5 min readSep 25, 2022

Sebelum kita masuk kedalam Filtering pada Wireshark kita harus mengenali terlebih dahulu apa yang terjadi pada PCAP, untu memahami yang akan dilakukan ketika filtering.

Yang terjadi pada PCAP secara sistematis dan meliputi informasi berikut :

Semua protokol dan port yang digunakan :
A.Protocol
Protokol adalah sistem peraturan yang memungkinkan terjadinya hubungan, komunikasi, dan perpindahan data antara dua komputer atau lebih. Aturan ini harus dipenuhi oleh pengirim dan penerima agar komunikasi dapat berlangsung dengan baik.

Adapun Protokol dan Port yang terlibat dalam pcap, yaitu:

a.Protokol :
• TCP
• HTTP
• ARP
• DHCP
• DNS
• TLSv1.2

b. Port :
• 63534
• 80
• 68
• 67
• 62466
• 53
• 63535
• 443
• 63510
• 60289
• 63536
• 63537
• 63538
• 63507
• 993
• 63539

IP address yang terlibat,yaitu :
• 192.168.0.178
• 192.168.0.102
• 213.46.246.54
• 17.248.147.51
• 52.109.12.24
• 52.109.88.5
• 52.109.76.35
• 192.168.0.108

Melakukan filtering traffic HTTPS yang berasal dari 192.168.0.178 dan membaca isi traffic nya

Cara melakukan filtering HTTPS :
1. Buka wireshark lalu sambungkan dengan wifi untuk di capture. (jika anda sudah memilki data capture, import saja ke dalam wireshark)
2. Dikarenakan pada kasus ini sudah memilki file capture, dimana target nya adalah 192.168.0.178, maka masukkan ke dalam kolom pencarian wireshark dengan filter “ip.src == 192.168.0.178”

3. Dari hasil filtering tersebut, dapat diketahui bahwa protocol HTTPS lebih aman dikarenakan saat mengakses situs berprotokol HTTPS tidak ada protocol HTTPS yang dapat tertangkap oleh aplikasi wireshark. Informasi yang disajikan hanya berupa IP asal dan tujuan atau server dan port yang digunakan untuk melakukan komunnikasi, paket data yang melewati hanya bias diketahui jumlahnya saja dan ketika dilihat paket tesebut tidak bias terbaca atau terenkripsi oleh enkripsi yang digunakan oleh web masing-masing tersebut.

URL yang di akses oleh user

URL yang di akses oleh user ada 2 yaitu :

Melakukan filter traffic DHCP

Cara melakukan filter traffic DHCP :

1. Download Whireshark melalui link https://www.wireshark.org/#download

2. Kemudian, Buka Aplikasi Whireshark di PC/Laptop

3. Sebelumnya download berkas di gdrive yang akan diimpor melalui Link https://drive.google.com/file/d/1fzDXQ88NpyvD94NMIHnpivyaTfhsqXL4/view?usp=sharing

4. Tekan file dan open file tersebut ke Whireshark untuk mengimpor

5. Hasil dari import

6. Untuk Melakukan filter DHCP, Search DHCP di Filtering

Menggunakan Fitur Filter Pada Wireshark

Walaupun komputer Anda tidak melakukan banyak hal pada saat tertentu tetapi ratusan bahkan ribuan paket mungkin benar-benar melalui jaringan internet pada komputer anda. Ini mencakup segala hal mulai dari traffic HTTP hingga traffic DHCP dan banyak lagi. Dengan demikian, penting untuk menggunakan filter untuk memfilter informasi yang tidak anda butuhkan dan hanya mencari informasi yang akan anda inginkan.

Katakanlah kita ingin menemukan semua paket yang dikirim atau diterima menggunakan protokol DHCP. Cukup ketik DHCP di kotak filter di bagian atas dan semua paket DHCP yang diambil akan muncul. Tentu saja, ada ribuan filter berbeda yang dapat diterapkan pada data paket yang diambil untuk menunjukkan dengan tepat apa yang Anda cari.

Filter pengambilan data juga dapat disetel dengan mengklik tab Capture dan mengklik Capture Filters. Ini mencegah penangkapan paket yang tidak Anda inginkan

Daftar Paket

Panel daftar paket, yang terletak di bagian atas, menunjukkan semua paket yang ditemukan di file tangkapan aktif. Setiap paket memiliki baris dan nomor yang sesuai dengannya, beserta masing-masing titik data ini.

· Time : Timestamp saat paket diambil ditampilkan di kolom ini, dengan format default menjadi jumlah detik (atau sebagian detik) karena file tangkapan khusus ini pertama kali dibuat.

· Source : Kolom ini berisi alamat (IP atau lainnya) tempat paket berasal

· Destination : Kolom ini berisi alamat dimana paket dikirim.

· Protocol : Nama protokol paket (yaitu, TCP) dapat ditemukan di kolom ini.

· Length : Panjang paket, dalam satuan byte, ditampilkan di kolom ini.

· Info : Rincian tambahan tentang paket ditampilkan di sini. Isi kolom ini bisa sangat bervariasi tergantung isi paketnya.Bila sebuah paket dipilih di panel atas, Anda mungkin melihat satu atau beberapa simbol muncul di kolom pertama. Tanda kurung terbuka dan / atau tertutup, serta garis horizontal lurus, dapat menunjukkan apakah paket atau kelompok paket semuanya merupakan bagian dari percakapan bolak-balik yang sama pada jaringan. Garis horizontal yang pecah menandakan bahwa paket bukan bagian dari percakapan tersebut.

Rincian paket

Panel rincian, ditemukan di tengah, menampilkan protokol dan bidang protokol dari paket yang dipilih. Selain memperluas setiap pilihan, Anda juga dapat menerapkan individual Wireshark filters berdasarkan rincian spesifik serta mengikuti aliran data berdasarkan jenis protokol melalui menu details context — dapat diakses dengan mengklik kanan mouse Anda pada item yang diinginkan di dalam panel ini.

Paket byte

Di bagian bawah adalah panel bytes paket, yang menampilkan data mentah dari paket yang dipilih dalam tampilan heksadesimal. hex dump berisi 16 heksadesimal byte dan 16 byte ASCII di samping data offset. Anda dapat memilih untuk menampilkan data ini dalam format bit dibandingkan dengan heksadesimal dengan mengklik kanan di manapun di dalam panel dan memilih opsi yang sesuai dari menu konteks.

Informasi rahasia pada pcap

Informasi rahasia yang dapat dibaca pada pcap (Hint: Terdapat username dan password pada salah satu entry.

untuk mencari data yang user masukkan pada log jaringan dengan protokol HTTP yaitu

menggunakan perintah pada filter : http.request.method == “POST”

Perintah diatas menandakan bahwa kita ingin melihat log jaringan yang berada di protokol HTTP, “POST” berarti terjadi hubungan antar jaringan dan data yang user input

IP yang mengirim packet : 192.168.0.178

IP yang di tuju : 192.168.0.102

Protkol : HTTP (dengan content yang menandakan bahwa alamat tujuan adalah Aplikasi)

URL : http://192.168.0.102/2C75B020276B8CC6EBF8B6A8CD3DDC0D/index.php

User masuk menggunakan perangkat :

Mozzila/5.0

Device : Macintosh; intel Mac OS x 10_13_6

Data yang tertampil yaitu berupa Username dan Password

uname : rocky

password : Melory66!