analisa data wireshark

TujuanMelakukan analisa terhadap hasil capture aplikasi wireshark berdasarkan OSI model.

DefinisiWireshark adalah aplikasi penganalisa paket protokol jaringan buatan wireshark team developer (www.wireshark.org). Wireshark memiliki fitur membaca paket data dari beberapa interface seperti Ethernet, IEEE 802.11, ATM, Bluetooth, USB, token ring, Frame Relay. Proses pembacaan bisa dilakukan secara langsung (live) maupun berasal dari file hasil rekaman. Paket data yang dibaca bisa berasal dari berbagai macam protokol. Pada prinsipnya wireshark memanfaatkan pcap untuk menangkap paket. Pcap (packet capture) adalah API dalam suatu library yang biasa disebut libcap untuk menangkap network traffic. System berbasis windows menggunakan sebuah port libcap yang dikenal dengan nama WinPcap. WinPcap terdiri dari drivers yang menggunakan NDIS (Network Driver Interface Spesification) untuk membaca paket langsung dari network adapter. NDIS adalah API untuk network interface card. NDIS merupakan Logical Link Control (LLC) yaitu bagian dari Data Link layer (OSI layer 2) yang berperan sebagai interface antara layer 2 dengan layer 3 ( Network layer ). OSI (Open System Interconnection) model adalah sebuah model untuk arsitektural jaringan yang membagi system ke dalam 7 lapisan. OSI model bertujuan membentuk standar umum jaringan komputer untuk menunjang interoperatibilitas antar perangkat yang berbeda. Layer Nama Layer Keterangan

7

Berfungsi sebagai antarmuka dengan aplikasi dengan fungsionalitas jaringan, mengatur bagaimana aplikasi Application layer dapat mengakses jaringan, dan kemudian membuat pesan-pesan kesalahan. Protokol yang berada dalam lapisan ini adalah HTTP, FTP, SMTP, dan NFS.

6

Presentation layer

Berfungsi untuk mentranslasikan data yang hendak ditransmisikan oleh aplikasi ke dalam format yang dapat ditransmisikan melalui jaringan. Protokol yang berada dalam level ini adalah perangkat lunak redirektor (redirector software), seperti layanan Workstation (dalam Windows NT) dan juga Network shell (semacam Virtual

Network Computing (VNC) atau Remote Desktop Protocol (RDP)).

5

Session layer

Berfungsi untuk mendefinisikan bagaimana koneksi dapat dibuat, dipelihara, atau dihancurkan. Selain itu, di level ini juga dilakukan resolusi nama.

4

Berfungsi untuk memecah data ke dalam paket-paket data serta memberikan nomor urut ke paket-paket tersebut sehingga dapat disusun kembali pada sisi tujuan Transport layer setelah diterima. Selain itu, pada level ini juga membuat sebuah tanda bahwa paket diterima dengan sukses (acknowledgement), dan mentransmisikan ulang terhadp paket-paket yang hilang di tengah jalan.

3

Network layer

Berfungsi untuk mendefinisikan alamat-alamat IP, membuat header untuk paket-paket, dan kemudian melakukan routing melalui internetworking dengan menggunakan router dan switch layer-3.

2

Data-link layer

Befungsi untuk menentukan bagaimana bit-bit data dikelompokkan menjadi format yang disebut sebagai frame. Selain itu, pada level ini terjadi koreksi kesalahan, flow control, pengalamatan perangkat keras (seperti halnya Media Access Control Address (MAC Address)), dan menetukan bagaimana perangkat-perangkat jaringan seperti hub, bridge, repeater, dan switch layer 2 beroperasi. Spesifikasi IEEE 802, membagi level ini menjadi dua level anak, yaitu lapisan Logical Link Control (LLC) dan lapisan Media Access Control (MAC).

1

Physical layer

Berfungsi untuk mendefinisikan media transmisi jaringan, metode pensinyalan, sinkronisasi bit, arsitektur jaringan (seperti halnya Ethernet atau Token Ring), topologi jaringan dan pengabelan. Selain itu, level ini juga mendefinisikan bagaimana Network Interface Card (NIC) dapat berinteraksi dengan media kabel atau radio.

Ruang lingkupPada tugas ini kelompok kami akan menganalisa data capture aplikasi wireshark untuk beberapa contoh application layer seperti : HTTP, DNS, SSL, FTP, Voip, SNMP, SkypeIRC, SMTP, telnet dengan menggunakan wireshark versi 1.6.2 berbasis sistem operasi windows.

Hasil Data dan Analisa

1. HTTP (Hypertext Transfer Protocol) dan DNS Http adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang disebut dengan dokumen hiperteks. Http adalah protokol dalam lapisan aplikasi ( Application layer ) dari OSI model. Berikut ini adalah hasil capture data pada wireshark dengan menjalankan internet browser pada system operasi windows untuk membuka alamat url http://www.google.com. Paket yang dijalankan sebanyak 73 paket untuk berbagai macam jenis protokol. Kami akan analisa paket yang berasal dari protokol HTTP dalam bentuk request dan respon antara Client dan Server. Dari table 1 tampak bahwa Aplikasi HTTP mengatur request dan respon antara client dengan server. Request dengan metode GET, dan di respon dengan HTTP / 1.1 200 OK. Tampak seolah-olah client dan server dapat berkolaborasi langsung. Padahal dari aplikasi wireshark dapat dilihat bahwa 1 request GET harus di terjemahkan ke dalam beberapa layer sampai bisa di transmisikan dari client ke server atau sebaliknya. Protokol yang digunakan adalah ( sesuai Gambar 1 ) : a. HTTP b. TCP c. Internet Protocol d. Ethernet II

Gambar 1 Data yang Dapat Ditangkap Wireshark Berdasarkan Protokolnya

A. HTTP Gambar 2 menunjukan tampilan layar untuk aplikasi wireshark ketika kita memilih untuk melihat data dari protokol HTTP. Tampak pada frame bit data aplikasi HTTP menempati line 38 s.d 308. Sedangkan isi datanya tampak pada Table 1 baris ke-1 kolom Data Client.

Gambar 2 Tampilan Layar Frame Bit untuk data HTTP

B. TCP

Gambar 3 menunjukan tambahan data dari protokol TCP yang merupakan protokol layer transport sebelum data di encapsulate ke layer dibawahnya. Tampak pada frame bit protokol TCP menambahkan data dari baris 20 s.d 30. Sedangkan isi data tambahan dapat dilihat pada Table 1 baris ke-2 kolom Data Client.

Fungsi data tambahan dari protokol ini adalah :

1. Menentukan data Source Port dan Destination Port yang digunakan untuk berkomunikasi antar proses di layer transport. 2. Menentukan besar windows buffer size, agar pengirim tahu untuk tidak mengirim data melebihi buffer size yang sudah di tentukan. Sebagai fungsi flow control data. 3. Sequence number dan acknowledge number digunakan sebagai indikasi nomor urut yang akan dikirim dan nomor urut yang seharusnya diterima. 4. Header Length menunjukan jumlah bytes header dari TCP, dalam Gambar 3 sepanjang 20 bytes.

5. Checksum untuk pengecekan integritas segmen TCP dari error yang terjadi pada paket yang di transmisikan, dalam hal error terjadi maka paket akan di drop dan ditransmisikan ulang.

C. Internet Protocol Sedangkan Gambar 4 menunjukan tambahan data dari protokol IP, yang merupakan protokol layer Network (OSI model) atau Internet (Internet Model). Tampak pada frame bit protokol IP menambahkan data dari baris 8 s.d 20. Sedangkan isi data tambahan dapat dilihat pada Table 1 baris ke-3 kolom Data Client. Gambar 5 menunjukan tambahan data dari protokol Ethernet sebagai bagian dari layer data link. Tampak pada frame bit protokol Ethernet menambahkan data dari baris 0 s.d 8. Sedangkan isi data tambahan dapat dilihat pada Table 1 baris ke-4 kolom Data Client.

Gambar 3 Tampilan Layar Frame Bit untuk Data TCP

Gambar 4 Tampilan Layar Frame Bit untuk Data IP

Gambar 5 Tampilan Layar Frame Bit untuk Data Ethernet

OSI Layer Application Layer Presentation layer

Internet Layer Application Layer

ProtokolHTTP

Data ClientGET / HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.mspowerpoint, application/msword, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */* Accept-Language: en-us User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.6; FDM; .NET4.0C) Accept-Encoding: gzip, deflate Connection: Keep-Alive

Data ServerHTTP/1.1 200 OK Date: Sun, 18 Sep 2011 09:54:34 GMT Expires: -1 Cache-Control: private, max-age=0 Content-Type: text/html; charset=UTF8 Content-Encoding: gzip Server: gws Content-Length: 17154 X-XSS-Protection: 1; mode=block

Session layer

Host: www.google.co.id Cookie: PREF=ID=d66692ad6b00fdc5:U=d52c710486 4c1797:FF=1:TB=4:LD=id:NR=10:TM=12843 35669:LM=1315659978:S=M24BSpLONXgwv m99; NID=51=fcdCiG69C8DL543s03e6oJusSGmw2 A4HDklDfIxFaM6DBUOjiOQDdSaYcDl6U2DbOOOLcF6EFInmqNHT3M6d YUzggxbiRtgar5u73_UHA6iLpkGQVYTELbfKEyI BCy_

Transport Layer Transport layer

TCPSource Port : 3717, destination Port : 80, Sequence number : 1, Akcnowledge Number : 1, Header Length : 20 Bytes, Windows Size Value : 65535, Checksum

Network layer

Internet layer

Internet Protocol

Internet Protocol Version 4,

Src: 192.168.1.2, Dst: 74.125.235.20 Link Layer Data-link layer Ethernet II, Src: UniwillC_c7:60:ed (00:03:0d:c7:60:ed), Dst: TpLinkT_fd:1d:9c (94:0c:6d:fd:1d:9c)

Ethernet II

Physical layer

OSI Layer Application Layer Presentation layer Session layer


ProtokolDNS(query)

Data Clientgoogle.com: type A, class IN name: google.com type: A (host address) class: IN

Data Server

Transport layer

Transport Layer Internet layer

UDP

User Datagram Protocol, Src Port: 64302 (64302), Dst Port: domain (53) Internet Protocol Version 4, Src: 192.168.1.2 (192.168.1.2), Dst: 202.134.0.155 (202.134.0.155) Ethernet II, Src: UniwillC_c7:60:ed (00:03:0d:c7:60:ed), Dst: TpLinkT_fd:1d:9c (94:0c:6d:fd:1d:9c)

Network layer

Internet Protocol

Link Layer Data-link layer

Ethernet II

Physical layer



ProtokolDNS(respons e)

Data Clientgoogle.com: type A, class IN, addr 74.125.235.18 name: google.com type: A (host address) class: IN time to live: 3 minut data length: 4 addr: 74.125.235.18 google.com: type A, class IN, addr 74.125.235.19 name: google.com type: A (host address) class: IN time to live: 3 minut data length: 4 addr: 74.125.235.19 google.com: type A, class IN, addr 74.125.235.20 name: google.com type: A (host address) class: IN time to live: 3 minut data length: 4 addr: 74.125.235.20 google.com: type A, class IN, addr 74.125.235.16 name: google.com type: A (host address) class: IN time to live: 3 minut data length: 4 addr: 74.125.235.16 google.com: type A, class IN, addr 74.125.235.17 name: google.com

Data Server

type: A (host address) class: IN time to live: 3 minut data length: 4 addr: 74.125.235.17

Transport layer

Transport Layer Internet layer

UDP

User Datagram Protocol, Src Port: domain (53), Dst Port: 64302 (64302) Internet Protocol Version 4, Src: 202.134.0.155 (202.134.0.155), Dst: 192.168.1.2 (192.168.1.2) Ethernet II, Src: Tp-LinkT_fd:1d:9c (94:0c:6d:fd:1d:9c), Dst: UniwillC_c7:60:ed (00:03:0d:c7:60:ed)

Network layer

Internet Protocol


Ethernet II

Physical layer

Protokol yang digunakan pada VoIP : H.225.c dan H.245 Protokol H.225.c digunakan ketika awal koneksi dibuat (setup, callpreeceding, alerting, dan connect). Protokol H.245 digunakan untuk menjamin proses setelah koneksi dibuat untuk menjamin koneksi VoIP.

Setup step



ProtokolH.225.0 CS

Data ClientSetup protocolIdentifier: 0.0.8.2250.0.4 (Version 4)

Data Server

Transport layer

Transport Layer

TCP

Transmission Control Protocol, Src Port: 32803 (32803), Dst Port: h323hostcall (1720), Seq: 1, Ack: 1, Len: 160 Internet Protocol Version 4, Src: 10.1.3.143 (10.1.3.143), Dst: 10.1.6.18 (10.1.6.18) Ethernet II, Src: 3Com_22:20:17 (00:04:76:22:20:17), Dst: Iskratel_10:01:66 (00:d0:50:10:01:66)

Network layer

Internet layer

Internet Protocol


Ethernet II

Physical layer

Callproceeding step



ProtokolH.225.0 CS

Data Clientcallproceeding protocolIdentifier: 0.0.8.2250.0.3 (Version 3)

Data Server

Transport layer

Transport Layer

TCP

Transmission Control Protocol, Src Port: h323hostcall (1720), Dst Port: 32803 (32803), Seq: 1, Ack: 161, Len: 64 Internet Protocol Version 4, Src: 10.1.6.18 (10.1.6.18), Dst: 10.1.3.143 (10.1.3.143) Ethernet II, Src: Iskratel_10:01:66 (00:d0:50:10:01:66), Dst: 3Com_22:20:17

Network layer

Internet layer

Internet Protocol

Data-link layer

Link Layer

Ethernet II

(00:04:76:22:20:17) Physical layer

Alerting step



ProtokolH.225.0 CS

Data ClientAlerting h323-message-body: alerting (3)

Data Server

Transport layer

Transport Layer

TCP

Transmission Control Protocol, Src Port: h323hostcall (1720), Dst Port: 32803 (32803), Seq: 1, Ack: 161, Len: 64 Internet Protocol Version 4, Src: 10.1.6.18 (10.1.6.18), Dst: 10.1.3.143 (10.1.3.143) Ethernet II, Src: Iskratel_10:01:66 (00:d0:50:10:01:66), Dst:

Network layer

Internet layer

Internet Protocol

Data-link layer

Link Layer

Ethernet II Physical layer

3Com_22:20:17 (00:04:76:22:20:17)

Connect step



ProtokolH.225.0 CS

Data ClientConnect h323-message-body: connect (2)

Data Server

Transport layer

Transport Layer

TCP

Transmission Control Protocol, Src Port: h323hostcall (1720), Dst Port: 32803 (32803), Seq: 129, Ack: 161, Len: 97 Internet Protocol Version 4, Src: 10.1.6.18 (10.1.6.18), Dst:

Network layer

Internet layer

Internet Protocol

10.1.3.143 (10.1.3.143) Link Layer Data-link layer Ethernet II, Src: Iskratel_10:01:66 (00:d0:50:10:01:66), Dst: 3Com_22:20:17 (00:04:76:22:20:17)

Ethernet II

Physical layer

Awal koneksi smtp sampai inbox OSI Layer Application Layer Presentation layer Internet Layer Application Layer ProtokolSMTP

Data ClientProses pada layer SMTP S: 220 fm1.smtp.telkom.net ESMTP Smtpd; Tue, 20 Sep 2011 14:07:40 +0700 S: 220 fm1.smtp.telkom.net ESMTP Smtpd; Tue, 20 Sep 2011 14:07:40 +0700 C: EHLO we-guess.mozilla.org | QUIT S: 220 fm1.smtp.telkom.net ESMTP Smtpd; Tue, 20 Sep 2011 14:07:40 +0700 C: EHLO we-guess.mozilla.org | QUIT C: EHLO we-guess.mozilla.org C: QUIT S: 220 fm1.smtp.telkom.net ESMTP Smtpd; Tue, 20 Sep 2011 14:07:40 +0700 C: EHLO we-guess.mozilla.org | QUIT

Data Server

Session layer

Transport layer

Transport Layer

TCP

Transmission Control Protocol, Src Port: smtp (25), Dst Port: 52043 (52043), Seq: 1, Ack: 1, Len: 70 Internet Protocol Version 4, Src: 222.124.18.79 (222.124.18.79),

Network layer

Internet layer

Internet Protocol

Dst: 192.168.1.6 (192.168.1.6) Link Layer Data-link layer Ethernet II, Src: TpLinkT_b5:21:8c (f4:ec:38:b5:21:8c), Dst: IntelCor_a2:7d:da (00:1f:3c:a2:7d:da)

Ethernet II

Physical layer

analisa data wireshark

Documents