15 Filter Wireshark yang Wajib Dikuasai
15 Filter Wireshark yang Wajib Dikuasai oleh Setiap Analis Keamanan Siber
Wireshark adalah salah satu alat analisis lalu lintas jaringan yang paling populer di dunia. Digunakan oleh analis keamanan siber, administrator jaringan, hingga peneliti keamanan, Wireshark memungkinkan kita untuk menangkap, memfilter, dan menganalisis paket data yang melewati jaringan.
Namun, karena jumlah data yang dapat ditangkap oleh Wireshark sangat besar, kemampuan untuk memfilter paket yang relevan menjadi keterampilan penting. Dalam artikel ini, kita akan membahas 15 filter Wireshark yang wajib dikuasai oleh setiap analis keamanan siber untuk menyederhanakan proses analisis dan menemukan informasi penting dengan lebih cepat.
1. Filter Berdasarkan Alamat IP
Filter:
ip.addr == x.x.x.x
Fungsi: Memfilter lalu lintas jaringan yang berasal atau menuju ke alamat IP tertentu.
Penggunaan:
Jika Anda ingin melihat semua komunikasi yang melibatkan IP tertentu, filter ini sangat berguna. Misalnya, untuk melihat lalu lintas dari atau ke 192.168.1.10, gunakan:
ip.addr == 192.168.1.10
2. Filter Berdasarkan Rentang Alamat IP
Filter:
ip.addr >= x.x.x.x and ip.addr <= y.y.y.y
Fungsi: Menampilkan paket dalam rentang IP tertentu.
Penggunaan:
Jika ingin melihat semua paket dalam rentang 192.168.1.1 - 192.168.1.255, gunakan:
ip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.255
3. Filter Berdasarkan Antarmuka Jaringan
Filter:
interface == eth0
Fungsi: Menampilkan hanya paket yang ditangkap pada antarmuka jaringan tertentu.
Penggunaan:
Jika Anda memiliki beberapa antarmuka jaringan (misalnya WiFi dan Ethernet), filter ini membantu memfokuskan analisis pada antarmuka yang diinginkan.
4. Filter Berdasarkan Port
Filter:
tcp.port == 80 or udp.port == 53
Fungsi: Memfilter lalu lintas pada port TCP atau UDP tertentu.
Penggunaan:
Port 80 adalah HTTP, yang sering digunakan untuk lalu lintas web.
Port 53 adalah DNS, yang digunakan untuk query DNS.
Jika Anda ingin melihat hanya trafik HTTP atau DNS, gunakan filter ini.
5. Filter Berdasarkan Panjang Paket
Filter:
frame.len > 100
Fungsi: Menampilkan paket dengan ukuran tertentu (dalam byte).
Penggunaan:
Berguna untuk mencari paket besar yang mungkin berisi data yang mencurigakan atau anomali jaringan.
6. Filter Berdasarkan Alamat MAC
Filter:
eth.src == xx:xx:xx:xx:xx:xx or eth.dst == xx:xx:xx:xx:xx:xx
Fungsi: Memfilter paket berdasarkan alamat MAC sumber atau tujuan.
Penggunaan:
Cocok untuk melacak perangkat tertentu dalam jaringan, misalnya router atau switch tertentu.
7. Filter Berdasarkan Status Kode HTTP
Filter:
http.response.status_code == 200
Fungsi: Menampilkan paket HTTP dengan kode status tertentu.
Penggunaan:
200 OK = Permintaan berhasil.
404 Not Found = Halaman tidak ditemukan.
500 Internal Server Error = Kesalahan server.
Misalnya, jika ingin mencari semua respons 404, gunakan:
http.response.status_code == 404
8. Filter Berdasarkan Metode HTTP
Filter:
http.request.method == GET
Fungsi: Memfilter permintaan HTTP berdasarkan metode (misalnya GET, POST, PUT, dll.).
Penggunaan:
Jika ingin melihat hanya permintaan GET, gunakan filter ini. Untuk melihat permintaan POST:
http.request.method == POST
9. Filter Berdasarkan URI dalam HTTP
Filter:
http.request.uri contains 'example.com'
Fungsi: Menampilkan paket HTTP yang mengandung string tertentu dalam URI.
Penggunaan:
Berguna untuk mencari akses ke situs tertentu atau endpoint API tertentu.
10. Filter Berdasarkan Kode Respons HTTP
Filter:
http.response.code == 404
Fungsi: Menampilkan paket dengan kode respons HTTP tertentu.
Penggunaan:
Bisa digunakan untuk melihat halaman yang gagal dimuat atau dicegah oleh firewall.
11. Filter Berdasarkan Cookie HTTP
Filter:
http.cookie contains 'sessionid'
Fungsi: Menampilkan paket yang mengandung cookie tertentu.
Penggunaan:
Cocok untuk menganalisis kebocoran cookie atau pencurian sesi.
12. Filter Berdasarkan Flag TCP
Filter:
tcp.flags.syn == 1
Fungsi: Memfilter paket dengan flag TCP tertentu.
Penggunaan:
Flag SYN digunakan dalam inisialisasi koneksi TCP.
Flag RST digunakan untuk memutus koneksi paksa.
Jika ingin melihat semua paket yang memulai koneksi TCP:
tcp.flags.syn == 1
13. Filter Berdasarkan Ukuran Paket
Filter:
frame.len > 1000
Fungsi: Menampilkan paket dengan ukuran lebih dari 1000 byte.
Penggunaan:
Berguna untuk melihat paket besar yang mungkin mengandung transfer file atau payload mencurigakan.
14. Filter Berdasarkan Nama Domain DNS
Filter:
dns.qry.name contains 'example.com'
Fungsi: Menampilkan query DNS untuk domain tertentu.
Penggunaan:
Jika ingin melihat semua permintaan DNS ke domain tertentu, gunakan filter ini.
15. Filter Berdasarkan Jenis Handshake TLS
Filter:
tls.handshake.type == 1
Fungsi: Memfilter paket TLS berdasarkan jenis handshake.
Penggunaan:
Misalnya, type 1 digunakan untuk ClientHello, yang menandakan awal sesi TLS.
Kesimpulan
Menguasai filter Wireshark sangat penting bagi analis keamanan siber untuk mempercepat investigasi jaringan dan menemukan anomali dengan lebih efisien. Dengan memahami 15 filter ini, Anda dapat:
✅ Memantau lalu lintas mencurigakan.
✅ Menganalisis komunikasi HTTP dan DNS.
✅ Menyelidiki serangan jaringan seperti brute-force, DDoS, atau MITM attacks.
Jika Anda tertarik untuk mendalami lebih lanjut analisis jaringan dengan Wireshark, pastikan untuk bereksperimen dengan filter ini dalam berbagai skenario nyata.
Apakah Anda punya filter favorit lainnya? Bagikan pengalaman Anda di kolom komentar!