WireMCP
2025.04.01
83
JavaScript网络流量分析威胁检测网络诊断开发效率
WireMCP是一个基于模型上下文协议(MCP)的服务器,旨在为大型语言模型(LLMs)提供实时网络流量分析能力。通过利用基于Wireshark的`tshark`工具,WireMCP捕获并处理实时网络数据,为LLMs提供结构化上下文,以协助完成威胁狩猎、网络诊断和异常检测等任务。
View on GitHub
Overview
基本能力
产品定位
WireMCP是一个网络流量分析工具,专为增强大型语言模型(LLMs)在网络流量分析、威胁检测和网络诊断方面的能力而设计。
核心功能
WireMCP提供以下核心功能:
- 实时数据捕获:通过capture_packets工具捕获实时网络流量,并以JSON格式返回原始数据包数据。
- 流量统计:通过get_summary_stats工具提供协议层次统计信息,帮助LLMs理解流量组成。
- 会话跟踪:通过get_conversations工具提供TCP/UDP会话统计信息,跟踪端点之间的通信流。
- 威胁检测:通过check_threats和check_ip_threats工具检查IP地址是否在黑名单中,提供威胁情报。
- PCAP分析:通过analyze_pcap工具分析PCAP文件,提供详细的网络流量数据。
- 凭证提取:通过extract_credentials工具扫描PCAP文件中的潜在凭证,用于安全审计和取证分析。
适用场景
- 威胁狩猎:识别网络中的恶意活动。
- 网络诊断:帮助分析和解决网络问题。
- 异常检测:发现网络流量中的异常行为。
- 安全审计:提取和分析网络流量中的敏感信息。
工具列表
capture_packets:捕获实时网络流量并返回JSON格式的数据包数据。get_summary_stats:提供协议层次统计信息。get_conversations:提供TCP/UDP会话统计信息。check_threats:检查捕获的IP地址是否在黑名单中。check_ip_threats:针对特定IP地址进行威胁情报查询。analyze_pcap:分析PCAP文件并提供详细的网络流量数据。extract_credentials:扫描PCAP文件中的潜在凭证。
常见问题解答
- 如何确保
tshark在PATH中? WireMCP会自动检测tshark或回退到常见的安装位置(如macOS上的/Applications/Wireshark.app/Contents/MacOS/tshark)。 - 如何扩展威胁情报来源? 未来计划集成更多威胁情报源(如IPsum、Emerging Threats)。
使用教程
使用依赖
- 操作系统:Mac / Windows / Linux
- Wireshark:需安装并确保
tshark在PATH中。 - Node.js:推荐使用v16及以上版本。
- npm:用于安装依赖。
安装教程
- 克隆仓库:
bash git clone https://github.com/0xkoda/WireMCP.git cd WireMCP - 安装依赖:
bash npm install - 运行MCP服务器:
bash node index.js
调试方式
- 确保
tshark在PATH中。 - 检查Node.js版本是否符合要求。
- 运行
node index.js后,查看是否有错误输出。