【造包工具】【Xcap】精讲Xcap构造分片包（IPv4、ipv6、4G\5G等pcap均可），图解超赞超详细！！！

目录

前言

1. XCap工具概念介绍

2. Xcap环境说明

2.1 新建报文组

2.2 导入数据包

2.3 查看报文组

2.4 复制删除报文组

3. 构造分片包

3.1 造普通/外层分片步骤：

 3.2 造内层分片步骤

3.2.1 建立一个新报文

3.2.2 将组装的新报文分片

3.2.3 替换原始包内层部分

3.2.4 修改包某些字段length

---

前言

     前辈们开发这个Xcap工具，让我有机会站在巨人的肩膀上总结出本篇文章，实在不慎荣幸，希望本篇对构造分片pcap报文的讲解，能对从事通信网络相关的同辈们有帮助~~

      需要XCap工具包和想构造任一协议分片包方法文档的同学们，可以下载:

 精讲xcap造包工具（含构造5G、IPV4\IPV6分片报文方法，图文并茂精华版，超详细！）.rar

1. XCap工具概念介绍

      XCap是一款强大的网络封包分析工具，专为网络调试、安全检测和数据包捕获而设计。它以其高度自定义的数据包构建能力以及内置的抓包功能，深受IT专业人士的喜爱。本文将详细介绍XCap的核心功能、使用方法以及其在实际工作中的应用。该工具可以帮助用户轻松构造网络数据包，并控制发包的速率、选择发送接口、导入pcap包进行修改或调序，甚至可以构造一些异常包，满足各种网络测试和分析的需求。

      xcap是一个免费的网络发包工具，可以使用xcap制造和发送报文，不如比较常用的arp、IP、icmp、udp、tcp等

      但是很少人知道或者掌握Xcap可以有效地造普通分片包、外层分片包和内层分片包。

2. Xcap环境说明

2.1 新建报文组

     进入软件后，首先右键“报文组”，创建新报文组。

2.2 导入数据包

右键“报文组”，选择“从.pcap文件中读取”，选中想要分片的包，即可导入。

2.3 查看报文组

    按住键盘“shift”，单击第1、2、3包，即选中这三个包，然后右键，看到倒数第二选项“查看报文组”，点击一下，即可进入wireshark，同时可以另存为pcap、enc格式等。

2.4 复制删除报文组

在页面上选中某个包，或者按shift选中大量报文，Ctrl+ C 、Ctrl+ V即可单独/批量复制粘贴，同时也可删除已选中的报文组。

3. 构造分片包

3.1 造普通/外层分片步骤：

       按照步骤导入报文，然后选中报文，右键选择“创建分片”，点击，会弹出对话框，请在对话框内输入你想要分片包大小的均值，分片成功后，选中已分片报文，右键点击“查看报文组”进入wireshark，即可导出分片包。注：输入均值大小可以控制分片的个数。

 

 3.2 造内层分片步骤

        经过多次尝试，发现该软件似乎是默认分片外层，所以目前采取以下策略实现内层分片。

3.2.1 建立一个新报文

       点击页面上的“+”，建立一个新报文，我们构造该报文由原始包的ip头和内层部分组成（如图3的红色框和蓝色框）。

        选中该新报文，右键，依次选择“以其他格式打开”》》“以HexStr格式打开”，如图二，确认后，出现页面如图二。然后在wireshark里分别把原始包的ip头和内层部分以Hex Stream格式复制出来（操作如图3），粘贴到到图2的Data里，结果如图4，粘好后，依次点击 保存》关闭。注：这里是分段复制的，所以每次复制的时候注意看下最后几个字节是否正确，避免粘错。

 图1

 图2

 图3

 图4

3.2.2 将组装的新报文分片

      到上述步骤，一个由原始ip头和内层部分组成的新报文已经构造成功，此时若在Xcap里直接将其分片，会出现如下图5错误，故依次通过 查看报文组》wireshark以pcap格式导出数据包》重新把包导入Xcap，然后将其分片（如图6）。

图5

图6 

3.2.3 替换原始包内层部分

        这里是创建内层分片2个，故需导入Xcap两个原始包（可以直接复制两份），然后选中第1个原始包，右键依次选择“以其他格式打开”》》“以HexStr格式打开”，这里可以把原始包的内容以Hex Sream粘贴出来，把GTP头以下的内层部分全部删除（如下图7蓝色框3或图8蓝色框），粘贴上已造好的分片ip层以下的内容（如下图7红色框2或图9红色框）。   

      注：这里等于是用创建的分片包ip头以下部分替换原始包内层部分，是分别把原始包3部分和新报文的分片包4部分去掉，把1部分和2部分结合到一起组成一个新的分片包。同理第二个分片包也照此操作。。。这里其实可以在Xcap里直接构造包，不用导入原始包(导入原始包是为了让操作者知道“原始包内层部分被替换概念”)。另外为避免复制错误，复制和粘贴字段时注意下最后两个字节。

 

图7 

 图8 

 

图9 

3.2.4 修改包某些字段length

      这一步在Xcap里，查看这两个构造好的分片包，用wireshark打开，此时会提示你包的某些字段length出错（如图10），记录下提示的length信息，再次返回到Xcap，以HexStr格式打开这2个包，分别修改好对应的length信息，届时整个内层分片构造已完成，把包导出即可。

        备注：内层分片还有一种造法，即分别把普通tcp分片包加上GTP头部及以上内容（如图8红色框），方法就是先把分片包导入Xcap，然后以HexStr格式打开，把内容粘贴出来，把分片包的ip层（如图7的蓝色框4或图9的蓝色框）删除，粘贴上GTP头部及以上内容（如图7的红色框1或图8红色框），然后再进行此步骤即可。