🚀 WireMCP 中文版
WireMCP 是基于模型上下文协议(MCP)的服务器,它借助实时网络流量分析能力,为大型语言模型(LLMs)提供结构化上下文信息,助力完成威胁狩猎、网络诊断和异常检测等重要任务。
🚀 快速开始
WireMCP 旨在搭建起 LLM 与网络数据之间的桥梁,通过将实时包捕获数据转换为结构化输出,集成威胁情报,提供详细流量见解及生成自然语言报告,帮助 LLM 更好地理解和分析网络活动。
✨ 主要特性
WireMCP 为 MCP 客户端提供一系列工具,增强 LLM 对网络活动的理解能力:
capture_packets:捕获实时流量,返回 JSON 格式的原始包数据,便于 LLM 分析包级细节,如 IP 地址、端口、HTTP 方法等。get_summary_stats:提供协议层次统计信息,让 LLM 了解流量组成概况,如 TCP 和 UDP 的使用情况。get_conversations:返回 TCP/UDP 对话统计信息,帮助 LLM 追踪端点之间的通信流程。check_threats:捕获 IP 地址并查询 URLhaus 黑名单,为 LLM 提供威胁情报上下文,以便识别恶意活动。check_ip_threats:针对特定 IP 地址执行多源威胁情报查询,如 URLhaus、IPsum、Emerging Threats 等,提供详细的声誉和威胁数据。analyze_pcap:分析 PCAP 文件,输出 JSON 格式的详细包数据,支持深入的流量回溯分析。extract_credentials:从 PCAP 文件中扫描多种协议(如 HTTP 基本认证、FTP、Telnet)中的潜在凭证信息,辅助安全审计和取证分析。
🔧 技术细节
为何帮助 LLM
WireMCP 在 LLM 和网络数据之间发挥着关键的桥梁作用:
- 流量上下文化:将实时包捕获转换为结构化的输出(JSON、统计信息),使 LLM 能够解析并推理。
- 威胁检测:集成 IOCs(如 URLhaus)以标记可疑 IP,增强 LLM 驱动的安全分析能力。
- 诊断支持:提供详细的流量见解,帮助 LLM 提供故障排除和建议。
- 自然语言报告:生成易于理解的文本解释和报告。
未来规划
- 扩展 IOC 数据源:目前仅使用 URLhaus 进行威胁检查。计划整合更多来源(如 IPSum、Emerging Threats)以扩大覆盖范围。
💡 参与贡献
欢迎大家积极参与贡献!您可以随时提交 Pull Request。若有重大更改,请先打开问题讨论您的变更意向。
📄 许可证
本项目采用 MIT 许可证。
🙏 致谢
- 感谢 Wireshark/tshark 团队开发的优秀包分析工具。
- 感谢模型上下文协议(MCP)社区制定的框架和规范。
- 感谢 URLhaus 提供的威胁情报数据。