Xcap的使用

xcap是一个免费的网络发包工具，可以构造和发送常用的网络报文，如arp、ip、icmp，udp等。这个是最新的中文版，支持构造报文和发送报文。

 

一、     主要功能：

 

1.       构造报文

支持构造常见的以太网报文，包括arp、rarp、ipv4、ipv6、icmpv4、icmpv6、igmp、udp、tcppim、ospf、rip、snmp、ppp、pppoe、ipsec（ah/esp）等等，以及一些不常用的报文，如果802.3、STP等等。其中，部分协议没有完成。

构造报文使用向导的方式，依次构造每一层协议的头部；构造完一层协议的头部后，从界面中选择相应的下一头部类型，然后点击下一步，即可生成对应的协议，如以太网中选择0x0800，则点击下一步按钮后，创建IP头部构造界面。

 

2.       发送报文

WinPcap能从系统中读取处所有的网络接口，本功能可以从指定的接口发送构造的报文，支持两种简单的发送策略，一是发送选中的（用鼠标选中），二是循环发送复选框选中的报

文。具体操作见后面详细介绍。

 

3.       辅助功能

- IP分片

-响应ARP/NDP查询

-响应ICMP Echo Request

- TCL控制发送

-支持中文、英文界面

-提供WinPcap格式的文件浏览，可以和WireShark结合使用

-抓包，报文分析

 

二、     Xcap的使用

 

1.       安装

在使用Xcap前，应先安装Wincap以便能够读取网络接口，只要安装了wireshark就会自动安装Wincap。有了Wincap后，只需要解压就可以使用Xcap

第一次打开xcap时，会显示加载报文失败，因为默认设置了加载报文的目录，打开Xcap后，在configuration将自动导入文件取消掉即可。

1.       选择网卡

刷新接口

刷新接口后，就可以识别网卡。

获取到的接口信息

 

选择对应的端口，并启动。

3.       用Xcap进行flood攻击

 

1)        创建报文组

创建报文组

创建报文

 

1)        双击报文即可对报文进行修改

修改报文

 

1)        IPV4头部页面

IPV4头部

 

1)        以TCP报文为例

TCP报文

1)        报文内容

data

1)        发送报文

发送报文

 

对于一个报文，最大的发包速率为1000pps，如果有n个报文，那么最大发包速率就为1000n pps，但由于Xcap并没有对资源的使用作出限制，因此可能会出现资源占用过多而死机的现象

 

1)        对报文进行分片

报文分片

设置分片参数

1.       利用Xcap进行http flood攻击

这里我们利用短时间内发送http get报文进行攻击。

 

1)        利用wireshark抓包，把抓到的get报文单独存起来

保存http get报文

1)        将报文导入Xcap中

导入http get报文

1)        在防火墙上配置好httpflood抗攻击策略后，即可检测到攻击

产生日志

一、     注意事项

1、最大支持64K长度的报文，软件中没有做长度检查，超过该长度，有可能导致软件异常退出；

2、抓包功能没有对内存使用做限制，如果抓包数量过多，会导致软件异常退出，抓包功能仅仅是为了简单的测试以及TCL脚本使用，对于大数据量或者复杂的功能，建议使用专用的抓包软件，如Wireshark等；

3、最大支持16个网络接口；

4、每个报文组最大支持32768个报文，软件不做检查；

5、流量测试不精确，这是由操作系统决定的，本软件偏重于报文的构造和发送，由于受操作系统和WinPcapSDK的影响，只能做简单的流量测试；

6、不同版本的报文文件（.xcap）不兼容，导入时有可能导致软件，在正式版本1.0发布之前，所有版本都不做兼容；如果想从高版本导入低版本的报文文件，请用低版本软件将文件另存为xml格式后，再用高版本软件打开。