2020

Laporan Resmi
Praktikum Jaringan Komputer 1
Analisa Protokol Layer 2 dan 3
Dosen : Amang Sudarsono

RAFIKA RIZKY RAMADHANI

1210181008 / 3 D4 TA

POLITEKNIK ELEKTRONIKA NEGERI SURABAYA | 2020 / 2021

 MODUL 2
ANALISA PROTOKOL LAYER 2 DAN 3
I. TUJUAN PEMBELAJARAN:
1. Mahasiswa memahami konsep PDU layer 2 dan 3
2. Mahasiswa mampu mengoperasikan arp, wireshark dan tcpdump
3. Mahasiswa mampu menganalisa paket layer 2 dan 3 menggunakan wireshark dan
tcpdump

II. PERALATAN YANG DIBUTUHKAN:

1. Beberapa PC yang akan dihubungkan dalam jaringan.
2. Hub sebagai penghubung jaringan.
3. Kabel jaringan secukupnya.

III. DASAR TEORI

Nomor IP diperlukan oleh perangkat lunak untuk mengidentifikasi komputer pada
jaringan, namun nomor identitas yang sebenarnya diatur oleh NIC (Network Interface
Card) atau kartu Jaringan yang juga mempunyai nomor unik. Pengalamatan di NIC
biasa disebut dengan MAC Address. Pengalamatan ini merupakan bagian dari ethernet.
Alamat kartu jaringan ini terdiri atas 48 bit, 24 bit ID dari pabrik pembuat
sedangkan 24 bit sisanya adalah nomor urut/sequence number. Oleh karena itu setiap
kartu jaringan TCP/IP merupakan standar tentang mekanisme kerja jaringan, sehingga
perangkat lunak dan perangkat keras dari bebagai vendor dapat saling berkomunikasi.
Agar dapat bekerja maka TCP/IP membutuhkan perangkat keras jaringan dalam hal ini
adalah Ethernet, meskipun ethernet bukan bagian dari TCP/IP, TCP/IP hanya
berinteraksi untuk menggunakan fasilitasnya menggerakkan paket. Pengalamatan
ethernet sudah dijelaskan di atas.
Untuk mengirim data ke komputer lain, maka software menyusun frame ethernet
dalam memori sbb :

Jadi ini merupakan referensi IP ke MAC addressnya sehingga data terkirim ke computer
yang benar sesuai phisical addressnya. Berdasarkan mapping IP dengan phisical
addressnya. Bila komputer tahu nomor IP tapi tidak tahu MACnya. TCP/IP
memecahkan masalah ini dengan menggunakan ARP (Address Resolution Protocol).

ARP (Address Resolution Protocol)

Secara internal ARP melakukan resolusi address tersebut dan ARP berhubungan
langsung dengan Data Link Layer. ARP mengolah sebuah tabel yang berisi IP-address
dan Ethernet Card. Dan tabel ini diisi setelah ARP melakukan request (broadcast) ke
seluruh jaringan.
Misal user host tertentu menjalankan perintah telnet (telnet merupakan perintah di
linux yang dipakai untuk menjalankan mesin tertentu dari mesin lainnya) dengan host
foghorn ($telnet foghorn) . Setelah user menjalankan command telnet, maka sistem
akan mengecek ARP cache ada nomor phisical addres yang dimaksud. Jika informasi
ini tidak ditemukan, maka host akan mengeluarkan suatu ARP khusus meminta paket.
ARP Request dikapsulkan dengan semua informasi yang dibutuhkan kecuali physical
addrees tujuan karena memang host tidak tahu tujuannya dimana, biasanya arp tujuan
dibuat FF:FF:FF:FF secara broadcast ke jaringan, karena broadcast maka semua system
pada local network akan menguji request tersebut. Paket ARP request/Reply
mempunyai format yang sama. Informasi ini bisa ditangkap oleh software sniffer
tcpdump atau ethereal (akan dijelaskan selanjutnya).

ARP Cache
Tadi sedikit disinggung, bahwa setelah menjalankan command telnet maka host akan
mengecek ARP Cache. ARP cache berisi tabel IP host serta phisical adrees komputer.
ARP cache akan bertambah jika ARP Request mendapat jawaban. ARP Cache ini diatur
secara dinamik oleh kernel. Untuk melihat bisa pakai command arp –a. Kita bisa
melakukan penghapusan sebuah entry ARP dengan arp –d hostname Untuk mengecek
di layer 2 lapisan OSI dapat digunakan perintah arp (AddressResolution Protocol).
Contoh :

Perintah diatas dapat diartikan bahwa kita baru terkoneksi dengan 10.252.102.1 saja
belum ada lainnya.

TCPDump
Jaringan TCP/IP terdiri atas keseluruhan paket dan cara terbaik untuk mendebug
jaringan adalah dengan cara melacak paket. Dengan demikian kita dapat menentukan
informasi yang tepat dari sumber yang benar. Untuk melacak paket kita dapat
menggunakan TCPDump, yang tersedia gratis. Dengan memakai ini seumpama kita
berada di web maka kita bisa memakainya untuk mencari penyebab sesuatu tidak
beres/gagal sumber penyebabnya dimana dengan tracing tersebut. Dengan menjalankan
TCPDump, kita bisa melihat semua traffic yang masuk atau meninggalkan NIC dan
bisa melihat aktifitas jaringan. Dengan TCPDump bisa juga dipakai untuk menganalisa
seumpama terjadi kelambatan aplikasi, kita bisa menganalisanya mulai dari ini.
Kemampaun TCPDump akan berkurang jika kita menggunakan switch, jadi untuk
mempelajari paket jaringan secara detail dengan memakai TCPDump sebaiknya
memakai hub sebab jika memakai switch yang dapat diketahui dari TCPDump hanya
traffic ke dan dari komputer.
TCPDump akan berjalan dengan menjalankan command tcpdump [-n|-t|-e] dst. Dengan
TCPDump kita bisa : memilih paket yang diminati, memilih paket berdasarkan alamat
host, memilih paket berdasarkan tipe traffic.

Wireshark
Wireshark merupakan software sniffer gratis yang sudah berbentuk Graphical User
Interface(GUI). Software ini berjalan baik di linux. Dengan grafiknya mempermudah
melihat setiap detail sebuah paket dan frame ethernet.
IV. TUGAS PENDAHULUAN
1. Apa kegunaan ARP
Jawab :
Fungsinya ARP adalah untuk meningkatkan keamanan. Dalam mikrotik, masukan
ARP bisa didapat secara dynamic. Namun untuk meningkatkan keamanan, kita
dapat memasukkan ARP static secara manual.
ARP (Address Resolution Protocol) adalah sebuah protokol dalam TCP/IP Protocol
Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat
Media Access Control (MAC Address). Kegunaan ARP adalah memetakan IP ke
Mac address yang ada. dengan kata lain 32 bit IP address dipetakan ke 48 bit Mac
address melalui peralatan ethernet yang ada.

2. Gambarkan dan jelaskan format datagram ARP Request/Reply

Jawab :
ARP bekerja dengan mengirimkan paket berisi IP address yang ingin diketahui
alamat ethernetnya ke alamat broadcast ethernet, dan semua ethernet card akan
mendengar paket ini. Host yang merasa memiliki IP address ini akan membalas
paket tsb. dengan memgirimkan paket yang berisi pasangan IP address dan
ethternet address. Untuk menghindari seringnya permintaan seperti ini, jawaban ini
disimpan di memori (ARP cache) untuk sementara waktu.
Spesifikasi ARP dapat dilihat di RFC 826.
 Cara kerja protokol ARP :
1. Suatu host dengan IP address A mengirim paket ke host dengan IP address
B pada jaringan lokal. Host pengirim memeriksa dulu ARP cachenya
adakah MAC Address untuk host dengan IP address B.
2. Jika tidak ada, ARP akan mengirimkan paket ke alamat Broadcast (sehingga
seluruh anggota jaringan mendengarnya). Paket ini berisi pertannyaan :
"Siapakah pemilik IP address B dan berapakah MAC Addressnya? ". Dalam
paket ini juga disertakan IP address A beserta MAC Addressnya.
3. Setiap host di jaringan lokal menerima request tersebut dan
memeriksa IP address masing-masing. Jika ia merasa paket tersebut bukan
untuknya, dia tidak akan menjawab pertannyaan tersebut.
4. Host dengan IP address B yang mendengar request tersebut akan
mengirim IP address beserta MAC Address ya ke host penanya.

3. Cari option – option pada command arp (misal arp –a, arp -??), dan jelaskan maksud
dan kegunaannya.
Jawab :
ARP-s eth_addr inet_addr] if_addr [
ARP-d inet_addr [if_addr]
ARP-a inet_addr [] [-N if_addr]
-A Menampilkan entri ARP arus oleh menginterogasi arus protokol data. Jika inet_addr
yang ditentukan, IP dan fisik hanya alamat komputer tertentu akan ditampilkan. Jika
lebih dari satu antarmuka jaringan menggunakan ARP, entri untuk setiap tabel ditampilkan.
ARP-G Sama seperti-a.
inet_addr Menentukan alamat internet. ARP-N if_addr Menampilkan entri ARP untuk
interface jaringan yang ditentukan oleh if_addr. -D Menghapus host ditentukan oleh
inet_addr. mungkin inet_addr wildcarded dengan * untuk menghapus semua host.
-S Menambahkan host dan mengasosiasikan alamat Internet inet_addr dengan eth_addr
alamat fisik. Alamat fisik diberikan sebagai 6 byte heksadesimal dipisahkan dengan tanda
hubung. Entri adalah permanen.
eth_addr Menentukan alamat fisik.
if_addr Jika ada, ini menentukan alamat Internet dari tabel alamat antarmuka yang harus
diubah terjemahan Jika tidak hadir, interface yang berlaku pertama akan digunakan.

4. Apa perbedaan antara tcpdump dan wireshark ?

Jawab :
Perbedaan utama Tcpdump dengan Wireshark adalah tcpdump tidak melakukan analisa
terhadap data, namun hanya melakukan copy paket secara keseluruhan (dump raw packet
data). Karena itu beban analisis terletak sepenuhnya pada user, namun demikin, kesalahan
analisa yang disebabkan oleh software (semisal wireshark) dapat dihindari.
Selain itu, wireshark lebih bagus pada tampilannya (GUI). Wireshark juga
memudahkan pengguna untuk melihat semua traffic yang lewat di jaringan.
V. PERCOBAAN
1. Buka terminal dan jalankan command arp –a pada host anda masing-masing
(komputer sumber dan target), catat dan amati hasilnya. Apa maksud output yang
dihasilkan command arp –a. Catat juga no ip dari masing-masing komputer
tersebut. Gunakan dhclient untuk mendapatkan ip dari server.

2. Jalankan software wireshark pada komputer target untuk mengamati paket data
yang lewat
# wireshark
Jika belum terinstall, instalasi terlebih dahulu paket tersebut :
# apt-get install wireshark
Pada komputer sumber :

Pada komputer target :

3. Lakukan command ping no_ip ke komputer target.

Computer target :

4. Jalankan perintah arp –a atau arp –n sekali lagi. Amati pada perbedaan output
dibanding waktu percobaan no 1. Stop wireshark dan amati proses yang terjadi pada
wireshark
 Tampilan wireshark pada computer target

Untuk menghentikan wireshark dengan meng-klik icon kotak merah.

5. Jalankan wireshark lagi pada komputer target, dan lakukan ping sekali lagi dari
komputer sumber ke komputer target. Amati proses yang terjadi pada wireshark.
Setelah di stop, wireshark dijalankan lagi
 Ping dari sumber ke target :

Hasil pada wireshark

6. Jawab pertanyaan berikut ini : Kenapa bisa terjadi perbedaan hasil percobaan
meskipun kita memakai command yang sama, jelaskan secara singkat.
Jawab :
Hal ini pastinya berkaitan dengan fungsi arp itu sendiri. Dimana Ketika melakukan
perintah arp -a pertama kali, computer masih belum melakukan pemetaan alamat
apapun atau bisa dibilang belum melaksanakan tugasnya dengan sepenuhnya.
Namun ketika computer melakukan ping ke computer lain dalam satu jaringa, arp
secara otomatis akan melaksanakan tugasnya sehingga cache tersimpan dalam table
arp. Itulah mengapa ketika dilakukan perintah arp -a lagi akan akan terjadi
penambahan output yaitu ip yang di ping tadi.
 Tabel arp tersimpan di /proc/net/arp, bisa dicek dengan :
# cat /proc/net/arp

7. Kita bisa melakukan pengurangan ARP Cache atau disable ARP Cache, lakukan
percobaan di bawah ini :
a. Jalankan command arp –d hostname (pakai salah satu hostname / no_ip yang
terdaftar pada arp cache). Amati hasilnya dengan menjalankan command arp –
a.

b. Jalankan command berikut : ifconfig eth0 –arp down, amati hasilnya

dengan menjalankan arp –a.

c. Jalankan perintah ping ke komputer sebelah apa yang terjadi ?

NB : Dengan perintah pada b, maka jika dicek dengan ifconfig akan muncul
NOARP

8. Setelah selesai melakukan percobaan 6, untuk menormalkan koneksi jaringan,

jalankan perintah berikut :
a. ifdown eth0
b. ifup eth0

c. ifconfig eth0 arp up -> jika dicek dgn ifconfig, NOARP akan
hilang

d. arp –a

e. dhclient -> untuk mendapatkan ip dari server

 f. ping ke komputer sebelah

g. Catat semua hasilnya.

9. Selain melakukan pengurangan juga bisa melakukan penambahan Arp Cache,

lakukan command berikut :
arp –s hostname physical_address
Hostname bisa digantikan dengan no IP.
Misal :
# arp –s 192.168.10.5 00-01-4A-FJ-FD-CF
Sebelum anda mengetik no physical_address cari dulu di komputer teman anda
dengan command ifconfig. Selanjutnya jalankan command arp -a Amati hasil
percobaan, berikan kesimpulan anda.

Disini saya menambahkan host dari ubuntu.

Dapat dilihat pada table arp, terdapat tambahan cache yaitu IP 192.168.28.8 yang
merupakan IP dari ubuntu.
10. Untuk melakukan pengintaian kita bisa juga memakai tcpdump. Bukalah terminal
baru dan jalankan tcpdump, biarkan tcpdump berjalan. Cobalah beberapa variasi
command-command tambahan di tcpdump untuk mengintai paket yang lewat, misal
tcpdump –n, tcpdump –n –t, tcpdump –n –t –e, tcpdump –i eth0, tcpdump –X –i
eth0
11. Buka kembali terminal baru, lakukan langkah berikut pada terminal baru dan tulis
hasil percobaannya:
a. Jalankan perintah ping ke komputer satu jaringan. Amati hasil tcpdump.
b. Jalankan perintah arp –a, catat hasilnya
c. Jalankan perintah ping ke komputer diluar jaringan kita, amati hasilnya di
tcpdump.

d. Jalankan arp –a, analisa hasilnya. Amati pada tabel arp ketika kita berhubungan
dengan komputer diluar jaringan, apa yang tertera pada tabel arp ?
e. Jalankan browser dan masuklah ke www yang anda suka. Amati traffic yang
ada pada tcpdump. Analisa hasil percobaan anda apa maksud output yang
dihasilkan.
12. Dengan menggunakan langkah yang sama seperti pada percobaan 10, gunakan
paket wireshark
a. Pastikan wireshark sudah terinstal pada komputer anda
b. Buka terminal baru dan jalankan wireshark pada terminal tersebut

c. Mulailah mencapture data menggunakan wireshark dan filter hanya paket arp
dan icmp (ping merupakan paket icmp)
d. Jalankan percobaan 11.a – e amati hasilnya di wireshark
Ping ke host satu jaringan

Arp -a
Ping ke host di luar jaringan
Arp -a

Web www.pens.ac.id
 e. Amati juga pada bagian data di wireshark, bandingkan dengan isi paket pada
tcpdump.
f. Catatlah paket wireshark (src mac, dst mac, src ip, dst ip) jika kita berhubungan
dengan komputer diluar kita, amati dan buat analisa yang terjadi.

VI. LAPORAN RESMI

Daftar Pertanyaan
1. Bagaimana kesimpulan yang anda dapatkan jika komputer berhubungan dengan
komputer di luar jaringan apa yang tercatat pada tabel arp ?.
Jawab :

Dapat kita lihat pada table arp cache, jika kita berhubungan dengan computer di
luar jaringan, maka physical address atau mac address tidak dapat terdeteksi karena
berada di luar jangkauan.
2. Bagaimana kesimpulan yang anda dapatkan jika komputer berhubungan dengan
komputer di luar jaringan dengan melihat paket data dari ethereal, rincilah src mac,
dst mac, dst ip dan src ip yang terjadi jika kita berhubungan dengan jaringan luar.
Jawab :
Sources mac : 08:00:27:9f:62:33 yang merupakan mac address dari enp0s3 dari komputer
sumber
Destination mac : 00:00:00:00:00:00 karena host unreachable sehingga tidak ada mac
address yang dituju yang dapat terdeteksi
Sources IP : 192.168.28.10 yang merupakan ip dari enp0s3 dari komputer sumber
Destination IP : 192.168.28.10 (yang tercatat di wireshark). Hal ini dikarenakan, ketika kita
ping ke 192.168.28.100 dimana itu merupakan ip diluar jaringan (unreachable) maka akan
kembali lagi ke sumbernya. Ketika IP yang dituju tidak ditemukan maka ping akan kembali
lagi ke sumber untuk menyampaikan informasi bahwa IP yang dituju tidak ada.
Ketika perintah ping kita jalankan dan berhasil, wireshark memunculkan pesan
“reply” dan wireshark juga menampilkan berapa lama waktu yang dibutuhkan
dalam menerima paket data dari komputer lain. Sedangkan untuk proses “ping”
yang gagal, wireshark hanya menampilkan pesan “request” dan tidak ada pesan
“reply”, maksudnya adalah komputer kita telah melakukan sebuah request paket
data ke komputer dengan IP 192.168.28.100 yang dimana IP tersebut bukan dalam
1 jaringan dengan komputer kita. Dikarenakan IP tersebut tidak dalam 1 jaringan
dengan komputer kita, maka pesan request dari komputer kita tidak akan sampai.
Oleh karena itu wireshark tidak memunculkan pesan “reply”.

3. Buat shell programming dengan ketentuan :

a. jika kabel tersambung akan ditampilkan komentar “plug”
b. jika tidak tersambung akan ditampilkan komentar “unplug”
Jawab :

Jika kabel terhubung

Jika kabel tidak terhubung

 LEMBAR ANALISA

Praktikum Jaringan Komputer -1 (Analisa Paket Layer)

Tanggal Praktikum : 25 September 2020
Kelas : 3 D4 Telekomunikasi A
Nama : Rafika Rizky Ramadhani
NRP : 1210181008

A. Catat no ip komputer sumber dan target, dan catat juga hasil perintah : arp -a (poin
1)
IP komputer sumber

IP komputer target

Hasil perintah arp -a

ARP (Address Resolution Protocol) adalah sebuah protokol dalam TCP/IP Protocol
Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat
Media Access Control (MAC Address) Dalam jaringan biasanya memang telah
diberi alamat IP. Namun alamat hardware (misal mac-address) tetap digunakan
untuk transportasi data dari suatu host ke host yang lain. Dalam tabel tersebut berisi
masukan-masukan ARP. Masukan-masukan ARP tersebut terdiri dari ip address
dan mac-address serta informasi interface mana yang digunakan.

B. Catat hasil perintah arp –a setelah dilakukan ping, catat juga proses yang terjadi di
Wireshark (poin 4)
Pada poin 4, setelah dilakukan ping dari komputer sumber ke komputer target, maka
IP, MAC Address, dan interface komputer target akan tercatat pada tabel arp. Pada
wireshark, dapat dilihat bahwa arp ter-capture karena tadi dilakukan perintah arp -
a, dan arp -n. Yang tercapture diantaranya informasi sumber paket (source),
 destinasi (destination), protokol (protocol), length (panjang paket data dalam satuan
bytes), dan info. Cara kerja ARP yang ter capture di wireshark yaitu :
Komputer sumber dengan IP address 192.168.28.10 mengirim paket ke komputer
target dengan IP address 192.168.28.30 pada jaringan lokal. Komputer sumber
memeriksa dulu ARP cachenya adakah MAC Address untuk host dengan IP address
192.168.28.30.
Jika tidak ada, ARP akan mengirimkan paket ke alamat Broadcast (sehingga seluruh
anggota jaringan mendengarnya). Paket ini berisi pertannyaan : "Siapakah pemilik
IP address 192.168.28.30 dan berapakah MAC Addressnya? ". Dalam paket ini juga
disertakan IP address 192.168.28.10 beserta MAC Addressnya.
Setiap host di jaringan lokal menerima request tersebut dan memeriksa IP address
masing-masing. Jika ia merasa paket tersebut bukan untuknya, dia tidak akan
menjawab pertannyaan tersebut.
Host dengan IP address 192.168.28.30 yang mendengar request tersebut akan
mengirim IP address beserta MAC Address ya ke host penanya (komputer sumber).

C. Catat proses di wireshark setelah dilakukan ping (poin 5)

Pada poin 5, komputer sumber akan mencari IP address dari komputer target dengan
cara membroadcast ke semua jaringan lokal yang terhubung. Ia akan menanyakan
ke seluruh device untuk IP yang ia butuhkan. Hal ini dilakuan dengan cara
mengirimkan perintah ARP. ARP berguna untuk meresolusi IP address pada MAC
address. Tertulis “62 who has 192.168.28.30? tell 192.162.28.10” maksudnya
adalah bahwa alamat IP source yaitu 192.168.28.10 mencari sebuah IP address yang
192.168.28.30.
Mac address dengan IP 192.168.28.10 mencari IP 192.168.28.30. Pada data tertulis
target MAC address 00:00:00_00:00:00 ini berarti bahwa tujuan belum diketahui
dan ARP akan mencarinya. Setelah ditemukan MAC Addressnya, akan terlihat
semuanya, dimana sender MAC address dan target MAC address sudah terisi. Pada
penjelasan sebelumnya IP address 192.168.28.10 bertanya pada seluruh device
tentang IP address 192.168.28.30. Disini terlitat jawaban mengenai pengguna dari
IP address 192.168.28.30. Informasi ini lalu di kirim balik kepada pengirim ber-IP
address 192.168.28.10. Hal ini membuktikan kerja ARP mencari destination nomor
mesin dari IP address yang diperintahkan untuk di cari dengan membroadcast ke
semua jaringan device. Selanjutnya proses akan di lanjutkan ICMP dimana bertugas
untuk mengecek kesalahan trasfer data dan PC target dapat terjangkau atau tidak.
Bila jawaban berupa “Request time out” berarti jalur yang dilalui rusak atau PC
tidak terjangkau. Namun bila jawaban berupa “reply from...” berarti PC dapat
melakukan trasfer data secara baik. Disini balasan berupa reply, hal ini berarti
bahwa PC saling terhubung dengan baik dan antara PC satu dengan yang lain tidak
terdapat masalah.

D. Catat tabel arp cache yang tersimpan di /proc/net/arp

Dapat dilihat bahwa IP address serta MAC address dari computer yang terhubung
dengan komputer target tercatat pada table arp cache di file /proc/net/arp.
E. Percobaan dengan pengurangan atau disable ARP cache (poin 7-8)
Ketika tabel arp cache dikurangi atau ada yang dihapus, maka akan hilang dari tabel
dan jaringan yang dihapus tidak dapat terhubung lagi, sehingga komputer target
(pemilik IP yang arp cache nya dihapus tadi) tidak bisa mengeping komputer
sumber.

F. Catat hasilnya dari poin 8

Perintah ifup digunakan mengaktifkan interface jaringan sedangkan ifdown untuk
menonaktifkannya. Secara default, kedua perintah ini akan bekerja sesuai dengan
konfigurasi pada file /etc/network/interfaces.

G. Percobaan dengan penambahan ARP cache (poin 9)

Pada point 9 dilakukan penambahan arp cache menggunakan ip address dan mac
address. Disini saya menambahkan host dari ubuntu dengan IP 192.168.28.8.
Dapat dilihat pada table arp, terdapat tambahan cache yaitu IP 192.168.28.8 yang
merupakan IP dari ubuntu. Namun bisa dilihat perbedaannya dengan arp cache yang
telah ada sebelumnya, arp cache yang baru ditambahkan terdapat tulisan "PERM"
sebelum "on enp0s3".

H. Catat hasil pada poin 10

Pada poin 10 dilakukan capture menggunakan tcpdump. tcpdump merupakan salah
satu aplikasi packet analyzer yang berfungsi untuk memantau dan menangkap
traffic jaringan yang melewati interface host yang menjalankan tcpdump. tcpdump
sering digunakan oleh Network Administrator untuk melakukan troubleshooting
terhadap traffic jaringan dan Security Analyst untuk melakukan analisa terhadap
traffic yang digunakan oleh malware. Selain mendukung protokol tcp, tcpdump
juga mendukung berbagai macam jenis protokol lainnya untuk melakukan filtering,
filtering protokol yang dapat digunakan adalah: fddi, ip, arp, rarp, decnet, lat, sca,
moprc, mopdl, tcp dan udp. Jika tidak melakukan filter traffic berdasarkan protokol
maka tcpdump akan menampilkan semua jenis protokol yang diterima. Pada
dasarnya tcpdump hampir sama dengan wireshark. Perbedaan utama Tcpdump
dengan Wireshark adalah tcpdump tidak melakukan analisa terhadap data, namun
hanya melakukan copy paket secara keseluruhan (dump raw packet data). Karena
itu beban analisis terletak sepenuhnya pada user, namun demikin, kesalahan analisa
yang disebabkan oleh software (semisal wireshark) dapat dihindari.
Selain itu, wireshark lebih bagus pada tampilannya (GUI). Wireshark juga
memudahkan pengguna untuk melihat semua traffic yang lewat di jaringan.

I. Catat hasil pada poin 11 (tcpdump)

Pada tcpdump sama sama melakukan monitoring paket Analisa jaringan yang
digunakan tetapi berbasis cli atau console dimana jika kita ping hasil yang
ditampilkan sama yaitu Panjang data, frame data, ip, dan yang lainnya.

J. Catat hasil pada poin 12 (wireshark)

Pada wireshark capturing lalu lintas paket jaringan berbasis gui yang lebih mudah
digunakan dengan fitur-fitur yang banyak dapat membantu user untuk menganalisa
sebuah paket-paket yang terjadi di dalam jaringan tersebut. Wireshark memiliki
fitur yang lebih dibandingkan dengan tcpdump terutama dari segi interface nya.
 KESIMPULAN

1. Wireshark adalah aplikasi grafis yang banyak digunakan untuk monitoring dan analisis.
Wireshark adalah opensource dan berjalan pada banyak platform OS termasuk Windows, Linux
dan UNIX.
2. TCP dump adalah tools UNIX/Linux yang banyak digunakan untuk merekam trafik jaringan
berdasarkan kriteria user dan mampu menyimpan trafik dalam berbagai format yang berbeda.
3. Pada dasarnya tcpdump hampir sama dengan wireshark. Perbedaan utama Tcpdump
dengan Wireshark adalah tcpdump tidak melakukan analisa terhadap data, namun
hanya melakukan copy paket secara keseluruhan (dump raw packet data). Karena itu
beban analisis terletak sepenuhnya pada user, namun demikin, kesalahan analisa yang
disebabkan oleh software (semisal wireshark) dapat dihindari. Selain itu, wireshark
lebih bagus pada tampilannya (GUI). Wireshark juga memudahkan pengguna untuk
melihat semua traffic yang lewat di jaringan. Sedangkan tcpdump masih menggunakan
CLI.
4. ARP (Address Resolution Protocol) adalah sebuah protokol dalam TCP/IP Protocol
Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat
Media Access Control (MAC Address)
5. Fungsi ARP dapat meningkatkan keamanan untuk monitoring paket dalam jaringan.
Lampiran Demo

192.168.28.5 192.168.28.30

192.168.28.30

1. Siapkan PC server(Debian) dan PC Client(Debian) dengan konfigurasi Ip seperti

diatas
2. Jalankan perintah netstat -nr untuk melihat kernel ip routing table nya

3. Lakukan ping dari computer server ke computer client

4. Perintah arp - - help untuk membantu opsi apa saja yang digunakan arp
5. Jalan perintah arp -a untuk melihat ip dan mac address interface yang digunakan

6. Untuk mendelete arp dari table routing dengan perintah arp -d ip yang akan dihapus

7. Untuk memunculkan ip nya lagi lakukan kembali ping dari computer server ke client
dari situ akan aka nada traffic jaringan lagi.

8. Selanjutnya mengamati paket jaringan menggunakan tcpdump , sebelumnya install jika

belum ada tcpdump nya(apt-get install tcpdump dan lihat opsi nya dengan tcpdump - -
help dan menangkap paket arp dengan cara tcdump -i eth0 -vv arp
9. Untuk menangkap paket-paket icmp dalam jaringan dengan cari tcdump -i eth0 -vv
icmp

10. Jika ingin menangkap paket semua nya tidak arp dan icmp saja gunakan perintah
tcdump -i eth0 -vv
11. Cara lain monitoring dapat menggunakan wireshark , jika belum install silahkan install
dengan cara apt-get install wireshark , jika sudah langsung saja jalankan

12. Setelah itu lakukan monitoring pada eth0

13. Untuk melihat layer 1 fisik pada wireshark yang merupakan alamat fisik dari interface
yaitu mac address nya
14. Untuk melihat layer 3 pada wireshark yang merupakan alamat ip dari source dan
destination nya . pada bagian ip v4

15. Selanjutnya pada monitoring pada layer data apa yang dikirimkan yaitu protocol icmp

16. Selanjutnya mengamati paket dengan layanan httpserver dalam port 8000

17. Untuk melihat layanan semuanya dari protocol yang ada dan ini apakah sudah benar
dijalankan, cek menggunakan netstat -nlpt
18. Akses http pada computer client dengan cara buka browser dan masukkan ip server
dengan port nya 192.168.28.155:8000

19. Pada sisi server akan ada notifikasi jika server http ada yang mengakses nya

20. Selanjutnya mengamati http ini dari wireshark dan double salah satu di tampilan ip
http dan amati layer 1 – layer 3
21. Selanjutnya mengamati layanan telnet , jika belum install , apt-get install telnetd
22. Pastikan layanan telnet berjalan pada port 23 , cek dengan cara netstat -nlpt

23. Akses telnet dari computer client dengan cara telnet ip server , sebelumnya lihat dulu
user yang ada di comp server
24. Setelah itu buka kembali wireshark dan amati layanan telnet pada layer 1-3

Hasil dari klik kanan pada ip telnet pilih follow > tcp stream
25. Selanjutnya mengamati paket dari layanan ftp , sebelumnya install ftp dengan cara
apt-get install vsftpd
26. Cek apakah layanan ini sudah berjalan pada port 21 dengan cara yang sama netstat -
nlpt

27. Ada juga cara lain untuk melihat layanan apa saja yang tersedia di server, sebelumnya
install dahulu apt-get install nmap, pada sisi client jalankan nmap ip server

28. Coba jalan python simple http server lagi dan nmap menggunakan client
29. Untuk melihat layanan apa saja pada computer sendiri atau dalam hal ini computer
server dengan cara nmap localhost

30. Selanjutnya akses ftp dari computer client dengan cara ftp ip server nya

31. Amati menggunakan wireshark dari layer 1- layer 3

Lihat follow tcp stream nya
Lihat juga ftp-data