Filter Wireshark Terbaik

Wireshark, sebelumnya Ethereal, adalah program sumber terbuka yang kuat yang membantu pengguna memantau dan menganalisis informasi yang bepergian ke dan dari jaringan tertentu. Perangkat lunak ini dapat memproses data kompleks dari ratusan protokol pada sebagian besar jenis jaringan, mengaturnya ke dalam paket data. Namun, ketika jaringan tiba-tiba mogok atau mengalami masalah, pencarian melalui paket bisa sangat melelahkan, membutuhkan banyak waktu dan energi. Di situlah sifat ramah pengguna Wireshark berguna.

Perangkat lunak ini mendukung filter yang memungkinkan Anda menyaring sejumlah besar informasi dengan cepat. Daripada memeriksa file yang diambil secara manual, Anda dapat menerapkan filter yang akan membawa Anda ke data yang ingin Anda periksa.

Baca terus untuk mempelajari tentang filter Wireshark terbaik dan cara menandainya untuk digunakan nanti.

Filter Wireshark

Ada dua jenis filter di Wireshark. Yang pertama adalah filter tangkap, sedangkan yang lainnya adalah filter tampilan. Keduanya beroperasi pada sintaks yang berbeda dan melayani tujuan tertentu. Filter

Capture dibuat sebelum memulai operasi penangkapan. Parameter filter pengambilan hanya merekam dan menyimpan lalu lintas yang ingin Anda analisis. Setelah operasi penangkapan dimulai, memodifikasi jenis filter ini tidak mungkin.

Di sisi lain, filter tampilan berisi parameter yang berlaku untuk semua paket yang diambil. Anda dapat mengatur jenis filter ini sebelum memulai operasi pengambilan dan kemudian menyesuaikan atau membatalkannya. Juga, Anda dapat menetapkannya saat operasi sedang berlangsung. Filter tampilan menyimpan data dalam buffer jejak, menyembunyikan lalu lintas yang tidak Anda minati, dan hanya menampilkan informasi yang ingin Anda lihat.

Wireshark memiliki pustaka filter bawaan yang mengesankan untuk membantu pengguna memantau jaringan mereka dengan lebih baik. Untuk mengakses dan menggunakan filter yang ada, Anda harus mengetikkan nama yang benar di bagian “Terapkan filter tampilan” di bawah bilah alat program. Saat Anda ingin menemukan dan menerapkan filter tangkapan, gunakan bagian “Masukkan tangkapan” di tengah layar pembuka.

Meskipun Wireshark menawarkan kemampuan pemfilteran yang komprehensif, mengingat sintaks yang benar sering kali menjadi rumit. Saat Anda kesulitan mengetik filter yang sesuai, Anda membuang waktu yang berharga.

Tapi Anda beruntung. Kami telah menyusun daftar filter Wireshark terbaik untuk membantu Anda menggunakan program dengan lebih efisien dan tidak perlu menebak-nebak menganalisis tumpukan data yang disimpan.

Filter Wireshark Terbaik

Mari kita lihat beberapa filter bermanfaat yang memungkinkan Anda menguasai program.

ip. addr == x.x.x.x

Filter di atas hanya akan menampilkan paket yang diambil yang menyertakan alamat IP yang ditetapkan. Ini adalah alat yang berguna untuk memeriksa satu jenis lalu lintas. Menerapkan filter akan memproses lalu lintas keluar dan menentukan mana yang sesuai dengan sumber atau IP yang Anda cari.

Jika Anda ingin memfilter menurut tujuan, gunakan varian ip.dst == x.x.x.x varian.

The ip.src == varian x.x.x.x membantu Anda memfilter menurut source.

ip.addr == x.x.x.x && ip.addr == x.x.x.x

String ini membuat filter percakapan antara dua alamat IP yang telah ditetapkan sebelumnya. Ini sangat berharga untuk memeriksa data antara dua jaringan atau host yang dipilih. Filter mengabaikan data yang tidak perlu dan hanya berfokus untuk menemukan informasi yang paling menarik bagi Anda.

Untuk penyaringan tujuan, gunakan ip.src == xxxx && ip.dst == xxxx string.

http atau dns

Saat Anda menerapkan filter ini, filter ini akan menampilkan setiap dns atau protokol http. Ini adalah filter hemat waktu yang memungkinkan Anda membidik pada protokol tertentu yang ingin Anda periksa. Misalnya, jika Anda perlu menemukan lalu lintas FTP yang mencurigakan, yang perlu Anda lakukan hanyalah mengatur filter untuk “ftp.” Untuk mempelajari mengapa halaman web gagal muncul, setel filter ke “dns.”

tcp.port==xxx

Filter di atas mempersempit pencarian Anda ke port atau sumber tujuan tertentu. Alih-alih melalui seluruh paket yang diambil, filter menghasilkan data tentang lalu lintas yang masuk atau dari satu port. Ini adalah salah satu filter paling nyaman yang dapat Anda andalkan untuk menyelesaikan tugas Anda jika Anda berada dalam krisis waktu.

tcp.flags.reset==1

Menerapkan filter ini akan menampilkan setiap reset TCP. Setiap paket yang ditangkap memiliki TCP yang terkait. Ketika nilainya disetel ke satu, ia memperingatkan PC penerima bahwa ia harus berhenti beroperasi pada koneksi itu. Ini adalah salah satu filter Wireshark yang paling mengesankan karena reset TCP mengakhiri koneksi secara instan.

tcp berisi xxx

Filter ini akan menemukan semua paket penangkapan TCP yang menyertakan istilah yang ditentukan. Jika Anda penasaran di mana item muncul dalam tangkapan, ketikkan namanya alih-alih “xxx.” Filter akan menemukan semua contoh istilah, sehingga Anda tidak perlu membaca paket. Misalnya, saat Anda mengganti “xxx” dengan “lalu lintas”, Anda akan melihat semua paket yang berisi “lalu lintas”. Sebaiknya gunakan filter ini untuk memindai ID pengguna atau string tertentu.

!(arp atau icmp atau dns)

Filter di atas dirancang untuk mengecualikan protokol tertentu. Gunakan untuk menghapus protokol arp, dns, atau icmp yang tidak Anda perlukan. Ini memungkinkan Anda memblokir data yang mengganggu sehingga Anda dapat fokus menganalisis informasi yang lebih mendesak.

tcp.time_delta > .250

Filter ini menampilkan paket TCP dengan waktu delta di atas 250 mSec dalam alirannya.

Ingat bahwa sebelum menggunakan filter, Anda harus menghitung Stempel Waktu Konversi TCP. Meskipun menghitung penundaan dalam percakapan tidak terlalu sulit, ini memerlukan pengetahuan Wireshark tingkat lanjut.

tcp.analysis.flags && !tcp.analysis.window_update

Filter ini membantu Anda melihat transmisi ulang, nol jendela, dan serangan duplikat dalam satu jejak. Ini adalah cara terbaik untuk menemukan kinerja aplikasi yang kurang bagus atau kehilangan paket.

Tips untuk Menggunakan Filter Wireshark

Gagal mengingat sintaks filter yang benar membuat frustrasi dan dapat mencegah Anda menemukan data berharga dengan cepat.

Terkadang, fitur pelengkapan otomatis Wireshark dapat membantu Anda menyelesaikan masalah. Misalnya, jika Anda yakin filter dimulai dengan “tcp”, ketik informasi ini ke dalam bidang pencarian yang sesuai. Wireshark akan membuat daftar filter yang dimulai dengan “tcp.” Turunkan hasil pencarian sampai Anda menemukan moniker.

yang benar Cara lain untuk menemukan filter adalah opsi “bookmark” di sebelah kolom entri. Saat Anda memilih “Kelola Filter Tampilan” atau “Kelola Ekspresi Filter”, Anda dapat mengubah, menambah, atau menghapus filter. Jika Anda tidak terlalu yakin untuk mengingat singkatan sintaks yang rumit, opsi “bookmark” adalah alat yang tidak merepotkan untuk mengambil filter Wireshark yang sering digunakan. menu:
Luncurkan Wireshark dan arahkan ke opsi “bookmark”. Klik “Kelola Filter Tampilan” untuk melihat kotak dialog. Temukan filter yang sesuai di kotak dialog, ketuk, dan tekan tombol “+” untuk menyimpannya. yang perlu Anda lakukan untuk menyimpan filter tampilan:
Buka Wireshark dan buka opsi “bookmark”. Pilih “Kelola Filter Tampilan” untuk membuka jendela dialog. Pindai daftar opsi, ketuk dua kali filter yang sesuai, dan klik tombol “+” untuk menyimpannya sebagai bookmark.
Jika Anda sedang terburu-buru untuk menganalisis data tertentu, Anda mungkin ingin menekan panah bawah di sebelah kolom entri. Tindakan ini akan menghasilkan daftar filter yang digunakan sebelumnya.

Gunakan Filter untuk Analisis Data Tanpa Kerumitan

Wireshark telah menjadi salah satu penganalisis protokol jaringan paling populer, berkat filter praktisnya. Anda dapat menggunakannya untuk menghemat waktu dan dengan cepat menemukan parameter tertentu seperti alamat IP atau nilai HEX. Jika Anda kesulitan mengingat moniker berbeda dari filter yang sering digunakan, simpan sebagai bookmark untuk digunakan nanti.

Seberapa sering Anda menggunakan filter Wireshark? Mana yang lebih Anda andalkan, menangkap atau menampilkan filter? Apakah Anda pernah menggunakan beberapa opsi yang disebutkan di atas? Beri tahu kami di bagian komentar di bawah.