Cara Membaca WIRESHARK (Network Protocol Analyzer)

Wireshark adalah salah satu dari sekian banyak tool Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya. Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.
Seperti namanya, Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Karenanya tak jarang tool ini juga dapat dipakai untuk sniffing(memperoleh informasi penting spt password email atau account lain) dengan menangkap paket-paket yang berseliweran di dalam jaringan dan menganalisanya.
Untuk menggunakan tool ini pun cukup mudah. Kita cukup memasukkan perintah untuk mendapatkan informasi yang ingin kita capture (yang ingin diperoleh) dari jaringan kita.
Wireshark dapat diunduh di http://www.wireshark.org/download.html dengan beberapa pilihan versi dan OS yang kompatibel.

Wireshark adalah sniffer (pengendus :P) yang hanya menangkap semua paket informasi yang ada dalam suatu jaringan. Banyaknya jenis paket informasi yang berada dalam jaringan menyebabkan cara membaca Wireshark cukup sulit. Disini akan dijelaskan beberapa paket yang perlu untuk diketahui dalam audit jaringan.

• ARP (Address Resolution Protocol) adalah protokol yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address).

• TCP (Transmission Control Protocol) adalah protokol yang berada di lapisan transport (baik itu dalam tujuh lapis model referensi OSI atau model DARPA) yang berorientasi sambungan (connection-oriented) dan dapat diandalkan (reliable). Hampir semua koneksi TCP digunakan untuk koneksi di dalam suatu jaringan/internet.

• HTTP adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang disebut dengan dokumen hiperteks, yang kemudian membentuk World Wide Web. Singkat kata protokol inilah yang digunakan browser untuk membuka halaman suatu website

Netbios Name Service (NBNS) adalah protokol Netbios yang digunakan oleh aplikasi di OS Windows untuk digunakan pada protokol TCP/IP, sehingga ketika OS Windows tersebut melakukan koneksi internet maka akan kelihatan di Wireshark.

Yahoo Messenger Protokol (YMSG) adalah protokol yang digunakan oleh aplikasi yahoo messenger untuk terhubung dengan server yahoo.

• Untuk lebih lengkapnya lagi dapat dipelajari di http://wiki.wireshark.org/

Prosedur penggunaan Wireshark adalah sebagai berikut :

*klik pada gambar untuk memperbesar

1. Jalankan Wireshark.

2. Untuk melakukan capture dengan memilih pilihan yang tersedia, pilih menu Capture –> Option akan tampil jendela semacam ini:
wireshark-1

Pastikan ada tanda centang  pada kolom Capture packets in promiscous mode. Hal ini agar Wireshark dapat menangkap semua paket yang lewat kartu jaringan (ethernet) sehingga didapatkan hasil yang menyeluruh.

Sedangkan pada kolom Capture Filter digunakan untuk menentukan apa saja yang akan ditangkap oleh Wireshark sehingga tidak semua paket ditangkap oleh Wireshark yang tentunya memudahkan untuk dianalisa dan ukuran hasil capture menjadi kecil.
wireshark-2

Untuk highlight ketiga pilihan “Hide Capture Info Dialog” dinonaktifkan, ketika kita memulai capture, Wireshark akan menampilkan jendela tambahan yang memberikan statistik persentase protokol yang ter-capture sebagai berikut:
wireshark-3

Highlight keempat memberikan pilihan bahwa Wireshark akan menerjemahakan alamat jaringan dalam PDU (Protocol Data Unit) menjadi nama. Mengaktifkan pilihan ini akan menambah PDU ekstra ke dalam data yang ter-capture.

Jika sudah siap klik Start pada highlight kelima.

Jendela Wireshark terdiri atas tiga bagian, seperti ditunjukkan pada screenshot berikut:
wireshark-4

Packet List Pane menampilkan ringkasan dari paket-paket yang tertangkap oleh Wireshark. Memilih salah satu paket yang tampil pada bagian ini akan memperlihatkan detail dari paket tersebut pada dua panel di bawahnya.

Packet Detail Pane menampilkan detail dari paket yang dipiliha pada Packet List Pane.

Packet Byte Pane menunjukkan isi data dari sebuah paket dalam heksadesimal serta menunjukkan detail dari field yang dipilih pada Packet Detail Pane.

Setelah Wireshark dijalankan dapat langsung dilakukan pemilahan paket seperti yang telah disebutkan sebelumnya, yaitu:

a. ARP
wireshark-5

Pada tab Info dapat dilihat bahwa selalu ada kata “Who has ….. Tell ……” yang berarti Who adalah IP sebuah komputer sedangkan Tell adalah Gateway-nya.
Yang perlu diperhatikan adalah jika ada komputer yang bertindak sebagai gateway secara terus menerus, hal ini bisa berarti komputer tersebut melakukan ARP Poisoning.
Cek gateway komputer dan seharusnya hanya IP gateway tersebut yang keluar (walaupun dalam beberapa kasus hal ini terjadi).
wireshark-6

b. TCP
wireshark-7

Karena koneksi internet kebanyakan menggunakan protokol TCP maka hasilnya akan banyak paket TCP yang berhasil ditangkap. Untuk meng-analisa paket-paket tersebut gunakan fitur “Follow TCP Stream”.
Setelah fitur tersebut dijalankan maka akan muncul tabel seperti berikut:
wireshark-8

Pada gambar diatas diketahui bahwa komputer tersebut sedang membuka Facebook dengan menggunakan HTTP Request Message “POST” yang berarti sedang memberikan suatu paket ke server Facebook.
Pada highlight kedua diketahui bahwa halaman Facebook telah diarahkan ke halaman Home. Hal ini berarti user pada komputer tersebut telah memasukkan username dan password. Tetapi dalam hasil diatas data dalam keadaan ter-enkripsi (kemungkinan menggunakan HTTPS).

c. HTTP

Protokol HTTP adalah implementasi dari TCP, sehingga dapat juga dilakukan fitur “Follow TCP Stream”.
wireshark-9

Pada gambar diatas menunjukkan bahwa komputer tersebut sedang terhubung dengan http://www.kaskus.us. Didapatkan juga cookie yang menyimpan username dan password tetapi dalam keadaan ter-enkripsi.

d. Netbios Name Service (NBNS)

Protokol yang digunakan oleh web browser untuk mengakses internet dari Name Service yang disediakan oleh DNS (Domain Name Service) server. Masukkan kata NBNS pada kolom filter kemudian “Apply”
wireshark-10

Pada gambar diatas dapat dilihat IP address mana saja yang melakukan akses internet dan tujuan aksesnya.

e. Yahoo Messenger (YMSG)

Protokol yang digunakan oleh Chat klien paling banyak digunakan ini adalah YMSG dengan port default 5050. Tetapi ketika dicoba dengan mem-filter Wireshark pada YMSG kemudian dilakukan “Follow TCP Stream” hanya didapatkan data koneksi antara Yahoo Messenger dengan komputer yang ter-enkripsi.
Kemudian dilakukan analisis lebih lanjut dimanakah letak port yang melakukan percakapan pada YM.
wireshark-11

Pada gambar diatas diketahui bahwa protokol YMSG menggunakan port 5050 dengan keadaan established. Kemudian dilakukan footprinting pada IP yy.yy.yy.yy:23 dan xx.xx.xx.xx:5050, hasilnya adalah keduanya merupakan server Yahoo. Dari sini kemudian dilakukan fitur “Follow TCP Stream” untuk kedua IP tersebut.
wireshark-12

Dari gambar diatas didapatkan bahwa terdapat komunikasi antara user X dengan Y yang berisi “nokia e75 ama huawei yg lu bilang itu…bagusan mana?”
Selain itu terdapat komunikasi antara user X dengan Z yang berisi “yg .. ituw emang setting dari …. nya tah gituw pakde?”
wireshark-13

Dari gambar diatas juga didapatkan sejumlah kontak teman-teman yang dimiliki oleh user X. Dapat disimpulkan bahwa untuk mendapatkan username dan password akun Yahoo cukup susah tetapi untuk mendapatkan data (percakapan, kontak dan status) yang keluar masuk masih cukup mudah. Mungkin karena untuk memasukkan username dan password, Yahoo menggunakan SSL atau menggunakan port lain.

Selamat Mencoba dan semoga bermanfaat yang baik

iKONs

*Notes:
Sebagian konten dihapuskan demi menjaga privasi