Wireshark

sumber https://lms.onnocenter.or.id/wiki/index.php/Wireshark

Filter TCP/IP Packet
Capture SQL Traffic

Filter TCP/IP Packet

Port Filter

Mem-filter packet kita perlu menset beberapa parameter. Misalnya, kita ingin menampilkan hanya traffic ke port 8080,

tcp.port == 8080

Misalnya, kita ingin melihat hanya packet yang menuju port 8080,

tcp.destport = 8080

Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080,

tcp.srcport = 8080

Bisa kita buat misalnya,

tcp.port == 8080

yang artinya sama dengan

tcp.srcport == 8080 || tcp.dstport == 8080

IP address Filter

Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja,

ip.src == 80.80.80.80

Atau IP address tujuan tertentu saja,

ip.dst == 80.80.80.80

atau jika kita tidak peduli arah yag dituju,

ip.addr == 80.80.80.80

Filter Data Tertentu

Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter,

tcp.len > 0

Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu,

data[0] == A0

Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja,

frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00'

Kombinasi Filter

Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya,

tcp.destport == 8080 &&
frame.time >= 'Feb 1, 2011 11:00:00' &&
frame.time < 'Feb 1, 2011 11:05:00' &&
ip.src == 80.80.80.80 &&
tcp.len > 0 &&
data[0] == A0

Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut.

Capture SQL Traffic

Kadang kala kita perlu menangkap komunikasi antara server Web dengan database server. Melalui wireshark kita data memfilter

Capture Options (ctrl-K).

Untuk mem-filter komunikasi ke SQL server, kita butuh informasi

host <sql-server-ip>
port <sql-server-port>

Filter yang diberikan dapat menggunakan format,

ip.addr == <sql-server-ip> && tcp.port == <sql-server-port>

Biasanya SQL Server port adalah 1433

Wetofu