Wireshark merupakan sebuah software sniffer freeware yang
dapat didownload dengan mudah di www.wireshark.org.
Walaupun termasuk kategori software gratis, software yang sebelumnya dinamakan
Ethereal memiliki banyak fitur powerful yang tidak kalah dengan software
sejenis. Program sniffer adalah program yang dapat digunakan apabila kita ingin
‘mengintip/mengendus/sniff’ sebuah jaringan, baik Ethernet maupun non-ethernet.
Hanya saja, sehari-hari rasanya kita lebih sering berkutat dengan jaringan
Ethernet.
Mengapa kita perlu ‘mengintip/mengendus’ jaringan ? Salah satu alasan kuat yang sering ditemui oleh penulis adalah
“paket tidak pernah berbohong”. Yang dimaksud di sini, pada saat customer
mengatakan bahwa jaringan nya pelan, atau jaringan nya tidak responsive, atau
jaringan nya kadang cepat kadang tidak bisa connect, dsb., maka cara paling
mudah adalah ‘mengendus’ jaringan dengan langsung melihat isi-isi paket yang
lewat di jaringan tersebut. Pernah ada satu kasus yang penulis temukan, pada
saat customer mengeluh network nya bermasalah (dan mereka langsung menyalahkan
switchnya), setelah paket diintip, kejadian sebenarnya adalah, ada satu mesin
gateway, yang apabila mesin tersebut mendengar adanya paket request, maka mesin
tersebut selalu menjawab untuk drop paket tersebut, sehingga jaringan
seolah-olah tidak connect. Dari sini bisa kita pelajari, bahwa jaringan yang
tidak lancar, bisa disebabkan oleh banyak sekali faktor yang harus diselidiki
lebih lanjut.
Dahulu kala, semasa jaringan masih menggunakan hub, para
pemakai jaringan amat mudah ‘mengintip’ isi percakapan dari para pemakai
jaringan lainnya, karena teknologi hub memang masih bersifat shared. Shared
yang dimaksud di sini adalah, walaupun komputer A hanya berbicara dengan
komputer B, percakapan mereka dapat didengar oleh komputer C yang dicolokkan ke
hub yang sama dengan A dan B. Masih teringat jelas saat bekerja di sebuah
perusahaan yang memakai hub, dan di pagi hari penulis dapat meng-crack semua
user password pada saat login ke NT Domain(yang memang tidak secure, atau bisa
dicrack dengan dictionary attack) memakai software l0pthcrack.
Untunglah, dengan adanya switch, hal tersebut di atas
tidak mungkin terjadi ( walaupun masih mungkin dilakukan dengan teknik-teknik
seperti ARP poisoning dsb. ), karena teknologi switch membuat jalur virtual
untuk komunikasi antar pemakainya. Lalu, apabila memang ingin meng-sniff
jaringan di lingkungan switch, bagaimana caranya ?
Salah satu cara yang bisa dilakukan adalah melakukan
proses port mirroring dari switch tersebut ke salah satu port di mana kita
memasang software sniffer kita. Cuma saja, biasanya hanya product switch yang
manage-able yang bisa melakukan hal ini. Jika switch kita memakai unmanaged,
maka prosesnya akan lebih rumit J
Gambar di atas dapat dijadikan contoh kebanyakan jaringan
yang ada, di mana biasanya network administrator menginginkan memonitor koneksi
jaringan ke Internet. Maka yang dilakukan adalah melakukan ‘port mirroring’
pada link yang merah, dengan target mirror port adalah port tempat di mana
wireshark dipasang. Tetapi, tentu saja untuk melakukan hal tersebut, network
administrator harus mengkonfigurasi switch. ( Hampir sebagian besar switch yang
ada di Allied Telesis, tempat
penulis bekerja sudah mendukung port mirroring )
Bagaimana apabila tidak bisa mengotak-atik switch, atau
switch tidak mendukung mirroring ? Salah satu jalan keluarnya adalah memasang
hub. Memang sayangnya, tidak mudah mendapatkan hub di saat-saat sekarang,
karena di pasaran kebanyakan sudah tidak diproduksi lagi. Kelemahan lain dari
penggunaan hub adalah jenis koneksi nya half duplex, bukan full duplex seperti
pada switch.
Ada juga solusi lain, seperti menggunakan network tap.
Hanya saja, tidak banyak perusahaan yang mau membeli network tap untuk
keperluan monitoring sesaat.
Wireshark dapat diinstall di berbagai operating system,
seperti Windows (32 bit atau 64 bit), OS X , Ubuntu,dsb. Penulis sendiri banyak
memakai Wireshark pada Windows, dan pada saat proses instalasi, juga akan
diinstal aplikasi WinPCap, yang merupakan driver-driver khusus yang akan
dipakai pada Wireshark. Apabila kita tidak menginstall WinPCap, maka Wireshark
tidak akan bisa berfungsi untuk capture packet melalui jaringan.