Di dunia administrasi jaringan, kemampuan membaca packet capture adalah salah satu skill yang membedakan teknisi biasa dengan profesional jaringan yang andal. Ketika koneksi lambat, website tidak bisa diakses, DNS bermasalah, atau muncul dugaan serangan jaringan, Wireshark menjadi alat utama yang digunakan untuk menemukan akar masalah.
Sayangnya, banyak pemula merasa Wireshark terlihat rumit karena menampilkan ribuan paket dalam waktu singkat. Padahal, dengan memahami beberapa teknik dasar, Anda dapat melakukan troubleshooting jaringan secara cepat dan akurat seperti yang dilakukan para network engineer di industri maupun peserta kompetisi IT Network System Administration.
Pada artikel ini, kita akan membahas cara membaca packet capture menggunakan Wireshark mulai dari filter, analisis TCP handshake, identifikasi DNS yang gagal, deteksi ARP poisoning, hingga membuat laporan hasil analisis.
Apa Itu Wireshark?
Wireshark adalah aplikasi packet analyzer yang digunakan untuk menangkap dan menganalisis lalu lintas jaringan secara real-time.
Dengan Wireshark, administrator dapat melihat:
- Paket yang masuk dan keluar
- Protokol yang digunakan
- Alamat IP sumber dan tujuan
- Permintaan DNS
- Aktivitas TCP dan UDP
- Potensi gangguan atau serangan jaringan
Wireshark banyak digunakan oleh:
- Network Administrator
- System Administrator
- Cyber Security Analyst
- Penyelenggara Kompetisi IT
- Mahasiswa dan Pelajar TKJ/TJKT
Mengapa Skill Analisis Packet Capture Sangat Penting?
Dalam dunia kerja, troubleshooting jaringan sering kali tidak cukup dilakukan dengan ping atau traceroute saja.
Banyak masalah hanya dapat ditemukan melalui analisis paket jaringan, seperti:
- DNS tidak merespons
- Koneksi TCP gagal
- Website lambat
- Broadcast berlebihan
- Konflik IP
- Serangan ARP Spoofing
- Kesalahan konfigurasi firewall
Kemampuan membaca packet capture menjadi nilai tambah yang sangat dicari perusahaan.
Capture Filter vs Display Filter
Salah satu kesalahan paling umum pemula adalah menganggap Capture Filter dan Display Filter sama.
Padahal keduanya memiliki fungsi berbeda.
Capture Filter
Capture Filter digunakan sebelum proses perekaman paket dilakukan.
Tujuannya adalah membatasi paket yang direkam sehingga file capture lebih kecil dan fokus.
Contoh:
Hanya menangkap trafik HTTP
port 80
Hanya menangkap trafik dari satu IP
host 192.168.1.10
Menangkap trafik DNS
port 53
Keuntungan Capture Filter:
- File lebih kecil
- Mengurangi beban sistem
- Analisis lebih cepat
Display Filter
Display Filter digunakan setelah paket berhasil direkam.
Filter ini hanya menyembunyikan paket yang tidak relevan.
Contoh:
Menampilkan DNS saja
dns
Menampilkan HTTP saja
http
Menampilkan paket TCP
tcp
Menampilkan paket dari IP tertentu
ip.addr == 192.168.1.10
Menampilkan paket error
tcp.analysis.flags
Keuntungan Display Filter:
- Fleksibel
- Tidak perlu melakukan capture ulang
- Cocok untuk analisis mendalam
Analisis TCP Three-Way Handshake
TCP menggunakan mekanisme Three-Way Handshake untuk membangun koneksi.
Prosesnya terdiri dari tiga tahap.
1. SYN
Client mengirim permintaan koneksi.
Client โ Server : SYN
2. SYN ACK
Server menerima dan menyetujui koneksi.
Server โ Client : SYN ACK
3. ACK
Client mengonfirmasi koneksi.
Client โ Server : ACK
Cara Melihat TCP Handshake di Wireshark
Gunakan filter:
tcp.flags.syn == 1
Atau:
tcp.stream eq 0
Kemudian cari urutan:
SYN
SYN, ACK
ACK
Jika urutan ini tidak lengkap, kemungkinan terdapat:
- Firewall memblokir koneksi
- Server tidak aktif
- Routing bermasalah
- Paket hilang (packet loss)
Identifikasi DNS Query yang Gagal
DNS merupakan layanan penting yang menerjemahkan nama domain menjadi alamat IP.
Ketika DNS gagal, pengguna akan menganggap internet bermasalah padahal koneksi sebenarnya masih aktif.
Filter DNS
Gunakan:
dns
atau
udp.port == 53
Ciri DNS Berjalan Normal
Contoh:
Query: google.com
Response: 142.250.x.x
Artinya DNS berhasil menerjemahkan domain.
Ciri DNS Gagal
Beberapa tanda yang sering ditemukan:
No Response
Hanya ada Query tanpa Response.
Penyebab:
- DNS Server mati
- Firewall memblokir port 53
- Routing error
NXDOMAIN
Response: NXDOMAIN
Artinya domain tidak ditemukan.
SERVFAIL
Response: SERVFAIL
Menunjukkan DNS server mengalami kegagalan internal.
Cara Mendeteksi ARP Poisoning
ARP Poisoning adalah teknik serangan yang digunakan untuk melakukan Man In The Middle (MITM).
Penyerang mengirimkan ARP Reply palsu agar lalu lintas korban melewati perangkat penyerang.
Filter ARP
Gunakan:
arp
Tanda-Tanda ARP Poisoning
Banyak ARP Reply Tanpa Request
Normalnya:
Who has 192.168.1.1?
Tell 192.168.1.10
Jika tiba-tiba muncul banyak ARP Reply tanpa permintaan, patut dicurigai.
MAC Address Berubah-Ubah
Contoh:
192.168.1.1 โ AA:AA:AA
192.168.1.1 โ BB:BB:BB
IP yang sama memiliki MAC berbeda.
Ini merupakan indikasi kuat adanya ARP Spoofing.
Trafik ARP Sangat Tinggi
Gunakan menu:
Statistics โ Protocol Hierarchy
Jika persentase ARP tidak normal, lakukan investigasi lebih lanjut.
Fitur Penting Wireshark untuk Troubleshooting
Follow TCP Stream
Fitur ini memungkinkan melihat percakapan lengkap antara client dan server.
Cara mengakses:
Klik kanan paket
โ Follow
โ TCP Stream
Sangat berguna untuk:
- Analisis aplikasi web
- Troubleshooting API
- Investigasi komunikasi server
Expert Information
Menu:
Analyze
โ Expert Information
Menampilkan:
- Warning
- Error
- Retransmission
- Duplicate ACK
- Connection Reset
Fitur ini sangat membantu mempercepat analisis.
Statistics
Menu statistik dapat digunakan untuk melihat:
- Top Talkers
- Protocol Distribution
- Conversation Analysis
- Bandwidth Utilization
Cara Mengekspor Hasil Analisis untuk Laporan
Dalam lingkungan kerja maupun kompetisi, hasil analisis harus didokumentasikan.
Ekspor File Capture
File
โ Export Specified Packets
Format:
- PCAP
- PCAPNG
Ekspor Data ke CSV
File
โ Export Packet Dissections
Pilihan:
- CSV
- TXT
- JSON
Dokumentasikan Temuan
Minimal laporan berisi:
- Tujuan analisis
- Waktu capture
- Topologi jaringan
- Temuan utama
- Bukti screenshot
- Kesimpulan
- Rekomendasi perbaikan
Laporan yang baik memudahkan tim lain memahami hasil troubleshooting.
Tips Menjadi Ahli Analisis Packet Capture
Kuasai Protokol Dasar
Pelajari:
- TCP/IP
- UDP
- DNS
- DHCP
- HTTP/HTTPS
- ARP
- ICMP
Gunakan Filter Sesering Mungkin
Semakin banyak paket yang muncul, semakin sulit analisis dilakukan tanpa filter.
Simpan Capture Bermasalah
Buat koleksi kasus nyata sebagai bahan belajar.
Latihan dengan Simulasi
Cobalah membuat skenario:
- DNS Error
- Gateway Mati
- Routing Salah
- ARP Spoofing
- TCP Retransmission
Semakin sering berlatih, semakin cepat menemukan pola masalah.
Kesimpulan
Wireshark merupakan alat yang sangat powerful untuk troubleshooting jaringan. Dengan memahami perbedaan Capture Filter dan Display Filter, menganalisis TCP Three-Way Handshake, mengidentifikasi DNS Query yang gagal, mendeteksi ARP Poisoning, serta membuat laporan yang profesional, Anda dapat meningkatkan kemampuan troubleshooting ke level yang lebih tinggi.
Skill membaca packet capture tidak hanya berguna saat mengikuti kompetisi IT Network System Administration, tetapi juga menjadi kompetensi penting yang digunakan setiap hari oleh Network Engineer, System Administrator, dan Cyber Security Professional.
“Jaringan tidak pernah berbohong. Semua jawabannya ada di dalam paket yang lewat.”
FAQ SEO
1. Apa fungsi utama Wireshark?
Wireshark digunakan untuk menangkap dan menganalisis paket jaringan guna membantu proses troubleshooting dan investigasi jaringan.
2. Apa perbedaan Capture Filter dan Display Filter?
Capture Filter membatasi paket yang direkam, sedangkan Display Filter hanya menyaring tampilan paket setelah proses capture selesai.
3. Bagaimana cara melihat DNS yang gagal di Wireshark?
Gunakan filter dns lalu cari status seperti NXDOMAIN, SERVFAIL, atau query tanpa response.
4. Bagaimana cara mendeteksi ARP Spoofing?
Perhatikan adanya ARP Reply berlebihan, perubahan MAC Address untuk IP yang sama, dan lonjakan trafik ARP.
5. Apakah Wireshark digunakan di industri?
Ya. Wireshark merupakan salah satu tools standar yang digunakan Network Engineer, System Administrator, dan Security Analyst di berbagai industri.
Apakah Anda pernah menggunakan Wireshark untuk menemukan masalah jaringan yang sulit dideteksi? Bagikan pengalaman Anda di kolom komentar.
Jika artikel ini bermanfaat, jangan lupa untuk membagikannya kepada rekan IT, siswa TKJ/TJKT, maupun administrator jaringan lainnya. Subscribe website ini untuk mendapatkan tutorial jaringan, Linux server, cyber security, dan administrasi sistem terbaru. Anda juga dapat membaca artikel terkait lainnya untuk meningkatkan keterampilan troubleshooting dan manajemen infrastruktur jaringan.
