Widget HTML Atas


Beranda / wireshark

15 Filter Wireshark yang Wajib Dikuasai

Oleh webmaster
15 Filter Wireshark yang Wajib Dikuasai oleh Setiap Analis Keamanan Siber

Wireshark adalah salah satu alat analisis lalu lintas jaringan yang paling populer di dunia. Digunakan oleh analis keamanan siber, administrator jaringan, hingga peneliti keamanan, Wireshark memungkinkan kita untuk menangkap, memfilter, dan menganalisis paket data yang melewati jaringan.
Namun, karena jumlah data yang dapat ditangkap oleh Wireshark sangat besar, kemampuan untuk memfilter paket yang relevan menjadi keterampilan penting. Dalam artikel ini, kita akan membahas 15 filter Wireshark yang wajib dikuasai oleh setiap analis keamanan siber untuk menyederhanakan proses analisis dan menemukan informasi penting dengan lebih cepat.

1. Filter Berdasarkan Alamat IP

Filter:

ip.addr == x.x.x.x

Fungsi: Memfilter lalu lintas jaringan yang berasal atau menuju ke alamat IP tertentu.

Penggunaan:
Jika Anda ingin melihat semua komunikasi yang melibatkan IP tertentu, filter ini sangat berguna. Misalnya, untuk melihat lalu lintas dari atau ke 192.168.1.10, gunakan:

ip.addr == 192.168.1.10

2. Filter Berdasarkan Rentang Alamat IP

Filter:

ip.addr >= x.x.x.x and ip.addr <= y.y.y.y

Fungsi: Menampilkan paket dalam rentang IP tertentu.

Penggunaan:
Jika ingin melihat semua paket dalam rentang 192.168.1.1 - 192.168.1.255, gunakan:

ip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.255

3. Filter Berdasarkan Antarmuka Jaringan

Filter:

interface == eth0

Fungsi: Menampilkan hanya paket yang ditangkap pada antarmuka jaringan tertentu.

Penggunaan:
Jika Anda memiliki beberapa antarmuka jaringan (misalnya WiFi dan Ethernet), filter ini membantu memfokuskan analisis pada antarmuka yang diinginkan.

4. Filter Berdasarkan Port

Filter:

tcp.port == 80 or udp.port == 53

Fungsi: Memfilter lalu lintas pada port TCP atau UDP tertentu.

Penggunaan:

Port 80 adalah HTTP, yang sering digunakan untuk lalu lintas web.

Port 53 adalah DNS, yang digunakan untuk query DNS.


Jika Anda ingin melihat hanya trafik HTTP atau DNS, gunakan filter ini.

5. Filter Berdasarkan Panjang Paket

Filter:

frame.len > 100

Fungsi: Menampilkan paket dengan ukuran tertentu (dalam byte).

Penggunaan:
Berguna untuk mencari paket besar yang mungkin berisi data yang mencurigakan atau anomali jaringan.

6. Filter Berdasarkan Alamat MAC

Filter:

eth.src == xx:xx:xx:xx:xx:xx or eth.dst == xx:xx:xx:xx:xx:xx

Fungsi: Memfilter paket berdasarkan alamat MAC sumber atau tujuan.

Penggunaan:
Cocok untuk melacak perangkat tertentu dalam jaringan, misalnya router atau switch tertentu.

7. Filter Berdasarkan Status Kode HTTP

Filter:

http.response.status_code == 200

Fungsi: Menampilkan paket HTTP dengan kode status tertentu.

Penggunaan:

200 OK = Permintaan berhasil.

404 Not Found = Halaman tidak ditemukan.

500 Internal Server Error = Kesalahan server.


Misalnya, jika ingin mencari semua respons 404, gunakan:

http.response.status_code == 404

8. Filter Berdasarkan Metode HTTP

Filter:

http.request.method == GET

Fungsi: Memfilter permintaan HTTP berdasarkan metode (misalnya GET, POST, PUT, dll.).

Penggunaan:
Jika ingin melihat hanya permintaan GET, gunakan filter ini. Untuk melihat permintaan POST:

http.request.method == POST

9. Filter Berdasarkan URI dalam HTTP

Filter:

http.request.uri contains 'example.com'

Fungsi: Menampilkan paket HTTP yang mengandung string tertentu dalam URI.

Penggunaan:
Berguna untuk mencari akses ke situs tertentu atau endpoint API tertentu.

10. Filter Berdasarkan Kode Respons HTTP

Filter:

http.response.code == 404

Fungsi: Menampilkan paket dengan kode respons HTTP tertentu.

Penggunaan:
Bisa digunakan untuk melihat halaman yang gagal dimuat atau dicegah oleh firewall.

11. Filter Berdasarkan Cookie HTTP

Filter:

http.cookie contains 'sessionid'

Fungsi: Menampilkan paket yang mengandung cookie tertentu.

Penggunaan:
Cocok untuk menganalisis kebocoran cookie atau pencurian sesi.

12. Filter Berdasarkan Flag TCP

Filter:

tcp.flags.syn == 1

Fungsi: Memfilter paket dengan flag TCP tertentu.

Penggunaan:

Flag SYN digunakan dalam inisialisasi koneksi TCP.

Flag RST digunakan untuk memutus koneksi paksa.


Jika ingin melihat semua paket yang memulai koneksi TCP:

tcp.flags.syn == 1

13. Filter Berdasarkan Ukuran Paket

Filter:

frame.len > 1000

Fungsi: Menampilkan paket dengan ukuran lebih dari 1000 byte.

Penggunaan:
Berguna untuk melihat paket besar yang mungkin mengandung transfer file atau payload mencurigakan.

14. Filter Berdasarkan Nama Domain DNS

Filter:

dns.qry.name contains 'example.com'

Fungsi: Menampilkan query DNS untuk domain tertentu.

Penggunaan:
Jika ingin melihat semua permintaan DNS ke domain tertentu, gunakan filter ini.

15. Filter Berdasarkan Jenis Handshake TLS

Filter:

tls.handshake.type == 1

Fungsi: Memfilter paket TLS berdasarkan jenis handshake.

Penggunaan:
Misalnya, type 1 digunakan untuk ClientHello, yang menandakan awal sesi TLS.


Kesimpulan

Menguasai filter Wireshark sangat penting bagi analis keamanan siber untuk mempercepat investigasi jaringan dan menemukan anomali dengan lebih efisien. Dengan memahami 15 filter ini, Anda dapat:
✅ Memantau lalu lintas mencurigakan.
✅ Menganalisis komunikasi HTTP dan DNS.
✅ Menyelidiki serangan jaringan seperti brute-force, DDoS, atau MITM attacks.

Jika Anda tertarik untuk mendalami lebih lanjut analisis jaringan dengan Wireshark, pastikan untuk bereksperimen dengan filter ini dalam berbagai skenario nyata.

Apakah Anda punya filter favorit lainnya? Bagikan pengalaman Anda di kolom komentar!