Tutorial Lengkap Penggunaan Wireshark (Windows)
Instalasi dan Pengaturan Awal Wireshark
- Unduh Wireshark: Kunjungi situs resmi wireshark.org dan unduh installer Wireshark untuk Windows terbaru. Pilih versi 64-bit atau 32-bit sesuai sistem operasi Anda.
- Jalankan installer: Buka file instalasi dan ikuti petunjuk. Pada proses instalasi, pastikan mencentang opsi untuk menginstal Npcap (pengganti WinPcap). Npcap diperlukan agar Wireshark dapat menangkap paket pada Windows (termasuk loopback dan Wi-Fi monitor mode). Pilih opsi “Support raw 802.11 traffic (and monitor mode) for wireless adapters” agar kartu nirkabel bisa dipasang dalam monitor mode.
- Persiapan awal: Setelah terpasang, jalankan Wireshark. Anda bisa memodifikasi preferensi seperti bahasa atau pengaturan kolom melalui menu Edit → Preferences jika perlu. Disarankan selalu menjalankan Wireshark dengan hak administrator agar dapat menangkap trafik pada semua interface.
Menangkap Lalu Lintas Jaringan (LAN & Wi-Fi)
- Menangkap di jaringan kabel (LAN): Pilih interface Ethernet yang sesuai dari daftar Capture Interface. Klik ganda atau tekan tombol Start Capture. Wireshark akan mulai merekam semua paket yang lewat, termasuk paket broadcast dan unicast ke/atau dari komputer Anda. (Catatan: pada jaringan switch biasa, Anda hanya menangkap paket yang dikirim ke/dari PC Anda, kecuali jika menggunakan hub atau port mirroring.) Anda bisa mengaktifkan promiscuous mode di opsi antarmuka agar NIC menangkap semua paket (jika hardware mendukung).
- Menangkap di jaringan nirkabel (Wi-Fi): Pastikan Npcap sudah terinstal dengan opsi raw 802.11 agar adapter Wi-Fi dapat digunakan dalam mode monitor. Pilih interface wireless Anda (misalnya “Wi-Fi” atau “802.11”). Jika Npcap dikonfigurasi dengan benar, Wireshark bisa menangkap frame Wi-Fi mentah (termasuk header 802.11) dalam mode monitor. Jika ada kesulitan (misalnya hanya paket ke/ dari PC terlihat), coba matikan promiscuous mode atau aktifkan mode monitor secara manual (via alat WlanHelper yang disertakan Npcap).
Contoh penyaringan paket TCP menggunakan Wireshark. Filter tcp hanya menampilkan paket dengan protokol TCP saja.
| No | Materi | Tanggal | Waktu | Harga | Lokasi | View | Action |
|---|---|---|---|---|---|---|---|
| 1 | IOT PLC SCADA Siemens | 7-8 Juni 2025 | 08.00 - 16.00 | 2000000 | Surabaya | Silabus | Daftar Sekarang |
| 2 | IOT PLC SCADA Omron | 14 - 15 Juni 2025 | 08.00 - 16.00 | 2000000 | Surabaya | Silabus | Daftar Sekarang |
| 3 | IOT PLC SCADA Schneider | 21-22 Juni 2025 | 08.00 -16.00 | 2000000 | Surabaya | Silabus | Daftar Sekarang |
| 4 | IOT PLC SCADA Allen Bradley | 28-29 Juni 2025 | 08.00-16.00 | 2000000 | Surabaya | Silabus | Daftar Sekarang |
Menyaring Paket dengan Filter (HTTP, DNS, TCP, IP)
Wireshark mendukung dua jenis filter: capture filter (diterapkan saat menangkap) dan display filter (diterapkan saat menampilkan paket). Sebagai contoh, capture filter seperti tcp port 80 hanya menangkap paket TCP pada port 80, sedangkan display filter tcp.port==80 hanya menyembunyikan paket lain setelah capture selesai. Beberapa filter umum:
| Protokol/Filter | Display Filter Wireshark | Capture Filter (BPF) | Keterangan |
| HTTP | http atau http.request | tcp port 80 | Paket protokol HTTP (HTTP request/response) |
| DNS | dns | udp port 53 | Paket DNS (query/response) |
| TCP | tcp | tcp | Semua paket TCP |
| UDP | udp | udp | Semua paket UDP |
| ICMP | icmp | icmp | Paket ICMP (mis. ping) |
| ARP | arp | arp | Paket ARP (resolusi alamat IP-MAC) |
| IP Address | ip.addr==192.168.1.10 | host 192.168.1.10 | Filter berdasarkan alamat IP sumber/tujuan |
Untuk menggunakan display filter, ketik nama protokol atau ekspresi di toolbar filter Wireshark dan tekan Enter. Misalnya, ketik tcp untuk hanya melihat paket TCP, atau http.request untuk hanya menampilkan paket permintaan HTTP saja. Anda juga bisa menggunakan operator logika (mis. and, or) dan membandingkan nilai (mis. ip.addr==192.168.0.1 untuk menyaring paket yang memiliki alamat IP sumber atau tujuan tersebut). Untuk kembali melihat semua paket, klik tombol Clear di sebelah kanan filter.
Menyimpan dan Membuka File Capture (.pcap)
Setelah menangkap, Anda bisa menyimpan hasil capture dalam file untuk analisis selanjutnya. Pilih menu File → Save atau Save As… di Wireshark. Akan muncul dialog Save Capture File As di mana Anda memberi nama file dan memilih format. Wireshark mendukung beberapa format, tetapi format defaultnya adalah pcapng (PCAP Next Generation). Jika Anda membutuhkan kompatibilitas dengan perangkat lain, pilih format pcap biasa. Ketika menutup Wireshark tanpa menyimpan, program akan memperingatkan agar menyimpan terlebih dahulu. Untuk membuka file capture, gunakan menu File → Open dan pilih file .pcap/.pcapng yang sudah tersimpan.
Menganalisis Protokol Umum
Wireshark dapat mendecode berbagai protokol jaringan, sehingga Anda dapat memeriksa detail tiap lapisan protokol. Beberapa contoh analisis protokol:
- HTTP: Filter http atau http.request untuk melihat paket HTTP (biasanya port 80). Dalam Packet Details, perluas lapisan HTTP untuk melihat metode (GET, POST), URL, kode status, dan data header lain. Gunakan fitur Follow TCP Stream (klik kanan paket HTTP → Follow → HTTP Stream) untuk melihat keseluruhan isi sesi HTTP dalam bentuk teks utuh.
- DNS: Filter dns untuk melihat query dan response DNS. Di panel detail, Anda dapat melihat nama domain yang diminta, tipe record (A, AAAA, CNAME, dst.), dan jawaban yang diberikan. Ini berguna untuk memeriksa apakah sebuah hostname diterjemahkan dengan benar.
- ARP: Filter arp untuk melihat paket ARP. Anda akan melihat permintaan “Who has IP X?” dan balasannya “X is at MAC Y”. Informasi ini membantu memetakan alamat IP ke alamat MAC di jaringan lokal. Jika dua paket ARP berbeda mengklaim IP sama, itu bisa menandakan ARP spoofing. (Wireshark akan memberi peringatan “duplicate use of detected!” saat mendeteksi kondisi ini.)
- ICMP: Filter icmp untuk menangkap paket ICMP (seperti ping, traceroute). Contoh: permintaan ping (echo request) dan balasannya (echo reply). Di detail paket, perhatikan Type (mis. 8 untuk request, 0 untuk reply) dan Code.
- TCP Handshake: Pada awal sebuah koneksi TCP, Anda akan melihat tiga paket pertama antara dua host: SYN (flag SYN=1, ACK=0), SYN-ACK (SYN=1, ACK=1), lalu ACK (SYN=0, ACK=1). Misalnya pada GfG dicontohkan bahwa tiga paket pertama itulah three-way handshake TCP untuk membuat koneksi. Anda dapat memfilter ini dengan tcp.flags.syn==1 && tcp.flags.ack==0 untuk melihat semua SYN, dan tcp.flags.syn==1 && tcp.flags.ack==1 untuk melihat respons SYN-ACK. Ini membantu memastikan koneksi TCP terbentuk dengan benar.
Contoh tampilan utama Wireshark setelah capture: panel atas menunjukkan packet list, panel tengah packet details, dan panel bawah packet bytes. Wireshark dapat men-decode banyak protokol (TCP, UDP, HTTP, DNS, dll.) sehingga data paket terlihat terurai dan mudah dibaca.
Mendeteksi Anomali atau Serangan Jaringan
- ARP Spoofing: Perhatikan duplikasi alamat IP di ARP. Jika Anda melihat satu IP diklaim oleh dua MAC berbeda (misalnya “192.168.2.1 is at AB:AB:…” dan “192.168.2.1 is at 10:10:…” seperti di Wireshark Q&A), itu indikasi ARP spoofing. Gunakan filter display arp.duplicate-address-detected untuk menemukan kejadian duplikat tersebut dengan cepat.
- SYN Flood (DoS TCP): Serangan ini ditandai oleh banyak paket SYN tanpa diikuti ACK. Anda dapat mendeteksi dengan filter tcp.flags.syn==1 && tcp.flags.ack==0. Jika jumlah SYN jauh lebih banyak daripada SYN-ACK yang direspons server (tcp.flags.syn==1 && tcp.flags.ack==1), kemungkinan terjadi serangan. Selain itu, sumber IP sering dipalsukan; ciri tambahan adalah muncul paket RST sebagai respons anomali.
- Reflection / Amplification (DoS UDP): Serangan ini memanfaatkan layanan seperti DNS/NTP untuk mengirim balasan besar. Cari balasan DNS/NTP yang tidak ada permintaannya: gunakan filter udp.srcport==53 or udp.srcport==123. Balasan yang sangat besar atau terfragmentasi (periksa ip.frag_offset > 0) bisa jadi tanda serangan amplifikasi.
- Sniffing Password (plaintext): Wireshark dapat menangkap data tidak terenkripsi termasuk kata sandi. Contoh filter yang berguna:
- http.request.method == “POST” untuk menampilkan paket HTTP POST (sering berisi form login).
- ftp untuk melihat semua trafik FTP, termasuk perintah USER dan PASS dalam plaintext.
- telnet untuk trafik Telnet (login Telnet juga dalam plaintext).
Setelah filter, periksa pane detail; di FTP/Telnet Anda sering melihat baris USER <username> atau PASS <password> yang terbuka. Temuan semacam ini menunjukkan kredensial yang bocor dan harus segera diatasi (misalnya dengan beralih ke protokol terenkripsi).
Tips Keamanan dan Etika Penggunaan
Wireshark adalah alat yang sangat kuat, hanya gunakan pada jaringan yang Anda miliki atau dengan izin eksplisit. Gunakan Wireshark secara etis dan legal – jangan sniff jaringan publik atau milik orang lain tanpa izin, karena bisa melanggar hukum. Sebaiknya ikuti kebijakan perusahaan/organisasi: jika kebijakan mengharuskan izin khusus untuk memantau trafik, mintalah persetujuan manajemen terlebih dahulu. Tetap di sisi hukum dan etika.
Untuk keamanan data, usahakan menggunakan protokol terenkripsi bila memungkinkan. Hindari mengirim data sensitif (password, informasi pribadi) tanpa enkripsi di jaringan Wi-Fi publik karena dapat dicegat siapapun. Gunakan HTTPS/SSL, SSH, atau VPN untuk melindungi informasi saat diperlukan koneksi ke jaringan umum. Simpan juga hasil capture dengan aman, karena file .pcap bisa berisi data rahasia (mis. cookie sesi, kata sandi). Hapuslah file capture ketika sudah tidak diperlukan demi menjaga privasi.
Panduan praktik terbaik: Selalu update Wireshark dan Npcap ke versi terbaru untuk memperoleh fitur keamanan dan dukungan hardware terkini. Gunakan capture filter saat menangkap untuk membatasi data yang direkam (misal hanya port tertentu) dan mengurangi beban penyimpanan. Selain itu, manfaatkan statistik bawaan Wireshark (Statistics → Protocol Hierarchy, Conversations, Endpoints, dll.) untuk analisis volume trafik dan pola komunikasi secara cepat. Dengan mengikuti langkah-langkah di atas dan prinsip keamanan, Wireshark akan membantu Anda memantau dan menganalisis jaringan Windows secara efektif.
