Sniffer paket Tcpdump-mata dan telinga anda di jaringan
Cara Kerja Tcpdump
1. Menjalankan tcpdump
2. Memilih paket yang anda minati
3. Masalah-masalah umum pada tcpdump
Tcpdump adalah paket sniffer. dapat digunakan untuk melihat paket pada jaringan dalam detail real time dan cetak dalam format yang anda minati.
Tcpdump adalah alat fundamental untuk mendiagnosis masalah atau hanya untuk memahami bagaimana jaringan anda beroperasi.
Menjalankan Tcpdump Anda harus menjadi user dengan hak istimewa untuk menjalankan tcpdump (karena ia melihat traffic jaringan orang lain)
Mulai program dengan command windows pada windows. gunakan opsi "-n". perlu diingat jangan abaikan opsi tersebut karena tcpdump mungkin muncul dalam keadaan hang selama satu atau dua menit. misal : c: \>tcpdump -n [enter]
untuk menterminasi atau membatalkan proses, mungkin terjadi hang atau lupa memberi opsi "-n" anda tinggal tekan kombinasi Ctrl+C (membatalkan perintah)
Contoh hasil keluaran paket seperti tampil dibawah ini :
Penjelasan dari macam paket yang didapat :
- Baris tipikal biasanya dimulai dari waktu hari : 22:33:38
- Alamat ip sumber : 127.0.0.1
- Port sumber : 2005
pemisah antara alamat ip sumber dengan alamat ip tujuan di tandai dengan " > "
- Alamat ip tujuan : 68.142.233.168 (salah kopi neh... ip ini ada diatasnya lagi)
- port tujuan :443
Kesimpulan :
Tipe traffic TCP/IP yang berbeda-beda di kirim ke port yang berbeda-beda pada sebuah host.
contoh : koneksi ke web server, anda harus koneksi ke port 80 pada mesin
koneksi ke email server, anda menggunakan port 25
Jadi port2 tersebut terpakai sesuai dengan isi paket yang dikirim dan menentukan tipe traffic yang ada pada paket
beberapa opsi yang dapat di gunakan adalah "-n", "-t", "-v"
c:\>tcpdump -n (mencetak semua alamat host sebagai IP number)
c:\>tcpdump -t (menghilangkan detail waktu)
c:\>tcpdump -n (menampilkan lebih banyak informasi pada paket)
c:\>tcpdump -e (Print ethernet addresses as well as IP addresses)
Kalo anda ingin tahu hasilnya seperti apa, silahkan anda coba sendiri dan pelajari.
Jadi, opsi-opsi diatas penggunaannya bisa digabung jadi satu seperti :
c:\>tcpdump -n -t -e
Pembahasan Selanjutnya adalah : Memilih paket yang anda minati
1. Paket berdasarkan alamat host
contoh : tcpdump -n host 192.168.100.150.5 (host)
tcpdump -n src 192.168.100.150.5 (src)
tcpdump -n dst 192.168.100.150.5 (dst)
Silahkan anda praktekkan sendiri apa yang terjadi jika perintah itu di gunakan.
2. Paket berdasarkan tipe traffic
contoh : tcpdump -n port 80
tcpdump -n port 25
anda juga dapat menggunakan prefiks src atau dst di depan port, misalnya :
tcpdump -n dst port 80
tcpdump -n src port 80
anda juga dapat menggabungkan kriteria pilihan agar pilihan anda lebih cermat :
kriteria pilihan tersebut adalah "...and...", "...or...", "not ...."
Masalah-masalah umum pada Tcpdump
1. Tcpdump tidak mencetak apapun
lupa menentukan opsi "-n" terutama pada jaringan uji coba yang tidak memiliki DNS. sehingga butuh waktu 1 sampai 2 menit
Jika menggunakan switch bukan hub tidak dapat melihat traffic dari mesin lainnya gunakan ping untuk melihat apakah jaringan anda terhubung apa tidak.
2. Anda tidak dapat melihat isi paket anda
anda masukkan opsi "-v" atau "-vv" atau lebih banyak -v untuk mendapatkan lebih banyak detil.
3. Paket sama sekali tidak berisi informasi yang diperlukan (masih cape..belum sempat ngisi)
4. Output banyak berisi banyak pesan "SMB" dan "NBT"
5. Paket dihentikan (hilang)
6. tcpdump socket:operasi tidak diperbolehkan
7. tcpdump : error atau masalah menentukan ekspresi filter.
