Filter Wireshark Lengkap — Cheatsheet Display & Capture Filter

Artikel ini adalah referensi filter Wireshark yang bisa kamu bookmark dan buka setiap kali butuh — tidak perlu dibaca dari atas ke bawah. Wireshark memiliki dua jenis filter yang cara kerjanya berbeda: Display Filter (menyaring tampilan setelah capture) dan Capture Filter (menyaring data yang ditangkap sejak awal). Mengerti perbedaan keduanya adalah kunci menggunakan Wireshark secara efisien. Jika kamu baru mulai belajar Wireshark, baca dulu Wireshark untuk Pemula.

📌 Cara pakai artikel ini: Gunakan Ctrl+F di browser untuk cari filter yang dibutuhkan. Semua filter di sini sudah diuji dan siap pakai — copy-paste langsung ke Wireshark.

Display Filter vs Capture Filter — Perbedaan Krusial

Aspek	Display Filter	Capture Filter
Kapan bekerja	Setelah capture berjalan	Sebelum / saat capture dimulai
Lokasi di UI	Toolbar bar (kotak panjang atas)	Capture → Options → "Capture filter"
Efek	Hanya mengubah tampilan	Hanya packet yang cocok yang disimpan
Data tersimpan	Semua packet tetap ada di file	Packet tidak cocok = hilang selamanya
Bisa diubah saat capture	Ya — bisa ubah kapanpun	Tidak — harus stop dan mulai ulang
Syntax	Wireshark display filter syntax	BPF (Berkeley Packet Filter) syntax
Kapan digunakan	Analisis, investigasi, belajar	Traffic tinggi, hemat storage, fokus

⚠️ Jangan tertukar syntax: Filter tcp.port == 443 valid sebagai Display Filter tapi tidak valid sebagai Capture Filter. Versi BPF-nya adalah tcp port 443 (tanpa tanda sama dengan dan titik). Syntax yang berbeda untuk tujuan yang mirip.

Display Filter — Filter Berdasarkan Protokol

Filter	Fungsi	Contoh Penggunaan
dns	Semua traffic DNS	Lihat semua query dan response DNS
http	Semua traffic HTTP	Analisis request/response web tidak terenkripsi
tls	Semua traffic HTTPS/TLS	Lihat metadata koneksi HTTPS
tcp	Semua traffic TCP	Analisis koneksi TCP umum
udp	Semua traffic UDP	VoIP, DNS, gaming, streaming
icmp	Semua traffic ICMP	Ping, traceroute, error message jaringan
arp	Semua traffic ARP	Deteksi perangkat LAN, cek ARP spoofing
dhcp	Semua traffic DHCP	Debug masalah IP otomatis tidak dapat
ssh	Semua traffic SSH	Monitor koneksi SSH — isi terenkripsi
ftp	Semua traffic FTP	Analisis transfer file — plaintext
ntp	Semua traffic NTP	Debug masalah sinkronisasi waktu

wireshark — filter protokol dasar

dns
http
tls
tcp
udp
icmp
arp
dhcp
ssh
ftp

Paste salah satu ke Display Filter bar di Wireshark dan tekan Enter.

Display Filter — Filter Berdasarkan IP Address dan Port

Filter	Fungsi	Keterangan
ip.addr == 8.8.8.8	Traffic dari ATAU ke IP ini	Paling umum — dua arah sekaligus
ip.src == 192.168.1.5	Hanya traffic yang DIKIRIM dari IP ini	Satu arah — source saja
ip.dst == 203.0.113.10	Hanya traffic yang DITUJUKAN ke IP ini	Satu arah — destination saja
ip.addr == 192.168.1.0/24	Semua traffic dari/ke subnet ini	Monitor seluruh subnet LAN
!(ip.addr == 192.168.1.1)	Sembunyikan traffic dari/ke IP ini	Tanda seru = negasi / NOT
tcp.port == 80	Traffic di port 80 (HTTP)	Source maupun destination
tcp.dstport == 443	Traffic yang MENUJU ke port 443	Hanya arah destination
tcp.srcport == 22	Traffic yang KELUAR dari port 22	Hanya arah source
udp.port == 53	DNS via UDP port 53	Alternatif filter dns yang spesifik

wireshark — filter ip dan port

ip.addr == 8.8.8.8
ip.src == 192.168.1.5
ip.dst == 203.0.113.10
ip.addr == 192.168.1.0/24
tcp.port == 443
tcp.dstport == 80
udp.port == 53

Ganti IP dengan IP yang ingin dianalisis. Gunakan CekIPSaya untuk cek IP publik kamu.

Display Filter — Operator Logika untuk Kombinasi Filter

Operator	Simbol Alternatif	Arti	Contoh
&&	and	DAN — kedua kondisi harus terpenuhi	dns && ip.src == 192.168.1.5
\|\|	or	ATAU — salah satu kondisi cukup	http \|\| dns
!	not	BUKAN — kebalikan dari kondisi	!arp
==	eq	Sama dengan	ip.addr == 8.8.8.8
!=	ne	Tidak sama dengan	ip.addr != 192.168.1.1
>	gt	Lebih besar dari	frame.len > 1000
<	lt	Lebih kecil dari	frame.len < 100
contains	-	Mengandung string ini	http contains "cekipsaya"

wireshark — kombinasi filter praktis

# DNS query dari perangkat tertentu
dns && ip.src == 192.168.1.5

# Traffic HTTP atau HTTPS ke server tertentu
(http || tls) && ip.dst == 203.0.113.45

# Semua traffic kecuali ARP dan broadcast
!arp && !eth.dst == ff:ff:ff:ff:ff:ff

# TCP ke port 80 atau 443 dari subnet LAN
tcp && (tcp.dstport == 80 || tcp.dstport == 443) && ip.src == 192.168.1.0/24

# Paket besar yang mencurigakan
frame.len > 1400 && !tcp.analysis.retransmission

# Cari string dalam payload HTTP
http && frame contains "password"

Gunakan tanda kurung () untuk mengelompokkan kondisi OR — persis seperti matematika.

Display Filter — Analisis Masalah TCP

Filter	Mendeteksi	Interpretasi
tcp.analysis.retransmission	Packet yang dikirim ulang	Ada packet loss di jalur jaringan
tcp.analysis.fast_retransmission	Fast retransmission	Packet loss terdeteksi via dupACK
tcp.analysis.duplicate_ack	Duplicate ACK	Penerima minta kirim ulang
tcp.analysis.zero_window	TCP Zero Window	Buffer penerima penuh — koneksi macet
tcp.analysis.lost_segment	Segment yang hilang	Gap dalam sequence number — packet drop
tcp.flags.reset == 1	Paket TCP RST	Koneksi ditutup paksa — firewall atau error
tcp.flags.syn == 1 && tcp.flags.ack == 0	SYN tanpa ACK	Deteksi port scanning

wireshark — shortcut troubleshoot tcp

# Tampilkan SEMUA tanda masalah TCP sekaligus
tcp.analysis.retransmission || tcp.analysis.lost_segment || tcp.analysis.zero_window

# Deteksi port scanning
tcp.flags.syn == 1 && tcp.flags.ack == 0

# Koneksi yang ditutup paksa
tcp.flags.reset == 1

Jika banyak packet muncul dengan filter retransmission + lost_segment + zero_window, ada masalah serius di koneksi TCP.

Display Filter — Kombinasi untuk Skenario Troubleshoot Nyata

Skenario: Internet lemot, curiga DNS lambat

Filter: dns — perhatikan kolom Time antara DNS Query dan Response. Jika selisihnya >200ms secara konsisten, DNS server lambat. Bandingkan dengan hasil DNS Lookup CekIPSaya.

Skenario: Curiga ada perangkat asing di jaringan

Filter: arp — lihat semua MAC address aktif. Buka Statistics → Endpoints → tab Ethernet untuk daftar lengkap. MAC address tidak dikenal bisa dicek vendor-nya secara online.

Skenario: Koneksi ke server gagal atau timeout

Filter: ip.addr == [IP_SERVER] && tcp — lihat apakah SYN terkirim. Tidak ada SYN-ACK = server tidak merespons atau firewall memblokir. Ada RST langsung = port tertutup.

Skenario: Deteksi bandwidth hog

Tidak perlu filter — buka Statistics → Endpoints → tab IPv4 → sort by Bytes descending. IP dengan bytes tertinggi = paling banyak pakai bandwidth. Lanjut filter: ip.addr == [IP] untuk detail.

Skenario: Verifikasi koneksi VPN berjalan

OpenVPN: filter udp.port == 1194. WireGuard: udp.port == 51820. Jika ada traffic ke port tersebut = VPN tunnel aktif.

Capture Filter — Syntax BPF yang Perlu Diketahui

Capture Filter (BPF)	Display Filter Equivalen	Fungsi
host 8.8.8.8	ip.addr == 8.8.8.8	Traffic dari/ke IP tertentu
src host 192.168.1.5	ip.src == 192.168.1.5	Traffic dari IP tertentu
dst host 203.0.113.10	ip.dst == 203.0.113.10	Traffic ke IP tertentu
net 192.168.1.0/24	ip.addr == 192.168.1.0/24	Traffic dari/ke subnet
port 443	tcp.port == 443	Traffic di port tertentu
tcp port 80	tcp.port == 80	TCP di port 80
udp port 53	udp.port == 53	UDP di port 53 (DNS)
not port 22	!tcp.port == 22	Kecualikan SSH
host 8.8.8.8 and port 53	ip.addr==8.8.8.8 && udp.port==53	DNS ke Google DNS spesifik

wireshark — capture filter bpf siap pakai

tcp port 80 or tcp port 443
not port 22
host 203.0.113.45
udp port 53
net 192.168.1.0/24
tcp
not broadcast and not multicast

Di Wireshark: sebelum capture, buka Capture → Options → kolom "Capture filter". Isi dengan filter BPF di atas.

Tips Menggunakan Filter secara Produktif

Simpan Filter Favorit sebagai Bookmark

Setelah menulis filter di Display Filter bar, klik ikon bookmark (🔖) di ujung kanan → "Save this filter". Beri nama deskriptif. Filter tersimpan bisa dipanggil kapanpun dari dropdown — tidak perlu ketik ulang.

Gunakan Autocomplete untuk Temukan Field

Mulai ketik nama protokol (misalnya tcp.a), tunggu sebentar atau tekan Ctrl+Space — daftar field yang cocok akan muncul. Cara tercepat menemukan filter tanpa hafal syntax.

Klik Kanan untuk Filter Otomatis

Di Packet List atau Packet Details, klik kanan nilai apapun (IP, port, protokol) → "Apply as Filter" → "Selected". Wireshark otomatis membuat filter yang tepat — bebas typo.

Profile untuk Set Filter Berbeda

Buat Wireshark Profile berbeda via Edit → Configuration Profiles untuk skenario berbeda: DNS analysis, security audit, monitoring umum. Ganti profile dengan satu klik di status bar kanan bawah.

FAQ — Pertanyaan yang Sering Ditanyakan

Kenapa filter tidak menampilkan apa-apa padahal capture berjalan?

Kemungkinan: (1) Syntax filter salah — pastikan kotak filter berwarna hijau, bukan merah. (2) Traffic yang dicari memang tidak ada — clear filter dulu dengan klik X di ujung filter bar. (3) Kamu menggunakan Display Filter di kolom Capture Filter atau sebaliknya — pastikan tulis di tempat yang tepat.

Apa perbedaan ip.addr dengan ip.src dan ip.dst?

ip.addr menampilkan packet di mana IP tersebut muncul di posisi manapun (source atau destination). ip.src hanya packet yang DIKIRIM dari IP tersebut. ip.dst hanya packet yang DITUJUKAN ke IP tersebut. Untuk monitoring traffic dua arah, ip.addr sudah cukup.

Bagaimana filter traffic yang mengandung kata tertentu di payload?

Gunakan operator contains: frame contains "cekipsaya" menampilkan semua packet yang mengandung string tersebut. Untuk HTTP: http contains "login". Ini hanya bekerja untuk traffic tidak terenkripsi — HTTPS tidak bisa di-filter berdasarkan isi karena sudah terenkripsi.

Apakah filter Wireshark bisa digunakan pada file .pcap lama?

Ya, semua Display Filter bekerja persis sama pada file .pcap yang sudah disimpan maupun capture live. Buka file via File → Open, lalu gunakan filter seperti biasa. Kamu bisa analisis file yang sama berkali-kali dengan filter berbeda tanpa capture ulang.

Filter mana yang paling berguna untuk pemula?

Lima filter paling berguna: (1) dns, (2) icmp, (3) ip.addr == [IP], (4) tcp.analysis.retransmission, (5) http. Dengan kelima ini, kamu sudah bisa troubleshoot masalah jaringan paling umum.

Bisakah filter Wireshark disimpan dan dibagikan ke orang lain?

Ya. Filter tersimpan di file dfilters (display filter) dan cfilters (capture filter) di folder profil Wireshark: Windows di %APPDATA%\Wireshark\, Linux/Mac di ~/.config/wireshark/. Copy file tersebut ke komputer lain untuk berbagi filter dengan tim.

Kesimpulan

Filter adalah skill yang paling membedakan pengguna Wireshark biasa dengan yang mahir. Dengan menguasai kombinasi display filter dan capture filter, kamu bisa langsung fokus ke traffic yang relevan. Bookmark halaman ini sebagai referensi — tidak perlu dihafal semua sekaligus. Untuk konteks penggunaan dalam troubleshooting nyata, baca Panduan Lengkap Wireshark. Kombinasikan dengan DNS Lookup dan Ping Test di CekIPSaya untuk workflow troubleshooting yang efisien.