Wireshark-MCP:为 LLM 提供原生的抓包分析能力
Wireshark MCP,主要想解决在让大模型辅助做网络排障、安全分析或 CTF 时,缺乏直接操作底层网络数据包手段的痛点。
通过把 Wireshark 套件封装为标准的 MCP(Model Context Protocol)接口,现在你可以直接在 Cursor、Claude 等客户端里把 .pcap 文件丢给 AI,它会调用底层的原生工具做可靠的分析。
核心特性
- 基于原生工具:核心逻辑直接基于本地的
tshark。如果系统内检测到capinfos、editcap、dumpcap等工具,它会自动扩展出包裁剪、合并甚至实施抓包的能力。AI 得出的结论都有确凿的帧编号和流索引作为证据,不再靠猜。 - Agentic Workflows:除了基础的查询和提取,也封装了高级的一键分析流(例如
wireshark_quick_analysis和wireshark_security_audit),直接覆盖威胁情报查杀(联动 URLhaus)、明文扫描、异常端口探测等常见场景。 - 开箱即用的配置:很多人配 MCP 会因为环境路径卡住。我们做了自动化检测,提供
wireshark-mcp install命令,一行代码即可自动寻找并注入 Cursor、Claude Desktop、VS Code、Cline 等近 20 种 AI 客户端的配置中,并解决路径透传问题。
安装步骤
前置条件:系统已安装 Python 3.10+,以及至少包含 tshark 的 Wireshark。
bash
# 1. 安装核心包
pip install wireshark-mcp
# 2. 自动检测并写入你的 AI 客户端配置
wireshark-mcp install
完成后重启 AI 客户端即可。如果不放心,可以运行 wireshark-mcp doctor 检查环境是否全部就绪。
如何使用
在客户端中直接发一段 prompt 测试即可:
使用 Wireshark MCP 工具来分析
<path/to/file.pcap>。请先运行wireshark_open_file建立全局画像,然后做一次深度安全审计,并将结果整理成报告。
相关链接
如果日常工作涉及网络排障、协议分析或者安全对抗,欢迎体验并提建议。 项目地址:github.com/bx33661/Wir…
