Xcap使用教程--创建、发送和分析报文

Xcap是一个免费的网络发包工具，可以构造和发送常用的网络报文，如ARP、UDP、ICMP等。

一、功能

1. 构造报文
支持构造常见的以太网报文，包括arp、rarp、ipv4、ipv6、icmpv4、icmpv6、igmp、udp、tcp、pim、ospf、rip、snmp、ppp、pppoe、ipsec（ah/esp）等等，以及一些不常用的报文，如果802.3、STP等等。
2. 发送报文
WinPcap能从系统中读取处所有的网络接口，本功能可以从指定的接口发送构造的报文，支持两种简单的发送策略，一是发送选中的（用鼠标选中），二是循环发送复选框选中的报文。
3. 辅助功能
* IP分片
* 响应ARP/NDP查询
* 响应ICMP Echo Request
* TCL控制发送
* 抓包，报文分析

二、使用

1. 创建报文
报文隶属于报文组，每个报文组包含多个报文，因此，创建报文首先要创建报文组，点击菜单“报文组->创建报文组”或工具栏中创建报文组按钮，在弹出的对话框中输入报文组名称，确定后，在窗口左侧列表中可以看到自己创建的报文组，鼠标点击这个报文组，右侧窗口出现报文组的界面，该界面中包含报文的操作功能按钮。

步骤一：创建报文组，可点击菜单“报文组/创建报文组”，输入报文组名称，确定。

步骤二：在左侧窗口中选择已创建的报文组，右侧窗口显示该报文组的界面。

步骤三：在右侧界面中点击“+”按钮，创建一个报文，输入名称。

步骤四：双击已创建的报文，出现报文配置向导，首页为以太网头部。

步骤五：输入目的MAC和源MAC。这里是创建一个攻击包，为了伪装，所以源MAC地址随意填写，如00:00:00:00:00:11，目的MAC地址是要攻击的目标机的地址（同学们可填写虚拟机的MAC地址）。Type中选中“EthernetII”，下拉框选择“0x0800 (IPv4)”。

步骤六：点击下一步，出现Ipv4头部页面，输入源IP（为了伪装随便写一个IP地址）和目的IP(目标机地址，这里同学们可填写虚拟机的IP)，protocol选择“0x06 (TCP)”。

步骤八：下一步，出现TCP页面，目的端口填写“80”，要访问web。

步骤九：点击下方的保存和关闭按钮，报文创建成功。

2. 发送报文
步骤一：获取接口列表。点击主界面工具栏中的“刷新列表”按钮（或对应菜单“接口->刷新接口”），所有接口会列在左侧窗口中，选中要使用的接口。

步骤二：启动接口。选择一个接口，点击工具栏中的“启动接口”按钮，接口启动（启动真实网卡，别启动虚拟机对应的虚拟网卡）。

步骤三：发送报文。选中刚刚创建的报文组，在接口中选择刚刚启动的接口。

鼠标选中要发送的报文（如果要发送多个，可使用CTRL键选中多个），然后点击发送按钮，报文即被发送；
循环发送：上面描述的是如何一次发送一个或多个报文，而循环发送是针对流发送的，如果想用持续的发送一个报文组中的报文，则可选择循环发送，勾选中要发送的报文，点击循环发送按钮即可发送，再点击一次，则可停止发送；

说明：
策略：发送间隔表式报文每隔多少时间发送一次，也可输入格式为“1000/3”，表示每1000毫秒发三次，循环/限制，循环表式不停的发送，限制表式限定指定次数发送，如图，如果选中“限制”，输入10，则表示发送10次后，自动停止发送，递增/递减，表式报文发送过程是否执行递增递减策略；
速率显示：2/2，前边的数字表式共执行了多少次发送，后边的数字共发送了多少个报文；pps表式每秒发送的报文数量；

3. 分析报文
步骤一：获取接口列表。点击主界面工具栏中的“刷新列表”按钮（或对应菜单“接口->刷新接口”），所有接口会列在左侧窗口中，选中要使用的接口。
点击工具栏中的“启动接口”按钮，接口启动。点击工具栏中的“开始抓包按钮”，应用程序进入网络监听状态。

步骤二：按照下图调整“发送间隔”等参数，再点击“开始/停止发送报文组”按钮，发送刚刚创建的报文。

步骤三：点击工具栏中的“停止抓包按钮”，分析所抓获的数据包。