Pengantar
Pemfilteran memungkinkan Anda untuk fokus pada kumpulan data yang tepat yang ingin Anda baca. Seperti yang Anda lihat, Wireshark mengumpulkan semuanya secara default. Itu bisa menghalangi data spesifik yang Anda cari. Wireshark menyediakan dua alat pemfilteran yang andal untuk menjadikan penargetan data tepat yang Anda butuhkan menjadi sederhana dan mudah.
Ada dua cara Wireshark dapat memfilter paket. Itu dapat menyaring hanya mengumpulkan paket-paket tertentu, atau hasil paket dapat disaring setelah dikumpulkan. Tentu saja, ini dapat digunakan bersama satu sama lain, dan kegunaannya masing-masing bergantung pada yang mana dan berapa banyak data yang dikumpulkan.
Ekspresi Boolean dan Operator Perbandingan
Wireshark memiliki banyak filter bawaan yang bekerja dengan sangat baik. Mulailah mengetik di salah satu bidang filter, dan Anda akan melihatnya melengkapi otomatis. Sebagian besar sesuai dengan perbedaan yang lebih umum yang akan dibuat pengguna di antara paket. Memfilter hanya permintaan HTTP akan menjadi contoh yang baik.
Untuk yang lainnya, Wireshark menggunakan ekspresi Boolean dan/atau operator perbandingan. Jika Anda pernah melakukan pemrograman apa pun, Anda harus terbiasa dengan ekspresi Boolean. Mereka adalah ekspresi yang menggunakan "dan," "atau," dan "tidak" untuk memverifikasi kebenaran pernyataan atau ekspresi. Operator perbandingan jauh lebih sederhana. Mereka hanya menentukan apakah dua atau lebih hal sama, lebih besar, atau lebih kecil dari satu sama lain.
Memfilter Tangkapan
Sebelum masuk ke filter pengambilan khusus, lihat filter yang sudah ada di Wireshark. Klik tab "Tangkap" di menu atas, dan buka "Opsi." Di bawah antarmuka yang tersedia adalah baris di mana Anda dapat menulis filter pengambilan Anda. Tepat di sebelah kirinya adalah tombol berlabel "Capture Filter." Klik di atasnya, dan Anda akan melihat kotak dialog baru dengan daftar filter pengambilan yang dibuat sebelumnya. Lihat sekeliling dan lihat apa yang ada di sana.
Di bagian bawah kotak itu, ada formulir kecil untuk membuat dan menyimpan filter tangkapan. Tekan tombol "Baru" di sebelah kiri. Ini akan membuat filter tangkapan baru yang diisi dengan data pengisi. Untuk menyimpan filter baru, cukup ganti pengisi dengan nama dan ekspresi sebenarnya yang Anda inginkan dan klik "Ok." Filter akan disimpan dan diterapkan. Dengan menggunakan alat ini, Anda dapat menulis dan menyimpan beberapa filter berbeda dan menyiapkannya untuk digunakan lagi di masa mendatang.
Capture memiliki sintaks sendiri untuk pemfilteran. Sebagai perbandingan, ia menghilangkan dan sama dengan simbol dan menggunakan > dan < untuk lebih besar dan lebih kecil dari. Untuk Boolean, itu bergantung pada kata "dan," "atau," dan "tidak."
Jika, misalnya, Anda hanya ingin mendengarkan lalu lintas pada port 80, Anda dapat menggunakan dan ekspresi seperti ini:port 80 . Jika Anda hanya ingin mendengarkan pada port 80 dari IP tertentu, Anda dapat menambahkannya. port 80 and host 192.168.1.20
Seperti yang Anda lihat, filter tangkap memiliki kata kunci tertentu. Kata kunci ini digunakan untuk memberi tahu Wireshark cara memantau paket dan mana yang harus dilihat. Misalnya, host digunakan untuk melihat semua lalu lintas dari sebuah IP. src digunakan untuk melihat lalu lintas yang berasal dari IP tersebut. dst sebaliknya, hanya melihat lalu lintas masuk ke IP. Untuk melihat lalu lintas pada sekumpulan IP atau jaringan, gunakan net .
Hasil Pemfilteran
Bilah menu bawah pada tata letak Anda adalah yang didedikasikan untuk memfilter hasil. Filter ini tidak mengubah data yang telah dikumpulkan Wireshark, hanya memungkinkan Anda untuk menyortirnya dengan lebih mudah. Ada bidang teks untuk memasukkan ekspresi filter baru dengan panah tarik-turun untuk meninjau filter yang dimasukkan sebelumnya. Di sebelahnya ada tombol bertanda “Ekspresi” dan beberapa tombol lainnya untuk menghapus dan menyimpan ekspresi Anda saat ini.
Klik pada tombol "Ekspresi". Anda akan melihat jendela kecil dengan beberapa kotak dengan opsi di dalamnya. Di sebelah kiri adalah kotak terbesar dengan daftar item yang sangat banyak, masing-masing dengan sub-daftar tambahan yang diciutkan. Ini semua adalah protokol, bidang, dan informasi berbeda yang dapat Anda filter. Tidak ada cara untuk melewati semua itu, jadi hal terbaik yang harus dilakukan adalah melihat-lihat. Anda akan melihat beberapa opsi yang sudah dikenal seperti HTTP, SSL, dan TCP.
Sub-daftar berisi berbagai bagian dan metode yang dapat Anda filter. Di sinilah Anda akan menemukan metode untuk memfilter permintaan HTTP dengan GET dan POST.
Anda juga dapat melihat daftar operator di kotak tengah. Dengan memilih item dari setiap kolom, Anda dapat menggunakan jendela ini untuk membuat filter tanpa harus mengingat setiap item yang dapat difilter oleh Wireshark.
Untuk memfilter hasil, operator perbandingan menggunakan kumpulan simbol tertentu. == menentukan apakah dua hal adalah sama. > menentukan apakah satu hal lebih besar dari yang lain, < menemukan jika ada sesuatu yang kurang. >= dan < adalah untuk lebih besar dari atau sama dengan dan kurang dari atau sama dengan masing-masing. Mereka dapat digunakan untuk menentukan apakah paket berisi nilai yang tepat atau filter berdasarkan ukuran. Contoh penggunaan == untuk memfilter hanya permintaan HTTP GET seperti ini:http.request.method == "GET" .
Operator Boolean dapat menggabungkan ekspresi yang lebih kecil untuk dievaluasi berdasarkan beberapa kondisi. Alih-alih kata-kata seperti dengan menangkap, mereka menggunakan tiga simbol dasar untuk melakukan ini. && singkatan dari "dan." Saat digunakan, kedua pernyataan di kedua sisi && harus benar agar Wireshark dapat memfilter paket tersebut. || berarti "atau." Dengan || selama salah satu ekspresi itu benar, itu akan difilter. Jika Anda mencari semua permintaan GET dan POST, Anda dapat menggunakan || seperti ini:(http.request.method == "GET") || (http.request.method == "POST") . ! adalah operator "tidak". Ini akan mencari segalanya kecuali hal yang ditentukan. Misalnya, !http akan memberi Anda segalanya kecuali permintaan HTTP.
Pemikiran Penutup
Memfilter Wireshark benar-benar memungkinkan Anda memantau lalu lintas jaringan secara efisien. Perlu beberapa waktu untuk membiasakan diri Anda dengan opsi yang tersedia dan menjadi terbiasa dengan ekspresi canggih yang dapat Anda buat dengan filter. Namun, begitu melakukannya, Anda akan dapat dengan cepat mengumpulkan dan menemukan data jaringan yang Anda cari dengan tepat tanpa harus menyisir daftar paket yang panjang atau melakukan banyak pekerjaan.