CableMCP

WireMCP es un servidor de Protocolo de Contexto de Modelo (MCP) diseñado para dotar a los Modelos de Lenguaje Grandes (LLM) de capacidades de análisis de tráfico de red en tiempo real. Al aprovechar herramientas basadas en tshark de Wireshark, WireMCP captura y procesa datos de red en tiempo real, proporcionando a los LLM un contexto estructurado para facilitar tareas como la búsqueda de amenazas, el diagnóstico de red y la detección de anomalías.

Características

WireMCP expone las siguientes herramientas a los clientes MCP, mejorando la comprensión de LLM de la actividad de la red:

• capture_packets : captura tráfico en vivo y devuelve datos de paquetes sin procesar como JSON, lo que permite a los LLM analizar detalles a nivel de paquete (por ejemplo, direcciones IP, puertos, métodos HTTP).
• get_summary_stats : proporciona estadísticas de jerarquía de protocolo, brindando a los LLM una descripción general de la composición del tráfico (por ejemplo, uso de TCP frente a UDP).
• get_conversations : proporciona estadísticas de conversaciones TCP/UDP, lo que permite a los LLM realizar un seguimiento de los flujos de comunicación entre puntos finales.
• check_threats : captura direcciones IP y las compara con la lista negra de URLhaus, lo que proporciona a los LLM un contexto de inteligencia de amenazas para identificar actividad maliciosa.
• check_ip_threats : realiza búsquedas de inteligencia sobre amenazas específicas para direcciones IP específicas en múltiples fuentes de amenazas, brindando datos detallados sobre reputación y amenazas.
• analyze_pcap : analiza archivos PCAP para proporcionar datos de paquetes completos en formato JSON, lo que permite un análisis detallado posterior a la captura del tráfico de red.
• extract_credentials : escanea archivos PCAP en busca de posibles credenciales de varios protocolos (autenticación básica HTTP, FTP, Telnet), lo que ayuda en auditorías de seguridad y análisis forense.

Cómo ayuda a los LLM

WireMCP cierra la brecha entre los datos de red sin procesar y la comprensión de LLM mediante:

• Contextualización del tráfico : convierte capturas de paquetes en vivo en salidas estructuradas (JSON, estadísticas) que los LLM pueden analizar y razonar.
• Detección de amenazas : integra IOC (actualmente URLhaus) para marcar IP sospechosas, lo que mejora el análisis de seguridad impulsado por LLM.
• Diagnóstico : ofrece información detallada del tráfico, lo que permite a los LLM ayudar a solucionar problemas o identificar anomalías.
• Generación narrativa : los LLM pueden transformar capturas de paquetes complejas en historias coherentes, haciendo que el análisis de red sea accesible para usuarios no técnicos.

Instalación

Prerrequisitos

• Mac / Windows / Linux
• Wireshark (con tshark instalado y accesible en PATH)
• Node.js (se recomienda v16+)
• npm (para la instalación de dependencias)

Configuración

1. Clonar el repositorio:
   git clone https://github.com/0xkoda/WireMCP.git cd WireMCP
2. Instalar dependencias:
   npm install
3. Ejecute el servidor MCP:
   node index.js

Nota : Asegúrate de que tshark esté en tu PATH. WireMCP lo detectará automáticamente o recurrirá a ubicaciones de instalación comunes (p. ej., /Applications/Wireshark.app/Contents/MacOS/tshark en macOS).

Uso con clientes MCP

WireMCP funciona con cualquier cliente compatible con MCP. A continuación, se muestran ejemplos de clientes populares:

Ejemplo 1: Cursor

Edite mcp.json en Cursor -> Configuración -> MCP:

Ubicación (macOS) : /Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json

Otros clientes

Este MCP funcionará correctamente con cualquier cliente. Use el comando node /path/to/WireMCP/index.js en la configuración del servidor MCP.

Ejemplo de salida

Ejecutar check_threats podría generar lo siguiente:

Ejecución analyze_pcap en un archivo de captura:

Los LLM pueden utilizar estos resultados para:

• Proporcionar explicaciones en lenguaje natural de la actividad de la red.
• Identificar patrones y posibles problemas de seguridad
• Ofrecer recomendaciones adaptadas al contexto
• Generar informes legibles para humanos

Hoja de ruta

• Ampliar los proveedores de IOC : Actualmente se utiliza URLhaus para la comprobación de amenazas. Las futuras actualizaciones integrarán fuentes adicionales (p. ej., IPsum, amenazas emergentes) para una cobertura más amplia.

Contribuyendo

¡Agradecemos sus contribuciones! No dude en enviar una solicitud de incorporación de cambios. Para cambios importantes, primero abra una incidencia para comentar qué desea cambiar.

Licencia

Instituto Tecnológico de Massachusetts (MIT)

Expresiones de gratitud

• El equipo de Wireshark/tshark por sus excelentes herramientas de análisis de paquetes
• Comunidad de protocolos de contexto de modelo para el marco y las especificaciones
• URLhaus para proporcionar datos de inteligencia sobre amenazas