Wireshark juga sangat berguna ketika Situs web tidak memuat, printer hilang dari jaringan. atau layanan internal mengalami kegagalan. Dengan tangkapan layar di hadapan Anda, Anda dapat melihat dengan tepat di mana komunikasi terputus: jika permintaan meninggalkan komputer Anda tetapi tidak pernah menerima respons, jika ada kesalahan DNS, jika server merespons dengan kode kesalahan, dan lain sebagainya.

Dari sudut pandang privasi, alat ini memungkinkan Anda melihat data apa yang dikirim perangkat Anda melalui internet. Alat ini dapat mendeteksi jika suatu perangkat "terlalu banyak berkomunikasi" dengan cloud, mempertahankan koneksi ke server yang tidak dikenal, atau mengirimkan informasi yang tidak terenkripsi yang seharusnya Anda lihat dalam keadaan terenkripsi. Semua ini membantu Anda untuk mengaudit perilaku Perangkat IoTtelepon seluler, kamera IP, TV pintar dan perangkat apa pun yang terhubung.

Dalam jaringan rumah dengan banyak perangkat, Anda dapat mengisolasi alamat IP setiap perangkat dan mengamati server mana yang terhubung, seberapa sering, dan jenis konten apa yang ditransmisikan. Dengan cara ini, Anda dapat lebih memahami lalu lintas mentah jaringan Anda dan dapat membuat keputusan seperti melakukan segmentasi perangkat, memblokir domain, atau mengubah konfigurasi.

Analisis tingkat lanjut: HTTP, DNS, pemindaian jaringan, dan serangan.

Dalam lingkungan yang lebih canggih, Wireshark menjadi alat kunci untuk analisis keamanan dan investigasi insiden. Alat ini memungkinkan analisis yang mendetail. Lalu lintas HTTP, permintaan dan respons DNS, pemindaian port dengan NmapUpaya peracunan ARP, terowongan SSH, dan masih banyak lagi.

Dengan HTTP, Anda dapat meninjau header, kode respons, URL yang diminta, dan, jika tidak ada enkripsi, bahkan isi formulir atau file. Dengan DNS, Anda akan melihat domain mana yang sedang diresolusi, server mana yang sedang diakses, dan apakah ada respons mencurigakan atau domain yang tidak sesuai dengan penggunaan normal peralatan tersebut.

Pemindaian Nmap meninggalkan pola karakteristik pada jaringan: beberapa upaya koneksi ke banyak port, penggunaan flag TCP tertentu, dll. Dengan filter yang tepat, Anda dapat mendeteksi aktivitas ini dan memastikan apakah seseorang berniat jahat. pemetaan layanan yang terekspos dalam infrastruktur Anda.

Serangan ARP spoofing/poisoning juga dapat dideteksi dengan mengamati bagaimana asosiasi alamat IP dan MAC dimodifikasi pada jaringan lokal. Dan dengan terowongan SSH, meskipun kontennya dienkripsi, Anda masih dapat menganalisis pola koneksi, durasi sesi, dan volume data yang ditransfer.

Banyak dari latihan-latihan ini merupakan bagian dari laboratorium praktikum seperti yang ada di TryHackMe, yang ditujukan untuk... analisis lalu lintas berbahaya atau mencurigakanAnda akan bekerja dengan data tangkapan yang telah dibuat sebelumnya sehingga Anda dapat belajar mengenali indikator kompromi, vektor serangan, dan perilaku anomali hanya dengan menggunakan Wireshark.

Wireshark 4.6.0 di macOS: metadata pktap dan analisis proses

Salah satu peningkatan paling menarik bagi pengguna Mac hadir pada versi ini. Wireshark 4.6.0yang memperkenalkan dukungan asli untuk metadata pktap macOS. Ini memungkinkan setiap paket jaringan dikaitkan dengan proses sistem yang menghasilkannya, memberikan tingkat detail yang sangat kuat.

Berkat integrasi ini, Wireshark dapat menampilkan informasi seperti: PID (pengidentifikasi proses) dan nama aplikasi yang menjadi sumber lalu lintas, beserta metadata relevan lainnya. Hal ini sangat menyederhanakan proses debugging aplikasi, karena Anda tahu persis komponen mana yang membuka koneksi, mengonsumsi bandwidth, atau menyebabkan kesalahan.

Metadata tersebut juga mencakup data tentang pengidentifikasi aliran dan statistik paket yang hilang, memungkinkan analisis masalah kinerja yang lebih rinci. Informasi ini biasanya dikumpulkan melalui... tcpdump dengan opsi -ky -K, lalu diimpor ke Wireshark, yang menginterpretasikan dan menampilkan blok-blok tersebut dalam format pcap-ng.

Bagi tim pengembangan dan keamanan di ekosistem Apple, ini merupakan lompatan signifikan: mereka dapat menyelidiki insiden dengan atribusi yang sangat tepat terhadap proses tertentu, mendeteksi perilaku anomali dalam aplikasi mereka sendiri, dan memvalidasi bahwa kebijakan keamanan dan privasi benar-benar dipatuhi.

Selain itu, penginstal Wireshark 4.6.0 untuk macOS adalah Universal untuk arsitektur Arm64 dan IntelHal ini menyederhanakan instalasi pada Mac modern dengan Apple Silicon dan pada komputer yang sedikit lebih lama dengan prosesor Intel.

Wireshark sebagai alat profesional: kursus, buku, dan lingkungan modern.

Penggunaan Wireshark tingkat lanjut merupakan topik yang sering dibahas dalam kursus pelatihan khusus, di mana fungsi-fungsi terkuatnya untuk debugging, auditing, dan tugas-tugas keamanan dipamerkan. Kursus-kursus ini mengajarkan cara untuk... mengkonfigurasi alat dari awal, sesuaikan dan analisis protokol jaringan yang paling umum di lingkungan perusahaan.

Banyak waktu biasanya dihabiskan untuk protokol seperti... HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP dan masalah umum lainnya dalam VoIP, layanan web, dan komunikasi terenkripsi. Studi kasus praktis dilakukan untuk mendiagnosis kecepatan lambat, masalah kualitas panggilan, gangguan layanan, dan konfigurasi yang salah.

Secara paralel, buku dan sumber daya tingkat lanjut telah muncul, yang berfokus pada para profesional jaringan, spesialis keamanan siber, dan mahasiswa yang ingin menguasai Wireshark dalam skenario modern. Materi-materi ini biasanya menggabungkan teori dengan praktik. TCP/IP, TLS, analisis paket, dan filter tingkat lanjut. dengan latihan praktis dan laboratorium terbimbing.

Pendekatan umum adalah mengintegrasikan penggunaan Wireshark dengan alat keamanan dan pemantauan lainnya, seperti Snort, Suricata, Zeek atau tumpukan ELK (Elasticsearch, Logstash, Kibana) dalam platform SIEM. Idenya adalah menggunakan Wireshark untuk inspeksi detail tingkat rendah, sementara alat lain menyediakan korelasi, peringatan, dan dasbor tingkat tinggi.

Selain itu, buku ini juga membahas aplikasi spesifik dalam jaringan dan sistem IoT yang menggunakan kecerdasan buatan, di mana visibilitas lalu lintas sangat penting untuk mendeteksi kerentanan, perangkat yang salah konfigurasi, atau komunikasi yang tidak terduga. Menguasai Wireshark di lingkungan ini menjadikan alat ini sangat berguna. sumber daya strategis untuk keamanan dan optimasi jaringan yang kompleks.

Secara keseluruhan, Wireshark berkembang dari sekadar alat penyadap data menjadi alat fundamental dalam pemantauan tingkat lanjut, diagnosis kesalahan, analisis ancaman, dan pemahaman mendalam tentang bagaimana aplikasi dan layanan berperilaku di jaringan.

Dengan semua yang ditawarkannya, mulai dari fungsi pengambilan dan penyaringan dasar hingga kemampuan analisis tingkat lanjut berdasarkan protokol, warna, waktu, dan metadata proses, jelas bahwa Wireshark adalah alat yang penting. Bagi siapa pun yang perlu memahami apa yang sebenarnya terjadi di jaringan mereka, baik di rumah, di usaha kecil, atau di organisasi besar.