本文介绍了WireMCP，一个基于Wireshark的MCP协议服务器，它通过与AI IDE集成，构建了一个智能化的数据包采集、处理与分析闭环系统。WireMCP实时捕获和结构化网络流量，AI IDE利用大语言模型进行语义级分析，从而实现异常行为识别、协议特征分析和潜在威胁检测，提升网络数据分析的效率和准确性。

💡 WireMCP 是一款结合了 Wireshark 和大型语言模型（LLMs）的工具，旨在通过实时网络流量分析来增强 LLMs 的能力。它能够捕获和处理实时网络数据，为 LLMs 提供结构化上下文，从而协助威胁追踪、网络诊断和异常检测等任务。

📡 WireMCP 提供了多种功能，包括：捕获实时流量并以 JSON 格式返回数据包数据，生成协议层次结构统计信息，提供 TCP/UDP 会话统计信息，以及对照 URLhaus 黑名单检查 IP。此外，它还能分析 PCAP 文件，提取潜在凭据，并对离线 DNS 数据包进行异常分析。

⚙️ 安装和配置 WireMCP 涉及克隆存储库、安装依赖项、运行 MCP 服务器以及配置 Trae 的 AI 管理。用户需要手动输入配置文件，并添加相应的智能体。配置完成后，即可使用 WireMCP 的各种分析功能，如捕获数据包、获取统计信息、检查威胁等。

🎯 通过将 WireMCP 与 AI IDE 集成，可以实现快速分析、智能解读和自动响应。这种技术组合提升了网络数据分析的效率和准确性，为构建智能、高效的网络运维与安全防护体系提供了新的可能性。

我用Trae 做了一个有意思的Agent 「wiremcp」。 点击 s.trae.com.cn/a/804237 立即复刻，一起来玩吧！

---

一、前言

网络流量分析是排查网络故障、保障安全的重要手段。通过对传输中的数据包进行捕获与解析，可以精准定位通信异常、识别潜在攻击行为（如DDoS、恶意流量）、检测协议错误及性能瓶颈。尤其在复杂网络环境或安全事件调查中，数据包分析能提供最原始、最真实的通信记录，为故障修复、威胁响应和合规审计提供关键依据，是实现网络可视化与主动防御的核心技术。

传统数据包分析依赖工程师手动使用Wireshark等工具逐帧查看，耗时且专业门槛高。这里尝试通过WireMCP来现实初步的自动化数据包分析，提供排障效率。

WireMCP 是一个模型上下文协议（MCP）服务器，旨在通过实时网络流量分析能力来增强大型语言模型（LLMs）。通过利用基于 Wireshark 的 tshark 构建的工具，WireMCP 可以捕获和处理实时网络数据，为 LLMs 提供结构化上下文，协助完成诸如威胁追踪、网络诊断和异常检测等任务。

二、安装Wire MCP

1、克隆存储库：

git clone https://github.com/0xkoda/WireMCP.gitcd WireMCP

2、安装依赖项：

npm install

3、运行 MCP 服务器：

node index.js

4、将wireshark的目录填入到path中

三、配置Wire MCP

1、打开Trae的AI管理，添加Wire MCP。2、手动输入如下的配置文件。

{  "mcpServers": {    "wiremcp": {      "command": "node",      "args": [        "/Users/Administrator//Desktop/WireMCP-main/WireMCP-main/index.js"      ]    }  }}

3、添加对应的智能体，点击创建即可。

四、使用Wire MCP分析数据包

1、capture_packets: 捕获实时流量并将原始数据包数据作为 JSON 返回，使 LLM 能够分析数据包级别的详细信息（例如，IP 地址、端口、HTTP 方法）。对数据包完成了自动捕获。

2、get_summary_stats: 提供协议层次结构统计信息，使 LLM 能够了解流量组成概况（例如，TCP 与 UDP 的使用情况）。get_conversations: 提供 TCP/UDP 会话统计信息，允许 LLM 跟踪端点之间的通信流。

3、check_threats: 捕获 IP 并对照 URLhaus 黑名单进行检查，为 LLM 提供威胁情报上下文，以识别恶意活动。check_ip_threats: 针对多个威胁源对特定 IP 地址执行有针对性的威胁情报查找，提供详细的信誉和威胁数据。

分析结果如下：

The captured PCAP file was analyzed using tshark with filters targeting common threat indicators (e.g., ports 4444, 80, 443, 53; suspicious user agents; malware-related DNS queries). The analysis output included packet details, though no explicit malicious signatures were identified in the truncated logs.

4、analyze_pcap: 分析 PCAP 文件以 JSON 格式提供全面的数据包数据，从而能够对网络流量进行详细的捕获后分析。

分析的结果如下：

The PCAP file analysis was successfully performed using Wireshark's tshark command-line tool. Here's a summary of the key findings from the packet data:- Packet Timestamps : Packets were captured between May 9, 2025 23:48:59 and 23:49:00 (China Standard Time).- IP Addresses : Observed IP traffic includes source addresses like 172.16.30.39 and destination addresses like 58.221.28.12 .- Ports : Common TCP ports observed include 4118 and 15497 .- Packet Information : Packets contain details such as "Len=146", "Len=162", "Len=626", and ARP requests like "Who has 172.16.30.50? Tell 172.16.30.38".

5、extract_credentials: 扫描 PCAP 文件中来自各种协议（HTTP Basic Auth、FTP、Telnet）的潜在凭据，有助于安全审计和取证分析。

分析结果如下：

After attempting to extract credentials using tshark with filters for HTTP Basic Auth, FTP, and Telnet traffic on the provided PCAP file ( C:\Users\Public\capture.pcap ), no credentials were detected in the output logs. This suggests either the PCAP file does not contain traffic with these types of credentials or the filters used did not match the actual traffic patterns.To further investigate, consider:1. Verifying the PCAP file contains HTTP Basic Auth, FTP, or Telnet traffic.2. Adjusting the tshark display filter to include additional credential-bearing protocols (e.g., SMTP, POP3).3. Ensuring the PCAP file is accessible and contains unencrypted traffic (credentials in encrypted traffic cannot be extracted without decryption keys).

6、也可以分析离线的Pcap数据包，比如这里有一个ftp.pcap包，可以通过上下文的文件来进行引用。分析结果如下，可以看到可以把整个ftp的会话完整(用户认证信息、文件传输、会话交互)的分析出来，已经节省了我们很多的时间。

7、对一份离线的DNS数据包进行异常分析。在解析内容然后进行分析。分析结果如下，有个整体概述，还提供了进一步的建议。

五、总结

通过将WireMCP（基于Wireshark的MCP协议服务器）与AI IDE集成，可构建一个智能化的数据包采集、处理与分析闭环系统。WireMCP实时捕获和结构化网络流量，AI IDE则利用大语言模型的强大理解能力，对流量数据进行语义级分析，自动识别异常行为、协议特征和潜在威胁。

1、情境化流量：将实时数据包捕获转换为 LLM 可以解析和推理的结构化输出（JSON、统计信息）。

2、威胁检测：集成 IOC（目前为 URLhaus）以标记可疑 IP，从而增强 LLM 驱动的安全分析。

3、故障诊断：提供详细的流量洞察，使 LLM 能够协助进行故障排除或识别异常。

4、叙事生成：LLM 可以将复杂的数据包捕获转换为连贯的故事，使非技术用户也能访问网络分析。

5、Pcap分析：可以分析离线Pcap数据包，弥补了当前大模型无法直接分析pcap的缺陷。

AI IDE + WireMCP = 快速分析 + 智能解读 + 自动响应，这一技术组合不仅提升了网络数据分析的效率与准确性，更为企业构建智能、高效的网络运维与安全防护体系提供了全新可能。