Open in app

Sign in

Write

Sign in

Menganalisa Paket Jaringan Menggunakan TCPDump

Engineer Palsu
4 min readOct 27, 2023

--

TCPDump adalah sebuah utilitas perangkat lunak yang digunakan untuk menangkap dan menganalisis lalu lintas jaringan pada komputer atau server. Ini adalah alat yang sering digunakan oleh administrator jaringan, pengembang perangkat lunak, dan profesional keamanan siber untuk memantau dan menganalisis komunikasi jaringan.

https://images.pexels.com/photos/355428/pexels-photo-355428.jpeg

Berikut adalah beberapa poin penting untuk memahami tentang TCPDump:

  1. Penangkapan Paket: TCPDump dapat menangkap paket data yang melewati antarmuka jaringan yang ditentukan pada komputer. Ini mencakup semua jenis data yang melewati antarmuka, termasuk paket TCP, UDP, ICMP, HTTP, dan berbagai protokol jaringan lainnya.
  2. Menganalisis Paket: Selain hanya menangkap data, TCPDump juga memungkinkan pengguna untuk menganalisis paket tersebut. Anda dapat melihat header paket, isi data, alamat sumber, alamat tujuan, port yang digunakan, dan banyak informasi lainnya.
  3. Filtering: TCPDump memungkinkan Anda untuk memfilter paket yang ingin Anda tangkap berdasarkan kriteria tertentu. Anda dapat melakukan filter berdasarkan alamat IP, port, protokol, dan banyak lagi. Ini memungkinkan Anda untuk fokus pada paket-paket tertentu yang relevan untuk tujuan Anda.
  4. Timestamping: TCPDump memberikan timestamp untuk setiap paket yang ditangkap. Ini membantu dalam memahami urutan peristiwa dalam lalu lintas jaringan.
  5. Pemecahan Masalah: TCPDump adalah alat yang sangat berguna dalam pemecahan masalah jaringan. Ketika terjadi masalah koneksi jaringan, Anda dapat menggunakan TCPDump untuk melihat apa yang sebenarnya terjadi dalam lalu lintas jaringan dan mengidentifikasi akar masalahnya.
  6. Keamanan: Profesional keamanan siber sering menggunakan TCPDump untuk mendeteksi aktivitas mencurigakan dalam jaringan. Ini dapat membantu dalam mendeteksi serangan DDoS, port scanning, dan serangan jaringan lainnya.
  7. Kompatibilitas: TCPDump tersedia di berbagai sistem operasi, termasuk Linux, Unix, dan macOS.

Penting untuk diingat bahwa TCPDump adalah alat baris perintah, yang berarti Anda menggunakannya melalui Terminal atau Command Prompt. Anda perlu memahami sintaksis perintahnya serta protokol jaringan untuk menggunakan TCPDump dengan efektif. Dengan alat ini, Anda dapat menggali lebih dalam ke dalam lalu lintas jaringan dan mendapatkan wawasan yang berharga tentang bagaimana data dikirim dan diterima melalui jaringan.

Instalasi dan Persiapan

Anda dapat menginstal TCPDump di macOS dengan langkah berikut:

brew install tcpdump

Untuk mengecek versi tcpdump.

tcpdump --version
tcpdump version 4.99.1 -- Apple version 133
libpcap version 1.10.1
LibreSSL 3.3.6

Sebelum menggunakan tcpdump, sebaiknya Anda mengetahui terlebih dahulu interface adapter jaringan yang digunakan pada perangkat Anda beserta IP address yang digunakan. Perintah yang digunakan adalah sebagai berikut:

networksetup -listallhardwareports
Hardware Port: Wi-Fi
Device: en0
Ethernet Address: 68:2f:67:91:4f:53

VLAN Configurations
===================
networksetup -getinfo  Wi-Fi
DHCP Configuration
IP address: 192.168.0.129
Subnet mask: 255.255.255.0
Router: 192.168.0.1
Client ID:
IPv6: Automatic
IPv6 IP address: none
IPv6 Router: none
Wi-Fi ID: 68:2f:67:91:4f:53

Disini terlihat interface yang digunakan adalah en0(Wi-Fi) dengan IP address 192.168.0.129.

Perintah yang biasa digunakan

Berikut adalah beberapa perintah TCPDump yang sering digunakan:

  1. Menangkap lalu lintas jaringan pada antarmuka tertentu:
tcpdump -i <interface>

Dengan <interface> adalah nama antarmuka jaringan yang ingin Anda monitor.

2. Menyimpan hasil tangkapan ke dalam file PCAP:

tcpdump -i <interface> -w <output_file.pcap>

Dengan opsi -w, hasil tangkapan dapat disimpan ke dalam file PCAP untuk analisis selanjutnya.

3. Menampilkan data paket dalam format ASCII:

tcpdump -A -i <interface>

Opsi -A digunakan untuk menampilkan isi paket dalam format teks ASCII.

4. Menggunakan filter berdasarkan alamat IP atau jaringan:

tcpdump -i <interface> host <ip_address>

Dengan <ip_address> adalah alamat IP yang ingin Anda saring.

5. Menampilkan header paket dengan timestamp:

tcpdump -tttt -i <interface>

Opsi -tttt menampilkan header paket dengan timestamp yang lebih rinci.

6. Menggunakan filter ekspresi BPF (Berkeley Packet Filter):

tcpdump -i <interface> <filter_expression>

Filter ekspresi BPF memungkinkan Anda untuk menyaring lalu lintas berdasarkan protokol, alamat IP, dan kriteria lainnya.

Contoh Penggunaan

Jalankan tcpdump pada interface adapter en0.

tcpdump -i en0

tcpdump akan menampilkan hasil dari lalu lintas jaringan yang ada pada perangkan yang Anda gunakan. Contoh, misalkan Anda melakukan ping terhadap google.com.

22:22:17.597552 IP 192.168.0.129 > sh-in-f102.1e100.net: ICMP echo request, id 6977, seq 1, length 64
22:22:17.643774 IP sh-in-f102.1e100.net > 192.168.0.129: ICMP echo reply, id 6977, seq 1, length 64
22:22:18.600826 IP 192.168.0.129 > sh-in-f102.1e100.net: ICMP echo request, id 6977, seq 2, length 64
22:22:18.649778 IP sh-in-f102.1e100.net > 192.168.0.129: ICMP echo reply, id 6977, seq 2, length 64
22:22:19.603185 IP 192.168.0.129 > sh-in-f102.1e100.net: ICMP echo request, id 6977, seq 3, length 64
22:22:19.661155 IP sh-in-f102.1e100.net > 192.168.0.129: ICMP echo reply, id 6977, seq 3, length 64

Tampilan diatas adalah keluaran dari tangkapan ICMP (Internet Control Message Protocol), yang umumnya digunakan untuk mengirim permintaan ping (echo request) dan menerima pong (echo reply) dalam rangka memeriksa konektivitas antara dua perangkat dalam jaringan. Berikut adalah penjelasan setiap baris:

A. 22:22:17.597552 IP 192.168.0.129 > sh-in-f102.1e100.net: ICMP echo request, id 6977, seq 1, length 64

  • 22:22:17.597552: Waktu saat paket ditangkap.
  • IP: Protokol yang digunakan, yaitu Internet Protocol.
  • 192.168.0.129: Alamat IP sumber, dalam hal ini, komputer dengan alamat IP 192.168.0.129.
  • sh-in-f102.1e100.net: Alamat IP tujuan, yaitu server dengan nama domain sh-in-f102.1e100.net.
  • ICMP echo request: Jenis pesan ICMP yang dikirim, dalam hal ini, pesan “echo request” (ping request).
  • id 6977: Identifier yang digunakan untuk mengidentifikasi koneksi ICMP.
  • seq 1: Nomor urutan paket ICMP dalam sesi koneksi.
  • length 64: Panjang paket dalam byte, dalam hal ini, 64 byte.

B. 22:22:17.643774 IP sh-in-f102.1e100.net > 192.168.0.129: ICMP echo reply, id 6977, seq 1, length 64

  • Ini adalah respons dari paket pertama. Ini adalah “echo reply” yang dikirim kembali dari server (sh-in-f102.1e100.net) ke komputer (192.168.0.129) sebagai tanggapan terhadap permintaan “echo request” sebelumnya.

TCPDump adalah alat yang sangat berguna untuk memahami dan mengawasi lalu lintas jaringan. Dengan perintah yang sesuai, Anda dapat mengungkap paket jaringan Anda, memecahkan masalah, dan menjaga keamanan jaringan Anda. Meskipun memiliki beberapa kekurangan, TCPDump tetap menjadi alat yang sangat kuat bagi mereka yang memahaminya dengan baik.

Linux
Cli
Networking
Network Analysis

--

--

Engineer Palsu
Engineer Palsu

Written by Engineer Palsu

34 Followers
35 Following

{{ engineer palsu }}

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams