WireMCP
一个模型上下文协议服务器,为大型语言模型提供实时网络流量分析能力,从而可以通过 Wireshark 的 tshark 实现诸如威胁追踪、网络诊断和异常检测等任务。
Tools
capture_packets
Capture live traffic and provide raw packet data as JSON for LLM analysis
get_summary_stats
Capture live traffic and provide protocol hierarchy statistics for LLM analysis
get_conversations
Capture live traffic and provide TCP/UDP conversation statistics for LLM analysis
check_threats
Capture live traffic and check IPs against URLhaus blacklist
check_ip_threats
Check a given IP address against URLhaus blacklist for IOCs
analyze_pcap
Analyze a PCAP file and provide general packet data as JSON for LLM analysis
extract_credentials
Extract potential credentials (HTTP Basic Auth, FTP, Telnet) from a PCAP file for LLM analysis
README
WireMCP
WireMCP 是一个模型上下文协议 (MCP) 服务器,旨在为大型语言模型 (LLM) 提供实时网络流量分析能力。通过利用构建在 Wireshark 的 tshark 之上的工具,WireMCP 捕获和处理实时网络数据,为 LLM 提供结构化上下文,以协助诸如威胁狩猎、网络诊断和异常检测等任务。
功能
WireMCP 向 MCP 客户端公开以下工具,增强 LLM 对网络活动的理解:
capture_packets: 捕获实时流量并将原始数据包数据作为 JSON 返回,使 LLM 能够分析数据包级别的详细信息(例如,IP 地址、端口、HTTP 方法)。get_summary_stats: 提供协议层次结构统计信息,使 LLM 能够了解流量组成概况(例如,TCP 与 UDP 的使用情况)。get_conversations: 提供 TCP/UDP 会话统计信息,允许 LLM 跟踪端点之间的通信流。check_threats: 捕获 IP 并对照 URLhaus 黑名单进行检查,为 LLM 提供威胁情报上下文,以识别恶意活动。check_ip_threats: 针对多个威胁源对特定 IP 地址执行有针对性的威胁情报查找,提供详细的信誉和威胁数据。analyze_pcap: 分析 PCAP 文件以 JSON 格式提供全面的数据包数据,从而能够对网络流量进行详细的捕获后分析。extract_credentials: 扫描 PCAP 文件中来自各种协议(HTTP Basic Auth、FTP、Telnet)的潜在凭据,有助于安全审计和取证分析。
它如何帮助 LLM
WireMCP 通过以下方式弥合了原始网络数据与 LLM 理解之间的差距:
- 情境化流量: 将实时数据包捕获转换为 LLM 可以解析和推理的结构化输出(JSON、统计信息)。
- 威胁检测: 集成 IOC(目前为 URLhaus)以标记可疑 IP,从而增强 LLM 驱动的安全分析。
- 诊断: 提供详细的流量洞察,使 LLM 能够协助进行故障排除或识别异常。
- 叙事生成: LLM 可以将复杂的数据包捕获转换为连贯的故事,使非技术用户也能访问网络分析。
安装
前提条件
- Mac / Windows / Linux
- Wireshark(已安装
tshark并在 PATH 中可访问) - Node.js (v16+ 推荐)
- npm(用于依赖项安装)
设置
-
克隆存储库:
git clone https://github.com/0xkoda/WireMCP.git cd WireMCP -
安装依赖项:
npm install -
运行 MCP 服务器:
node index.js
注意: 确保
tshark在您的 PATH 中。 WireMCP 将自动检测它,或者回退到常见的安装位置(例如,macOS 上的/Applications/Wireshark.app/Contents/MacOS/tshark)。
与 MCP 客户端一起使用
WireMCP 适用于任何符合 MCP 规范的客户端。 以下是流行客户端的示例:
示例 1:Cursor
在 Cursor -> Settings -> MCP 中编辑 mcp.json:
{
"mcpServers": {
"wiremcp": {
"command": "node",
"args": [
"/ABSOLUTE_PATH_TO/WireMCP/index.js"
]
}
}
}
位置 (macOS): /Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json
其他客户端
此 MCP 将与任何客户端良好配合。 在其 MCP 服务器设置中使用命令 node /path/to/WireMCP/index.js。
示例输出
运行 check_threats 可能会产生:
捕获的 IP:
174.67.0.227
52.196.136.253
针对 URLhaus 黑名单的威胁检查:
在 URLhaus 黑名单中未检测到威胁。
在捕获文件上运行 analyze_pcap:
{
"content": [{
"type": "text",
"text": "分析的 PCAP:./capture.pcap\n\n唯一 IP:\n192.168.0.2\n192.168.0.1\n\n协议:\neth:ethertype:ip:tcp\neth:ethertype:ip:tcp:telnet\n\n数据包数据:\n[{\"layers\":{\"frame.number\":[\"1\"],\"ip.src\":[\"192.168.0.2\"],\"ip.dst\":[\"192.168.0.1\"],\"tcp.srcport\":[\"1550\"],\"tcp.dstport\":[\"23\"]}}]"
}]
}
LLM 可以使用这些输出来:
- 提供网络活动的自然语言解释
- 识别模式和潜在的安全问题
- 提供上下文相关的建议
- 生成人类可读的报告
路线图
- 扩展 IOC 提供商: 目前使用 URLhaus 进行威胁检查。 未来的更新将集成其他来源(例如,IPsum、Emerging Threats)以获得更广泛的覆盖范围。
贡献
欢迎贡献! 请随时提交 Pull Request。 对于重大更改,请先打开一个 issue 讨论您想要更改的内容。
许可证
致谢
- Wireshark/tshark 团队提供的出色数据包分析工具
- 模型上下文协议社区提供的框架和规范
- URLhaus 提供威胁情报数据
推荐服务器
Baidu Map
百度地图核心API现已全面兼容MCP协议,是国内首家兼容MCP协议的地图服务商。
Playwright MCP Server
一个模型上下文协议服务器,它使大型语言模型能够通过结构化的可访问性快照与网页进行交互,而无需视觉模型或屏幕截图。
Magic Component Platform (MCP)
一个由人工智能驱动的工具,可以从自然语言描述生成现代化的用户界面组件,并与流行的集成开发环境(IDE)集成,从而简化用户界面开发流程。
Audiense Insights MCP Server
通过模型上下文协议启用与 Audiense Insights 账户的交互,从而促进营销洞察和受众数据的提取和分析,包括人口统计信息、行为和影响者互动。
VeyraX
一个单一的 MCP 工具,连接你所有喜爱的工具:Gmail、日历以及其他 40 多个工具。
graphlit-mcp-server
模型上下文协议 (MCP) 服务器实现了 MCP 客户端与 Graphlit 服务之间的集成。 除了网络爬取之外,还可以将任何内容(从 Slack 到 Gmail 再到播客订阅源)导入到 Graphlit 项目中,然后从 MCP 客户端检索相关内容。
Kagi MCP Server
一个 MCP 服务器,集成了 Kagi 搜索功能和 Claude AI,使 Claude 能够在回答需要最新信息的问题时执行实时网络搜索。
e2b-mcp-server
使用 MCP 通过 e2b 运行代码。
Neon MCP Server
用于与 Neon 管理 API 和数据库交互的 MCP 服务器
Exa MCP Server
模型上下文协议(MCP)服务器允许像 Claude 这样的 AI 助手使用 Exa AI 搜索 API 进行网络搜索。这种设置允许 AI 模型以安全和受控的方式获取实时的网络信息。