Monitoring Protokol UDP dan TCP Menggunakan Wireshark

TCP

TCP (Transmission Control Protokol) merupakan protokol yang berada pada lapisan transport yang reliabel karena berorientasi connection. 

Karakteristik TCP :

• Connection oriented, untuk dapat melakukan transmisi antara host-host harus melakukan kesepakatan untuk sesi koneksi terlebih dahulu.
• Full Duplex, pada setiap host memiliki dua jalur transmisi yaitu jalur keluar dan masuk sehingga data dapat dikirim dan diterima secara simultan. Header TCP terdiri dari nomor urut (TCP sequence number) dari data yang dikirimkan dan sebuah data acknowledgement dari data yang masuk.
• Dapat diandalkan (reliabel), TCP akan mengurutkan paket data yang dikirimkan dalam segmen-segmen untuk dikirimkan dan menunggu ACK dari penerima. Apabila tidak ada ACK maka segmen tersebut akan dikirim ulang hingga data terkirim.
• Byte Stream,TCP melihat data yang dikirim maupun diterima dalam bentuk byte kemudian akan diterjemahkan oleh layer aplikasi menjadi bahasa yang dapat dipahami TCP.
• Memiliki layanan flow control,membatasi data yang dikirim terlalu banyak pada suatu waktu yang dapat membuat macet jaringan.
• Melakukan segmentasi terhadap data yang datang dari lapisan aplikasi.
• Mengirimkan paket secara "one-to-one".

Port TCP mampu mengindikasikan sebuah lokasi tertentu untuk menyampaikan segmen-segmen TCP yang dikirimkan yang diidentifikasi dengan TCP Port Number. Nomor-nomor di bawah angka 1024 merupakan port yang umum digunakan dan ditetapkan oleh [[IANA|IANaplikasi, sementara port UDP merepresentasikan sebuah antrean pesan UDP untuk protokol lapisan aplikasi. Selain itu, protokol lapisan aplikasi yang menggunakan port TCP dan port UDP dalam nomor yang sama juga tidak harus sama. Sebagai contoh protokol Extended Filename Server (EFS) menggunakan port TCP dengan nomor 520, dan protokol Routing Information Protocol (RIP) menggunakan port UDP juga dengan nomor 520. Jelas, dua protokol tersebut sangatlah berbeda. Karenanya, untuk menyebutkan sebuah nomor port, sebutkan juga jenis port yang digunakannya, karena hal tersebut mampu membingungkan.

TCP Three-way Handshake

Proses pembuatan koneksi TCP disebut juga dengan "Three-way Handshake". Tujuan metode ini adalah agar dapat melakukan sinkronisasi terhadap nomor urut dan nomor acknowledgement yang dikirimkan oleh kedua pihak dan saling bertukar ukuran TCP Window. Prosesnya dapat digambarkan sebagai berikut:

• Host pertama (yang ingin membuat koneksi) akan mengirimkan sebuah segmen TCP dengan flag SYN diaktifkan kepada host kedua (yang hendak diajak untuk berkomunikasi).
• Host kedua akan meresponsnya dengan mengirimkan segmen dengan acknowledgment dan juga SYN kepada host pertama.
• Host pertama selanjutnya akan mulai saling bertukar data dengan host kedua.

TCP menggunakan proses jabat tangan yang sama untuk mengakhiri koneksi yang dibuat. Hal ini menjamin dua host yang sedang terkoneksi tersebut telah menyelesaikan proses transmisi data dan semua data yang ditransmisikan telah diterima dengan baik. Itulah sebabnya, mengapa TCP disebut dengan koneksi yang reliable

UDP

UDP (User Data Protokol) merupakan salah satu protokol lapisan transport TCP/IP yang mendukung komunikasi unreliable dan connectionless antara host-host dalam jaringan komputer.

Karakteristik UDP :

• Connectionless, data UDP akan langsung dikirim tanpa melakukan negosiasi koneksi antar host.
• Unreliable, dataUDP akan dikirimkan sebagai datagram tanpa nomor urut atau pesan acknowledgment sehingga protokol lapisan aplikasi yang berjalan di atas UDP harus melakukan pemulihan terhadap pesan-pesan yang hilang selama transmisi.
• UDP menyediakan mekanisme untuk mengirim pesan-pesan ke sebuah protokol lapisan aplikasi atau proses tertentu di dalam sebuah host dalam jaringan yang menggunakan TCP/IP.
• UDP tidak menyediakan mekanisme penyanggaan (buffering) dari data yang masuk ataupun data yang keluar
• UDP tidak menyediakan mekanisme segmentasi data yang besar ke dalam segmen-segmen data, seperti yang terjadi dalam protokol TCP
• UDP tidak menyediakan mekanisme flow-control, seperti yang dimiliki oleh TCP 

Port UDP

Sebuah UDP port berfungsi sebagai sebuah multiplexed message queue, yang berarti bahwa UDP port tersebut dapat menerima beberapa pesan secara sekaligus. Setiap port diidentifikasi dengan nomor yang unik, seperti halnya TCP, tetapi meskipun begitu, UDP Port berbeda dengan TCP Port meskipun memiliki nomor port yang sama. Di bawah ini beberapa UDP port yang telah dikenal secara luas :

53                 : DNS (Domain Name System)

67                 : BOOTP Client (DHCP)

68                 : BOOTP Server (DHCP)

69                 : Trivial File Transfer Protocol (TFTP)

137               : NetBIOS Name Service

138               : NetBIOS Datagram Service

161               : Simple Network Management Protokol (SNMP)

445               : Server Message Blok (SMB)

520               : Routing Information Protokol (RIP)

1812/1813     : Remote Authentication Dial-In User Service (RADIUS)

Monitoring protokol TCP

Untuk memulai monitoring, pertama-tama menghubungkan Laptop dengan internet. Membuka aplikasi wireshark lalu mulai mengcapture jaringan dimisalkan membuka google. Kemudian mengetikkan tcp.port==80 pada filter untuk melihat trafik dari HTTP.

Proses yang dilakukan TCP yaitu : 

• LISTEN, menunggu connection request dari client. ( di set oleh TCP Server ).
• SYN-SENT, client telah mengirim paket SYN dan ACK ke TCP Server , kemudian client menunggu paket SYN dan ACK balasan dari Server.
• SYN-RECEIVED, menunggu dari TCP Client untuk mengembalikan state acknowledgment setelah mengirim state acknowledgment ke TCP Client.
• ESTABLISHED, Koneksi telah dibangun, client server siap untuk mengirim dan menerima data.
• TIME-WAIT, merupakan waktu yang dibutuhkan untuk memastikan TCP menerima state acknowledgment pada saat menghentikan koneksi.

State – state diatas dapat dilihat dengan menggunakan perintah netstat pada command line.

Monitoring protokol UDP

Dari hasil capture wireshark diatas, ketikkan udp.port==53 untuk melihat trafik dari DNS.

Monitoring protokol e-mail dengan Wireshark

E-mail merupakan surat elektronik yang saat ini sudah sangat populer. Protokol yang digunakan oleh e-mail adalah Simple Mail Transfer Protocol (SMTP) untuk mengirim e-mail dan Post Office Protocol Versi 3 (POP3)/Internet Message Access Protokol (IMAP) untuk menerima e-mail. Untuk mempelajari mengenai protokol-protokol ini lebih lanjut dapat dilakukan dengan percobaan monitoring jaringan menggunakan Wireshark.

Kita dapat mencoba menggunakan aplikasi e-mail bomber dan melihat hasil capturenya pada wireshark. E-mail bomber merupakan software yang digunakan untuk mengirimkan e-mail dengan jumlah yang sangat banyak dan terus menerus sehingga membuat memori inbox akun e-mail penuh sehingga dapat menyebabkan kerusakan. Hng al ini dimungkinkan karena e-mail yang memenuhi inbox menyebabkan e-mail penting lain tidak dapat masuk atau menyebabkan e-mail penting hilang. Juga dapat menyebabkan ISP menghentikan layanan pengiriman dan penerimaan e-mail karena terjadi error.

Sebelumnya kita harus membuat akun e-mail terlebih dahulu untuk percobaan. Kemudian menginstall e-mail bomber.Untuk memperoleh softwarenya dapat melalui link berikut ini download.

Setelah terinstall, kita dapat mengaktifkan email bomber dengan cara :

1. Buka Aplikasi e-mail bomber, maka akan muncul tampilan

 

2.  Isikan data tujuan dan isi pesan pada e-mail bomber seperti berikut lalu klik mulai. Maka

bom pesan kita akan terkirim ke tujuan.

3.  Pada inbox email akan muncul banyak email masuk.

4. Kemudian Capture dengan wireshark, maka akan muncul banyak paket SMTP yang lewat. Paket ini yang digunakan untuk mengirim email. Kemudian paket POP3 atau IMAP merupakan paket untuk menerima email.

Dari percobaan diatas dapat diketahui bahwa proses e-mail yaitu yang pertama adalah pengiriman melalui paket SMTP pada server. server yang telah menerima email perlu mengetahui alamat tujuan dengan mengirimkan ARP ke server internet. kemudian diketahuilah alamat yang dituju. server akan menghubungi alamat email tujuan dan akan mengirimkan email ke tujuan. maka protokol POP3/IMAP pada server yang dituju akan menerima dan email dapat dibaca.

Mengenal Wireshark

Apa itu wireshark?

Wireshark merupakan sebuah network packet analyzer yang digunakan untuk membaca paket-paket jaringan dan akan menampilkan semua informasi mengenai paket-paket tersebut sedetail mungkin. Wireshark merupakan salah satu tool open source terbaik untuk analisa jaringan.

Banyak orang yang menggunakan wireshark diantaranya adalah untuk :

• Troubleshooting masalah-masalah pada jaringan
• Memeriksa keamanan jaringan
• Men-debug implementasi protocol jaringan dalam software
• Mempelajari protocol jaringan secara detail

Kelebihan wireshark :

• Tersedia untuk linux dan windows
• Mengcapture packet data secara langsung dari sebuah network interface
• Menampilkan informasi yang sangat detail mengenai hasil capture tersebut
• Bisa import dan eksport dari atau ke computer lain
• Pencarian packet menggunakan berbagai macam kriteria filter
• Bisa membuat berbagai macam tampilan statistika, dll.

-         

Menjalankan Wireshark : 

Apabila proses instalasi wireshark telah selesai, maka kita dapat memulai menjalankan wireshark melalui shortcut yang ada di menu.

Maka akan muncul splash screen dari wireshark yang me-load komponen-komponen yang diperlukan.

Pertama kali yang akan muncul adalah tampilan berikut ini kemudian barulah dapat kita gunakan berbagai aplikasi-aplikasi di dalamnya.

Untuk mengcapture packet dilakukan dengan langkah-langkah berikut ini :

Klik menu capture>Interface

Pilih interface jaringan yang akan digunakan untuk mengakses halaman web nantinya, kemudian klik button start

Maka wireshark akan menampilkan hasil capturenya.

• Menu                 : Kita bisa bernavigasi antar menu-menu yang tersedia
• Display filter   : Untuk membatasi paket-paket mana saja yang akan ditampilkan dengan mengisikan sintaks didalamnya.
• Daftar paket       : Menampilkan paket-paket yang berhasil ditangkap wireshark
• Detail paket        : Menampilkan detail paket pada daftar paket diatasnya.
• Detail heksa        : Menampilkan detail paket yang terpilih dalam bentuk heksadesimal

Pada daftar paket terdapat kolom-kolom sebagai berikut :

• Time          : Menampilkan waktu saat paket tersebut terekam
• Source       : Menampilkan IP sumber dari paket tersebut
• Destination : Menampilkan IP tujuan dari paket tersebut
• Protocol     : Menampilkan protokol yang dipakai dari sebuah data
• Info            : Menampilkan informasi mendetail mengenai paket data tersebut.

Dimisalkan membuka https://mail.google.com/ di browser, kemudian melakukan log in. Dalam hal ini password disamarkan. Selama proses load, wireshark akan menampilkan paket-paket data yang tertangkap.

Untuk melihat hasil capture dapat menstop wireshark dengan klik capture>stop

Kemudian kita lihat alamat IP komputer kita untuk memastikan dengan membuka command Prompt. Klik menu>run>cmd>ok

Akan muncul jendela console Command Prompt, ketikkan ipconfig lalu enter makan akan keluar hasil berikut

Dari hasil config tersebut dapat diketahui bahwa IP komputer adalah 10.10.32.140

Kemudian lihat ip dari gmail.com dengan mengetik ping gmail.com pada console maka akan muncul

Dapat dilihat bahwa IP dari gmail.com adalah 174.125.235.21

Dengan wireshark, paket data dari jaringan yang dicapture dapat dikelompokkan agar lebih mudah dalam pemantauan. contohnya untuk memantau http atau dns cukup dengan mengetikkan sintaks http atau dns pada filter sehingga memisahkan dari sekian banyak paket data yang tercapture.

Bila dobandingkan dengan MS Network Monitor, aplikasi di dalam wireshark lebih banyak dan lebih bagus. selain itu hasil capture dari MS Network Monitor dapat dibuka di Wireshark.

Wireshark juga dapat digunakan untuk sniffing password suatu akun yang terhubung dalam jaringan. Sehingga password akan terbaca pada wireshark. Akan tetapi dalam postingan ini belum bisa saya tampilkan. Selain itu juga ada hal yang belum terpecahkan, yaitu wireshark yang saya gunakan tidak bisa mengcapture melalui modem, dan hanya bisa melalui WLAN.

Mengenal Microsoft Network Monitor 3.4

         Apa itu MS Network Monitor 3.4?

Microsoft Network Monitor 3.4 merupakan software yang dapat digunakan untuk memengetahui lalu lintas data yang sedang dikirim dan diterima melalui jaringan komputer saat itu maupun dari file data yang diambil sebelumnya sehingga dapat dilakukan analisa. Software ini menyediakan pilihan penyaringan untuk analisis kompleks mengenai jaringan data.

Apabila dibandingkan dengan software InSSIDer yang hanya bisa melihat SSID yang terhubung dengan PC/laptop dimana diketahui kecepatan dan bandwidth dari masing – masing SSID, MS Network Monitor dapat melihat lalu lintas yang terjadi di dalamnya. Jadi InSSIDer memonitoring SSID, sedangkan MS Network Monitor memonitoring proses pengiriman dan penerimaan data di dalam SSID.  


Keunggulan - keunggulan MS Network Monitor 3.4

Microsoft Network Monitor 3.4 menyediakan beberapa fitur – fitur yang telah disempurnakan dan ditambahkan dari versi sebelumnya. Fitur – fitur tersebut diantaranya :

Parser Configuration Management: Parser sekarang telah terinstal dengan profil yang memudahkan anda untuk beralih antara parser configuration dengan Parser Profiles toolbar button. Konfigurasi ini juga menyembunyikan, menghilangkan kebutuhan untuk mengkompilasi ulang ketika Anda beralih di antara keduanya.

Column management : Network Monitor secara otomatis akan memilih tata letak kolom didasarkan pada jenis file yang sedang dibuka. Kolom layout ini diterapkan ke Frame Summary Window. Layout ini dapat dimodifikasi dan disimpan untuk digunakan kemudian. Selain itu, dua layout ekstra untuk HTTP dan diagnostik TCP juga ditambahkan.

Color Rules: Network Monitor sekarang dapat menyimpan set aturan warna ke file untuk mempermudah sharing. Anda juga dapat mengklik kanan di Frame Summary dan Frame Detail Windows untuk menambahkan Peraturan Warna baru.

Window Layout Dropdown: Window Layout Dropdown yang baru menyediakan beberapa konfigurasi untuk pengaturan jendela. Anda dapat memindahkan jendela dengan menekan tombol Shift saat mengklik title bar. Pengaturan disimpan untuk masing-masing dari tiga opsi tata letak. Restore Default pilihan Layout akan mengatur ulang kembali layout saat ini ke default.

“Live” Experts: experts sekarang dapat dijalankan selama capture session. Juga, experts yang telah diinstal baru sekarang akan muncul secara otomatis dalam menu experts, tanpa harus membuka tab lain.

Fixed-Width Font: sekarang dapat menggunakan font fixed-lebar di frame summary window. 

       Selain fitur – fitur tambahan diatas, Microsoft Network Monitor 3.4 juga memiliki beberapa keunggulan – keunggulan lainnya, yaitu :

High Performance Filtering: Network Monitor sekarang akan memasuki mode capturing dengan kinerja tinggi ketika Anda memenuhi syarat untuk menentukan capture filter dengan bidang-bidang tertentu di UI atau nmcap (misalnya Frame.Ethernet.IPv4.TCP.Port == 8080).

UTC Timestamps: Network Monitor sekarang akan menangkap dan menyimpan informasi Zona Waktu Zona terkait dalam sebuah trace. Secara default, trace dibuka dengan informasi Zona Waktu yang secara otomatis akan memiliki waktu yang disesuaikan dengan Zona Waktu lokal Anda. Waktu asli atau Time Zone dapat dilihat dengan menambahkan kolom "Waktu dan Tanggal" atau melihat Properties di bawah file menu.

High-precision timestamps: Network Monitor sekarang mengcapture dengan presisi mikrodetik pada Windows Vista dan kemudian dan Windows Server 2008.

802.11n & Raw IP Frame Support: Network Monitor sekarang mendukung mode monitor pada jaringan 802.11n pada Microsoft Windows Vista SP1 dan kemudian sistem operasi sebaik Frames IP Baku pada Microsoft Windows 7.

Process Tracking in NMCap: Sekarang memungkinkan untuk mengcapture proses tracking informasi dalam NMCap command-line tool. Proses ini dapat diaktifkan dengan menggunakan "/ CaptureProcesses" flag pada live captures.

Kontrol lebih untuk Mengurangi Drop Frames: Ada beberapa pilihan baru untuk meminimalkan jumlah frame yang drop di jaringan kecepatan tinggi.  

Semua daftar fitur lengkap baru dan masalah yang harus diketahui tersedia di catatan rilis dalam direktori instalasi.

          Cara melakukan instalasi Microsoft Network Monitor 3.4

1.             Buka file software Microsoft Network Monitor 3.4

2.             Ikuti langkah – langkah sesuai dengan petunjuk penginstallan pada software.

3.        Klik next pada MS Network Monitor 3.4 setup
 

4.        kemudian pilih I agrrement dan klik next

                                      

5.         Pilih tipe installasi yaitu complete installation.
                                      















6.         Dilanjutkan dengan klik install, maka software akan memproses installasinya. Tunggu hingga selesai.
                                      

7.         Apabila proses instalasi sudah selesai, maka akan muncul tampilan seperti berikut, lalu klik finish. maka software sudah dapat digunakan.
                                  












Cara melakukan monitoring jaringan menggunakan Microsoft Network Monitor 3.4

1.             Download Microsoft Network Monitor 3,4 x86 atau x64.

2.             Instal pada PC/laptop anda. Berikut ini tampilan Microsoft Network Monitor 3.4.

3.             Hubungkan PC/laptop dengan jaringan klik Capture Baru. 

           Maka akan muncul tampilan window : 

 

4.             Tekan tab start untuk memulai monitoring. 

 

            













             

              Software akan mulai menganalisa semua detail lalu lintas jaringan pada Windows 7. Semua rincian akan ditampilkan pada frame network conversation seperti gambar dibawah ini.

5.             Klik pada program yang ingin dilihat. Misalnya, jika ingin melihat Mozilla firefox, maka aktivitas jaringan akan muncul di bawah Frame Summary.

6.             Untuk mengaktifkan filtering di Microsoft Network Monitor 3.4, dapat dilakukan dengan mengklik Filter pada tab menu, klik display filter>load filter>standard filter kemudian pilih pilihan yang diperlukan dan tekan Terapkan. Menu tersebut juga terdapat pada frame display filter pada tampilan window.  

 

7.       Anda siap untuk memulai pemantauan. 

          File hasil capture dapat disimpan apabila ingin dilihat di kemudian hari. Selain itu filenya dapat dibuka menggunakan wireshark seperti gambar berikut ini :