Untuk menangkap paket jaringan menggunakan Wireshark, terlebih dahulu
harus diperhatikan dengan cermat posisi peletakkan wireshark dalam
jaringan, seperti contoh pada artikel sebelumnya. Peletakkan wireshark
yang tidak tepat akan menyebabkan tidak adanya paket yang ditangkap.
Penangkapan paket sederhana
Untuk mulai melakukan penangkapan paket, tinggal click pada button seperti di bawah ini,
Setelah itu akan muncul dialog box seperti
di bawah ini. Pastikan interface mana yang akan kita pakai untuk
menangkap paket. Seperti pada sebuah notebook yang saya pakai, selalu
ada minimal 2 interface, yaitu LAN dan Wireless LAN.
Untuk memulai penangkapan paket, tinggal kita click pada tombol Start di interface yang kita pilih.
Setelah itu maka akan ditampilkan layar scrolling yang berisikan
paket-paket yang kita tangkap. Untuk selesai menangkap paket, maka
tinggal klik pada tombol yang ditunjukkan oleh panah berikut.
Lebih lanjut tentang Capture Options pada Interface
Ada banyak options yang menarik untuk dipelajari pada Capture Options seperti terlihat pada dialog box berikut ini :
Limit Each Packet To
Pada jaringan yang sibuk, terkadang kita hanya ingin menangkap
sebagian dari paket saja ( tidak full packet ), misalnya hanya 64 bytes
pertama saja. Biasanya hal tersebut dilakukan agar file capture tidak
menjadi besar, namun sudah cukup informatif karena TCP/IP header sudah
terlihat di 64 bytes paket.
Untuk melakukan hal tersebut, pakailah option “Limit each packet to” dan isi dengan 64 bytes.
Capture File(s)
Pada saat kita akan melakukan capture packet penuh, maka size hard
disk yang dibutuhkan tentunya akan sangat besar. Secara teori, apabila
kita pada kecepatan 100Mbps ( atau 12.5MByte/s ), maka untuk utilisasi
jaringan 50% saja, maka tiap detik akan merekam 6.25MByte. Maka untuk 1
menit butuh lebih dari 300 Mbytes.
Melakukan analisa paket dengan file size yang sangat besar akan
sangat sulit karena butuh processor dan memory yang cepat. Oleh karena
nya, Wireshark menyediakan sarana-sarana untuk meng-split file hasil
capture secara otomatis, pada bagian Capture File(s) berikut. Klik
dahulu “Use multiple files” untuk mengaktifkan opsi-opsi berikutnya :
Apabila kita ingin memisah setiap hasil tangkapan berdasarkan ukuran,
maka kita klik “Next file every” dan diisi ukuran file, misalnya
20Megabytes. Apabila ingin memisah berdasar waktu, kita klik “Next file
every” dan isikan berapa menit. Apabila kedua opsi ini dipilih
bersamaan, maka capture file akan terpisah dengan kondisi yang terpenuhi
dahulu ( bisa berdasarkan file size, atau berdasarkan waktu ).
“Ring buffer” menyediakan opsi yang menarik. Ring buffer menggunakan
system First In First Out. Apabila kita isi dengan 5 files, maka akan
tercipta ‘hanya’ 5 capture file saja. Jika capture file ke-6 terbentuk,
maka capture file yang paling kuno ( nomor 1 ) akan dihapus. Dengan
demikian, kita bisa memperhitungkan berapa maksimum size hard disk yang
akan kita pakai dalam mengcapture.
Sebagai contoh, apabila kita menyisakan 1 Gigabyte hard disk, kita
bisa mengsplit dengan 20 file dengan ukuran maksimum 50 Mega Byte
menggunakan “Next file every 50MByte” dan “Ring buffer 20 files”.
Stop Capture, juga bisa dipilih untuk memberhentikan capture, dengan kondisi-kondisi seperti terlihat pada option yang ada.
Setelah kita selesai menangkap paket, semua urutan paket dapat dibuka langsung dengan File>File Set>List Files :
Display Options
Option berikut berhubungan dengan kecepatan graphical user interface
dari Wireshark sendiri. Dari kalimatnya sudah bisa ditebak arti dari
option tersebut.
Apabila kita melakukan penangkapan paket dalam jumlah besar dan waktu
lama, lebih baik kita mematikan option Update list of packets dan
Automatic scrolling, karena sudah pasti kita tidak akan mengamati paket
secara langsung di depan computer.
Capture Filter
Pada saat menangkap paket, apabila kita tidak menginginkan komputer
kita sebagai wireshark ikut ‘tertangkap’ paket nya, cara yang paling
mudah adalah dengan mengisi capture filter. Tentang filter akan dibahas
lebih lanjut di artikel lain, atau tentunya di dalam wireshark
documentation, namun paling sederhana adalah sebuah filter yang berisi :
Contoh di atas, 00:1c:bf:6c:28:9a merupakan MAC address dari notebook penulis.
Setelah mengerti sekilas proses penangkapan paket, langkah
selanjutnya adalah membaca paket-paketnya. Dan ini yang membutuhkan
kesabaran serta pengetahuan-pengetahuan yang lebih luas.
Dengan membaca artikel singkat ini, diharapkan kita dapat semakin
mengenal wireshark dan lebih penting lagi… kita mulai mengenal
paket-paket yang lewat dalam jaringan.