让Wireshark变身智能助手：pcap-mcp如何重塑抓包分析工作流让Wireshark变身智能助手：pcap-mc

让Wireshark变身智能助手：pcap-mcp如何重塑抓包分析工作流

在5G核心网/IMS/SBI联调中，工程师常陷入PCAP分析的"手工地狱"：

pcap-mcp做的事很直接：把 Wireshark/tshark 的“关键动作”拆成一组结构化 MCP Tools。你把 PCAP 交给智能体，它就能按固定流程做定位、下钻、串会话、对齐时间线——更像在跑一个可复现的排障脚本，而不是在 UI 里反复点来点去。

MCP（Model Context Protocol）是连接AI系统与专业工具的协议：

./scripts/install.sh  # 一键完成环境配置

自动处理：Python环境、tshark依赖、系统权限

pcap_frames_by_filter：用 Display Filter 快速定位关键帧（例如 SIP 580）
pcap_timeline：把关键字段抽成时间线（支持分页），跨协议对齐因果链
pcap_follow：从一帧提取 key 并生成会话跟踪条件（HTTP2 streamid / SIP Call-ID / Diameter Session-Id）

iPhone IMS呼叫失败，SIP返回580（通常表示QoS资源未建立）

先把“关键帧号”找出来（可分页）
用 pcap_frames_by_filter 输入 Wireshark Display Filter，拿到一批 frame.number：
- 过滤示例：sip && sip.Status-Code==580
对关键帧做“可控下钻”（替代手工点开协议树）
对上一步返回的某个帧号调用 pcap_frame_detail：
- 想看全量协议树：restrict_layers=false
- 想聚焦：restrict_layers=true + layers=["sip","diameter","http2","nas-5gs","ngap"]（按你的抓包类型与关心层选择）
- 为了避免输出爆炸：用 max_bytes 做截断保护
把“会话链”串起来，而不是靠肉眼翻包
从关键帧直接用 pcap_follow 生成 follow filter，并可返回匹配帧列表：
- SIP：按 Call-ID 串起 INVITE/183/PRACK/UPDATE/最终响应
- Diameter：按 Session-Id 串起 AAR/AAA（例如 diameter && diameter.cmd.code==265）
- HTTP2：按 streamid 串起 /npcf* 请求与响应

最后用时间线“对齐因果”
用 pcap_timeline 在同一组过滤条件下抽字段（分页），把跨协议事件排成一行一行的证据：

字段示例：frame.time_relative、ip.src、ip.dst、sip.Call-ID、sip.Status-Code、diameter.Session-Id、diameter.cmd.code、http2.streamid、http2.headers.path

下面是“呈现效果”的示意（字段/时间戳以你的抓包为准）：

时间戳	协议	关键字段/事件
12:34:49	Diameter	AAR/AAA (cmd.code=265), Session-Id
12:34:51	HTTP2	:path=/npcf/sm-policies ... (streamid)
12:34:53	NAS/NGAP	Reject cause（如存在）
12:34:56	SIP	Status-Code: 580

问题链路：
SDP 配置错误 → Diameter 策略冲突 → UE 拒绝资源建立 → SIP 580

根本原因：
IPv4媒体流部署在IPv6 PDU会话导致规则冲突

技术栈：Python 3.10+ / tshark / MCP协议
适用场景：5GC/IMS联调、自动化测试、协议分析