local-only server

The server can only run on the client’s local machine because it depends on local resources.

Integrations

Runs on Node.js environment to power the MCP server, enabling real-time network traffic analysis and processing.
Leverages Wireshark's tshark tool to capture and analyze live network traffic, providing packet-level data, protocol statistics, conversation tracking, and credential extraction capabilities for network diagnostics and security analysis.

ワイヤーMCP

WireMCPは、大規模言語モデル（LLM）にリアルタイムのネットワークトラフィック分析機能を提供するために設計されたモデルコンテキストプロトコル（MCP）サーバーです。Wiresharkのtsharkをベースに構築されたツールを活用することで、WireMCPはライブネットワークデータをキャプチャ・処理し、LLMに構造化されたコンテキストを提供することで、脅威ハンティング、ネットワーク診断、異常検知などのタスクを支援します。

特徴

WireMCP は、次のツールを MCP クライアントに公開し、ネットワークアクティビティに関する LLM の理解を強化します。

capture_packets : ライブトラフィックをキャプチャし、生のパケットデータを JSON として返します。これにより、LLM はパケットレベルの詳細 (IP アドレス、ポート、HTTP メソッドなど) を分析できるようになります。
get_summary_stats : プロトコル階層の統計情報を提供し、LLM にトラフィック構成の概要 (TCP と UDP の使用状況など) を提供します。
get_conversations : TCP/UDP 会話統計を提供し、LLM がエンドポイント間の通信フローを追跡できるようにします。
check_threats : IP をキャプチャし、URLhaus のブラックリストと照合して、悪意のあるアクティビティを識別するための脅威インテリジェンスコンテキストを LLM に提供します。
check_ip_threats : 複数の脅威フィードに対して特定の IP アドレスを対象とした脅威インテリジェンス検索を実行し、詳細な評価と脅威データを提供します。
analyze_pcap : PCAP ファイルを分析して、JSON 形式で包括的なパケットデータを提供することで、ネットワークトラフィックのキャプチャ後の詳細な分析を可能にします。
extract_credentials : PCAP ファイルをスキャンして、さまざまなプロトコル (HTTP 基本認証、FTP、Telnet) からの潜在的な資格情報を検索し、セキュリティ監査とフォレンジック分析に役立ちます。

LLMへのメリット

WireMCP は、以下の方法で生のネットワークデータと LLM 理解の間のギャップを埋めます。

トラフィックのコンテキスト化: ライブパケットキャプチャを、LLM が解析して推論できる構造化された出力 (JSON、統計) に変換します。
脅威検出: IOC (現在は URLhaus) を統合して疑わしい IP にフラグを付け、LLM 駆動型のセキュリティ分析を強化します。
診断: 詳細なトラフィック分析情報を提供し、LLM がトラブルシューティングや異常の特定を支援できるようにします。
ナラティブ生成: LLM は、複雑なパケットキャプチャを一貫したストーリーに変換し、技術者以外のユーザーがネットワーク分析にアクセスできるようにします。

インストール

前提条件

Mac / Windows / Linux
Wireshark ( tsharkがインストールされ、PATH でアクセス可能)
Node.js (v16以上を推奨)
npm（依存関係のインストール用）

設定

リポジトリをクローンします。
git clone https://github.com/0xkoda/WireMCP.git cd WireMCP
依存関係をインストールします:
npm install
MCP サーバーを実行します。
node index.js

注: tsharkが PATH に含まれていることを確認してください。WireMCP はこれを自動検出するか、一般的なインストール場所（例: macOS では/Applications/Wireshark.app/Contents/MacOS/tshark ）にフォールバックします。

MCPクライアントでの使用

WireMCPは、MCP準拠のあらゆるクライアントで動作します。以下に、一般的なクライアントの例を示します。

例1: カーソル

カーソル -> 設定 -> MCP でmcp.json編集します。

{
  "mcpServers": {
    "wiremcp": {
      "command": "node",
      "args": [
        "/ABSOLUTE_PATH_TO/WireMCP/index.js"
      ]
    }
  }
}

場所 (macOS) : /Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json

その他のクライアント

このMCPはどのクライアントでも問題なく動作します。MCPサーバー設定でコマンドnode /path/to/WireMCP/index.jsを使用してください。

出力例

check_threatsを実行すると、次のような結果が出力されます。

Captured IPs:
174.67.0.227
52.196.136.253

Threat check against URLhaus blacklist:
No threats detected in URLhaus blacklist.

キャプチャファイルでanalyze_pcap実行します。

{
  "content": [{
    "type": "text",
    "text": "Analyzed PCAP: ./capture.pcap\n\nUnique IPs:\n192.168.0.2\n192.168.0.1\n\nProtocols:\neth:ethertype:ip:tcp\neth:ethertype:ip:tcp:telnet\n\nPacket Data:\n[{\"layers\":{\"frame.number\":[\"1\"],\"ip.src\":[\"192.168.0.2\"],\"ip.dst\":[\"192.168.0.1\"],\"tcp.srcport\":[\"1550\"],\"tcp.dstport\":[\"23\"]}}]"
  }]
}

LLM はこれらの出力を次の目的で使用できます。

ネットワークアクティビティの自然言語による説明を提供する
パターンと潜在的なセキュリティ上の懸念を特定する
状況に応じた推奨事項を提供する
人間が読めるレポートを生成する

ロードマップ

IOCプロバイダーの拡張：現在、脅威チェックにはURLhausを使用しています。今後のアップデートでは、IPsum、Emerging Threatsなどの追加ソースを統合し、より広範なカバー範囲を実現します。

貢献

貢献を歓迎します！お気軽にプルリクエストを送信してください。大きな変更については、まずIssueを開いて、変更したい点について議論してください。

ライセンス

マサチューセッツ工科大学

謝辞

優れたパケット解析ツールを提供するWireshark/tsharkチーム
フレームワークと仕様のためのモデルコンテキストプロトコルコミュニティ
脅威インテリジェンスデータを提供するURLhaus

You must be authenticated.

A

security – no known vulnerabilities

A

license - permissive license

A

quality - confirmed to work

Tools

LLM にリアルタイムのネットワークトラフィック分析機能を提供し、脅威ハンティング、ネットワーク診断、Wireshark の tshark による異常検出などのタスクを可能にするモデルコンテキストプロトコルサーバー。

Related Resources

Reddit Discussion about this server