5 Trik Pembunuh untuk Memaksimalkan Wireshark
Wireshark memiliki beberapa trik, mulai dari menangkap lalu lintas jarak jauh hingga membuat aturan firewall berdasarkan paket yang diambil. Baca terus untuk beberapa tips lebih lanjut jika Anda ingin menggunakan Wireshark seperti pro.
Kami telah membahas penggunaan dasar Wireshark, jadi pastikan untuk membaca artikel asli kami untuk pengantar alat analisis jaringan yang kuat ini.
Resolusi Nama Jaringan
Saat mengambil paket, Anda mungkin kesal karena Wireshark hanya menampilkan alamat IP. Anda dapat mengonversi alamat IP ke nama domain sendiri, tetapi itu tidak terlalu nyaman.
Wireshark dapat secara otomatis menyelesaikan alamat IP ini ke nama domain, meskipun fitur ini tidak diaktifkan secara default. Saat Anda mengaktifkan opsi ini, Anda akan melihat nama domain alih-alih alamat IP bila memungkinkan. Kelemahannya adalah bahwa Wireshark harus mencari setiap nama domain, mencemari traffic yang ditangkap dengan permintaan DNS tambahan.
Anda dapat mengaktifkan pengaturan ini dengan membuka jendela preferensi dari Edit -> Preferensi, mengklik Resolusi Nama panel dan mengklik "Aktifkan Resolusi Nama Jaringan”Kotak centang.
Mulai Menangkap Secara Otomatis
Anda dapat membuat pintasan khusus menggunakan argumen baris perintah Wirshark jika Anda ingin mulai mengambil paket tanpa penundaan. Anda harus mengetahui jumlah antarmuka jaringan yang ingin Anda gunakan, berdasarkan urutan yang ditampilkan oleh Wireshark.
Buat salinan jalan pintas Wireshark, klik kanan, masuk ke jendela Properties-nya dan ubah argumen baris perintah. Menambahkan -saya # -k ke akhir pintasan, ganti # dengan jumlah antarmuka yang ingin Anda gunakan. Opsi -i menentukan antarmuka, sedangkan opsi -k memberi tahu Wireshark untuk mulai menangkap segera.
Jika Anda menggunakan Linux atau sistem operasi non-Windows lainnya, buat saja jalan pintas dengan perintah berikut, atau jalankan dari terminal untuk mulai menangkap segera:
wireshark -i # -k
Untuk pintasan baris perintah lainnya, lihat halaman manual Wireshark.
Menangkap Lalu Lintas Dari Komputer Jarak Jauh
Wireshark secara default menangkap lalu lintas dari antarmuka lokal sistem Anda, tetapi ini tidak selalu lokasi yang ingin Anda tangkap. Misalnya, Anda mungkin ingin menangkap lalu lintas dari router, server, atau komputer lain di lokasi berbeda di jaringan. Di sinilah fitur tangkapan jarak jauh Wireshark masuk. Fitur ini hanya tersedia di Windows saat ini - dokumentasi resmi Wireshark merekomendasikan agar pengguna Linux menggunakan terowongan SSH.
Pertama, Anda harus menginstal WinPcap di sistem jarak jauh. WinPcap hadir dengan Wireshark, jadi Anda tidak perlu menginstal WinPCap jika Anda sudah menginstal Wireshark di sistem jarak jauh.
Setelah tidak diinstal, buka jendela Layanan di komputer jarak jauh - klik Mulai, ketik layanan.msc ke dalam kotak pencarian di menu Start dan tekan Enter. Temukan Protokol Pengambilan Paket Jarak Jauh layanan dalam daftar dan memulainya. Layanan ini dinonaktifkan secara default.
Klik tautan Opsi PengambilanTautan di Wireshark, lalu pilih Terpencil dari kotak Interface.
Masukkan alamat sistem jarak jauh dan 2002 sebagai port. Anda harus memiliki akses ke port 2002 pada sistem jarak jauh untuk terhubung, jadi Anda mungkin perlu membuka port ini di firewall.
Setelah terhubung, Anda dapat memilih antarmuka pada sistem jarak jauh dari kotak drop-down Interface. Klik Mulai setelah memilih antarmuka untuk memulai penangkapan jarak jauh.
Wireshark di Terminal (TShark)
Jika Anda tidak memiliki antarmuka grafis pada sistem Anda, Anda dapat menggunakan Wireshark dari terminal dengan perintah TShark.
Pertama, keluarkan tshark -D perintah. Perintah ini akan memberi Anda nomor antarmuka jaringan Anda.
Setelah Anda miliki, jalankan tshark -i # perintah, ganti # dengan jumlah antarmuka yang ingin Anda tangkap.
TShark bertindak seperti Wireshark, mencetak lalu lintas yang ditangkapnya ke terminal. Menggunakan Ctrl-C ketika Anda ingin menghentikan penangkapan.
Mencetak paket ke terminal bukan perilaku yang paling berguna. Jika kami ingin memeriksa lalu lintas lebih detail, kami dapat meminta TShark membuangnya ke file yang dapat kami periksa nanti. Gunakan perintah ini sebagai gantinya untuk membuang lalu lintas ke file:
tshark -i # -w nama file
TShark tidak akan menampilkan paket saat mereka ditangkap, tetapi itu akan menghitungnya saat menangkapnya. Anda dapat menggunakan Mengajukan -> Buka di Wireshark untuk membuka file yang diambil nanti.
Untuk informasi lebih lanjut tentang opsi baris perintah TShark, lihat halaman manualnya.
Membuat Aturan ACL Firewall
Jika Anda seorang administrator jaringan yang bertanggung jawab atas firewall dan Anda menggunakan Wireshark untuk melihat-lihat, Anda mungkin ingin mengambil tindakan berdasarkan lalu lintas yang Anda lihat - mungkin untuk memblokir beberapa lalu lintas yang mencurigakan. Wireshark Aturan ACL Firewall alat menghasilkan perintah yang Anda perlukan untuk membuat aturan firewall di firewall Anda.
Pertama, pilih paket yang Anda inginkan untuk membuat aturan firewall berdasarkan dengan mengkliknya. Setelah itu, klik tombol Alat menu dan pilih Aturan ACL Firewall.
Menggunakan Produk menu untuk memilih jenis firewall Anda. Wireshark mendukung Cisco IOS, berbagai jenis firewall Linux, termasuk iptables, dan firewall Windows.
Anda dapat menggunakan Filter kotak untuk membuat aturan berdasarkan alamat MAC sistem, alamat IP, port, atau alamat IP dan port. Anda mungkin melihat lebih sedikit opsi filter, tergantung pada produk firewall Anda.
Secara default, alat ini membuat aturan yang menolak lalu lintas masuk. Anda dapat mengubah perilaku aturan dengan menghapus centang pada Masuk atau Menyangkal kotak centang. Setelah Anda membuat aturan, gunakan Salinan untuk menyalinnya, kemudian jalankan di firewall Anda untuk menerapkan aturan tersebut.
Apakah Anda ingin kami menulis sesuatu yang spesifik tentang Wireshark di masa depan? Beri tahu kami di komentar jika Anda memiliki permintaan atau ide.
