Wireshark vs tcpdump — Kapan Pakai yang Mana?

Pertanyaan "Wireshark vs tcpdump — mana yang lebih baik?" sebenarnya pertanyaan yang salah framing. Keduanya adalah packet analyzer, tapi dirancang untuk konteks yang berbeda. Wireshark unggul di analisis visual dan interaktif, tcpdump unggul di capture cepat di lingkungan headless dan remote. Artikel ini membantu kamu memahami kapan harus pakai masing-masing — dan bagaimana mengkombinasikan keduanya untuk workflow troubleshooting paling efektif.

📌 Prerequisite: Artikel ini mengasumsikan kamu sudah familiar dengan Wireshark dasar. Jika belum, mulai dari Wireshark untuk Pemula terlebih dahulu.

Perbandingan Cepat — Wireshark vs tcpdump

Aspek	Wireshark	tcpdump
Interface	GUI — visual, klik-klik	CLI — command line, terminal
Platform	Windows, macOS, Linux	Linux, macOS, BSD (Windows: WinDump)
Kebutuhan GUI	Wajib ada display/desktop	Tidak perlu — jalan di server headless
Analisis real-time	Visual, colorized, interaktif	Teks mentah di terminal
Filter syntax	Wireshark display filter (kaya)	BPF — Berkeley Packet Filter
Output file	.pcapng (default), .pcap	.pcap (default)
Resource usage	Lebih berat (GUI overhead)	Sangat ringan — cocok server produksi
Remote capture	Perlu setup SSH tunnel	Native — langsung di server
Learning curve	Sedang — GUI intuitif tapi fitur banyak	Curam — syntax BPF perlu hafal
Cocok untuk	Analisis mendalam, belajar, forensik	Capture cepat, server, automation
Lisensi	GPLv2 — gratis open source	BSD — gratis open source

Kapan Pakai Wireshark

Analisis Mendalam dengan Konteks Visual

Wireshark unggul saat kamu perlu memahami flow koneksi secara visual — TCP handshake step by step, mengikuti stream HTTP, atau membandingkan timing antar packet. Packet Details panel berlapis memudahkan pembacaan setiap field protokol.

Belajar Protokol Jaringan

Untuk pelajar SMK TKJ, mahasiswa, atau siapapun yang sedang belajar networking — Wireshark adalah classroom terbaik. Visualisasi colorized packet dan Follow Stream membuat konsep abstrak seperti TCP 3-way handshake menjadi konkret.

Troubleshoot di Workstation atau Laptop

Untuk analisis traffic di komputer yang ada di depanmu — Wireshark adalah pilihan utama. Install sekali, buka kapanpun, semua fitur langsung tersedia.

Analisis File .pcap yang Sudah Ada

Mendapat file .pcap dari kolega atau download sample? Wireshark adalah tool terbaik untuk membuka, memfilter, dan menganalisis secara interaktif.

Forensik dan Investigasi Detail

Untuk investigasi insiden keamanan — mencari tanda intrusi, menganalisis malware traffic — Wireshark lebih efektif dari tcpdump untuk use case ini.

Kapan Pakai tcpdump

Capture di Server Remote via SSH

Ini adalah use case utama tcpdump. SSH ke server produksi, jalankan tcpdump, simpan ke .pcap, download ke laptop untuk dianalisis di Wireshark. tcpdump biasanya sudah preinstalled di semua distro Linux.

Server Headless tanpa GUI

Web server, VPS, container Docker — semua biasanya tidak punya desktop. tcpdump berjalan sempurna karena hanya butuh terminal.

Capture Cepat untuk Snapshot Traffic

Satu command tcpdump langsung jalan — jauh lebih cepat dari membuka Wireshark, pilih interface, konfigurasi filter, klik start.

Automation dan Scripting

tcpdump bisa diintegrasikan ke shell script, cron job, atau sistem monitoring. Otomatis capture traffic setiap jam, atau trigger capture saat ada alert.

Resource-Constrained Environment

Di perangkat RAM terbatas — router embedded, Raspberry Pi, container minimal — tcpdump jauh lebih ringan. Hanya butuh beberapa MB RAM vs ratusan MB Wireshark.

tcpdump — Syntax Dasar yang Wajib Diketahui

linux — tcpdump syntax dasar

# Lihat semua interface
tcpdump -D

# Capture di interface tertentu
tcpdump -i eth0

# Capture dan simpan ke file
tcpdump -i eth0 -w /tmp/capture.pcap

# Baca file .pcap
tcpdump -r /tmp/capture.pcap

# Capture 100 packet lalu berhenti
tcpdump -i eth0 -c 100 -w /tmp/capture.pcap

# Verbose output
tcpdump -i eth0 -vv

Di Linux, jalankan dengan sudo. Di macOS, gunakan sudo tcpdump.

linux — tcpdump dengan bpf filter

# Hanya DNS
tcpdump -i eth0 udp port 53 -w dns.pcap

# Traffic dari/ke IP tertentu (RFC 5737)
tcpdump -i eth0 host 198.51.100.10 -w host.pcap

# HTTP dan HTTPS
tcpdump -i eth0 'tcp port 80 or tcp port 443' -w web.pcap

# Semua kecuali SSH
tcpdump -i eth0 not port 22 -w capture.pcap

# Subnet LAN
tcpdump -i eth0 net 192.168.1.0/24 -w lan.pcap

# ICMP saja
tcpdump -i eth0 icmp -w ping.pcap

Tanda kutip tunggal pada filter yang mengandung spasi mencegah shell menginterpretasi karakter khusus.

Workflow Kombinasi tcpdump + Wireshark — Cara Kerja Profesional

tcpdump untuk capture di lokasi kejadian, Wireshark untuk analisis di laptop. Ini adalah workflow yang digunakan network engineer dan sysadmin profesional sehari-hari.

STEP 1

SSH ke Server yang Bermasalah — Login ke server. Identifikasi interface dengan ip link show atau tcpdump -D.

STEP 2

Jalankan tcpdump dengan Filter Spesifik — Gunakan filter BPF spesifik agar file output tidak besar. Contoh: tcpdump -i eth0 host 198.51.100.10 -w /tmp/debug.pcap -c 500.

STEP 3

Generate Traffic yang Ingin Dianalisis — Lakukan aksi yang bermasalah — akses aplikasi yang gagal, jalankan curl ke endpoint timeout, atau trigger error yang dilaporkan.

STEP 4

Stop dan Download File .pcap — Stop tcpdump dengan Ctrl+C. Download ke laptop dengan SCP (perintah di bawah).

STEP 5

Buka dan Analisis di Wireshark — Wireshark → File → Open → pilih file .pcap. Analisis dengan filter, Follow Stream, Statistics.

linux — download .pcap dari server

# Download file .pcap dari server ke laptop
scp [email protected]:/tmp/debug.pcap ~/Downloads/debug.pcap

# Atau langsung stream tcpdump ke Wireshark lokal (advanced)
ssh [email protected] 'tcpdump -i eth0 -s0 -U -w - not port 22' | wireshark -k -i -

One-liner SSH pipe terakhir adalah teknik advanced: streaming capture dari server langsung ke Wireshark lokal secara real-time tanpa menyimpan file. Flag -U (packet-buffered) dan -w - (output ke stdout) adalah kuncinya.

Perbandingan Syntax Filter — Wireshark vs tcpdump

Tujuan	Wireshark Display Filter	tcpdump BPF Filter
Traffic dari IP tertentu	ip.src == 198.51.100.5	src host 198.51.100.5
Traffic ke IP tertentu	ip.dst == 203.0.113.10	dst host 203.0.113.10
Traffic dua arah	ip.addr == 198.51.100.5	host 198.51.100.5
Port TCP tertentu	tcp.port == 443	tcp port 443
Hanya DNS	dns	udp port 53
Hanya ICMP	icmp	icmp
Subnet tertentu	ip.addr == 192.168.1.0/24	net 192.168.1.0/24
Kecualikan SSH	!tcp.port == 22	not port 22
HTTP atau HTTPS	http \|\| tls	tcp port 80 or tcp port 443
Kombinasi AND	dns && ip.src == 192.168.1.5	udp port 53 and src host 192.168.1.5

TShark — Alternatif Tengah yang Sering Dilupakan

TShark adalah versi command-line dari Wireshark yang diinstall bersama Wireshark GUI. Menawarkan yang terbaik dari dua dunia: filter dan decode protokol Wireshark, tapi bisa dijalankan di terminal tanpa GUI.

Kemampuan	tcpdump	TShark	Wireshark GUI
Jalan tanpa GUI	✅	✅	❌
Wireshark display filter	❌	✅	✅
BPF capture filter	✅	✅	✅
Decode protokol lengkap	⚠️ Terbatas	✅	✅
Output JSON/CSV	❌	✅	⚠️ Export saja
Scriptable/automation	✅	✅	❌
Resource usage	🟢 Sangat ringan	🟡 Sedang	🔴 Berat
Preinstalled di server Linux	✅ Biasanya ada	⚠️ Perlu install	❌

linux — tshark contoh praktis

# Tampilkan nama domain dari DNS queries secara live
tshark -i eth0 -Y 'dns.flags.response == 0' -T fields -e dns.qry.name

# Export capture ke JSON
tshark -i eth0 -c 100 -T json > capture.json

# Baca .pcap dan filter dengan Wireshark display filter
tshark -r debug.pcap -Y 'tcp.analysis.retransmission'

# Top domain paling sering di-query
tshark -r capture.pcap -Y 'dns' -T fields -e dns.qry.name | sort | uniq -c | sort -rn

TShark tersedia di Windows di C:\Program Files\Wireshark\tshark.exe setelah Wireshark terinstall.

🎯 Rekomendasi toolkit: Install Wireshark di laptop (dapat GUI + TShark sekaligus). Di server produksi, andalkan tcpdump yang biasanya preinstalled. Workflow: tcpdump di server → scp .pcap → analisis di Wireshark lokal. Gunakan TShark untuk query cepat berbasis teks atau automasi.

FAQ — Pertanyaan yang Sering Ditanyakan

Apakah tcpdump tersedia di Windows?

tcpdump tidak tersedia natively di Windows. Alternatif: TShark (diinstall bersama Wireshark, kemampuan serupa) atau WinDump (port Windows yang sudah tidak aktif dikembangkan). Di Windows 10/11 dengan WSL2, kamu bisa menjalankan tcpdump Linux langsung dari terminal WSL.

File .pcap dari tcpdump bisa dibuka di Wireshark?

Ya, sepenuhnya kompatibel. File .pcap dari tcpdump bisa langsung dibuka di Wireshark via File → Open. Inilah yang membuat kombinasi tcpdump + Wireshark begitu powerful — capture di mana saja, analisis di mana saja.

Mana yang lebih baik untuk belajar jaringan?

Untuk belajar, mulai dengan Wireshark. GUI-nya yang visual membuat konsep jaringan jauh lebih mudah dipahami. Setelah paham konsepnya via Wireshark, belajar tcpdump akan jauh lebih mudah karena kamu sudah tahu apa yang sedang di-capture.

Apakah tcpdump bisa capture traffic WiFi?

Ya, tcpdump bisa capture di interface WiFi (wlan0 di Linux). Untuk capture raw 802.11 frame, interface perlu diset ke monitor mode: sudo iwconfig wlan0 mode monitor. Tanpa monitor mode, hanya traffic dari/ke komputer itu sendiri yang tertangkap.

Kenapa tcpdump di server menampilkan terlalu banyak traffic?

Gunakan filter BPF yang lebih spesifik. Daripada tcpdump -i eth0 (semua), gunakan tcpdump -i eth0 tcp port 80 atau tcpdump -i eth0 host 198.51.100.10. Tambahkan -c 500 untuk membatasi jumlah packet.

Bisakah Wireshark capture traffic di server Linux tanpa desktop?

Tidak langsung — Wireshark GUI butuh desktop. Workaround: X11 forwarding via SSH (ssh -X user@server wireshark), tapi lambat dan tidak praktis. Solusi terbaik: gunakan tcpdump atau TShark untuk capture di server, analisis file .pcap di Wireshark lokal.

Kesimpulan

Wireshark dan tcpdump bukan kompetitor — mereka adalah partner. tcpdump untuk capture di tempat kejadian (server remote, router headless), Wireshark untuk analisis mendalam di laptop. Kuasai keduanya dan kamu punya toolkit troubleshooting jaringan lengkap untuk hampir semua skenario. Untuk memperdalam kemampuan filter Wireshark, baca Referensi Filter Wireshark Lengkap. Tool online seperti Traceroute dan Ping Test di CekIPSaya berguna sebagai diagnosis awal sebelum turun ke level packet capture.