ワイヤーMCPバナー

ワイヤーMCP

WireMCPは、大規模言語モデル（LLM）にリアルタイムのネットワークトラフィック分析機能を提供するために設計されたモデルコンテキストプロトコル（MCP）サーバーです。Wiresharkのtsharkをベースに構築されたツールを活用することで、WireMCPはライブネットワークデータをキャプチャ・処理し、LLMに構造化されたコンテキストを提供することで、脅威ハンティング、ネットワーク診断、異常検知などのタスクを支援します。

特徴

WireMCP は、次のツールを MCP クライアントに公開し、ネットワークアクティビティに関する LLM の理解を強化します。

capture_packets : ライブトラフィックをキャプチャし、生のパケットデータを JSON として返します。これにより、LLM はパケットレベルの詳細 (IP アドレス、ポート、HTTP メソッドなど) を分析できるようになります。
get_summary_stats : プロトコル階層の統計情報を提供し、LLM にトラフィック構成の概要 (TCP と UDP の使用状況など) を提供します。
get_conversations : TCP/UDP 会話統計を提供し、LLM がエンドポイント間の通信フローを追跡できるようにします。
check_threats : IP をキャプチャし、URLhaus のブラックリストと照合して、悪意のあるアクティビティを識別するための脅威インテリジェンスコンテキストを LLM に提供します。
check_ip_threats : 複数の脅威フィードに対して特定の IP アドレスを対象とした脅威インテリジェンス検索を実行し、詳細な評価と脅威データを提供します。
analyze_pcap : PCAP ファイルを分析して、JSON 形式で包括的なパケットデータを提供することで、ネットワークトラフィックのキャプチャ後の詳細な分析を可能にします。
extract_credentials : PCAP ファイルをスキャンして、さまざまなプロトコル (HTTP 基本認証、FTP、Telnet) からの潜在的な資格情報を検索し、セキュリティ監査とフォレンジック分析に役立ちます。

LLMへのメリット

WireMCP は、以下の方法で生のネットワークデータと LLM 理解の間のギャップを埋めます。

トラフィックのコンテキスト化: ライブパケットキャプチャを、LLM が解析して推論できる構造化された出力 (JSON、統計) に変換します。
脅威検出: IOC (現在は URLhaus) を統合して疑わしい IP にフラグを付け、LLM 駆動型のセキュリティ分析を強化します。
診断: 詳細なトラフィック分析情報を提供し、LLM がトラブルシューティングや異常の特定を支援できるようにします。
ナラティブ生成: LLM は、複雑なパケットキャプチャを一貫したストーリーに変換し、技術者以外のユーザーがネットワーク分析にアクセスできるようにします。

インストール

Related MCP server: MCP File Context Server

前提条件

Mac / Windows / Linux
Wireshark ( tsharkがインストールされ、PATH でアクセス可能)
Node.js (v16以上を推奨)
npm（依存関係のインストール用）

設定

リポジトリをクローンします。
git clone https://github.com/0xkoda/WireMCP.git cd WireMCP
依存関係をインストールします:
npm install
MCP サーバーを実行します。
node index.js

注: tsharkが PATH に含まれていることを確認してください。WireMCP はこれを自動検出するか、一般的なインストール場所（例: macOS では/Applications/Wireshark.app/Contents/MacOS/tshark ）にフォールバックします。

MCPクライアントでの使用

WireMCPは、MCP準拠のあらゆるクライアントで動作します。以下に、一般的なクライアントの例を示します。

例1: カーソル

カーソル -> 設定 -> MCP でmcp.json編集します。

{ "mcpServers": { "wiremcp": { "command": "node", "args": [ "/ABSOLUTE_PATH_TO/WireMCP/index.js" ] } } }

場所 (macOS) : /Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json

その他のクライアント

このMCPはどのクライアントでも問題なく動作します。MCPサーバー設定でコマンドnode /path/to/WireMCP/index.jsを使用してください。

出力例

check_threatsを実行すると、次のような結果が出力されます。

Captured IPs: 174.67.0.227 52.196.136.253 Threat check against URLhaus blacklist: No threats detected in URLhaus blacklist.

キャプチャファイルでanalyze_pcap実行します。

{ "content": [{ "type": "text", "text": "Analyzed PCAP: ./capture.pcap\n\nUnique IPs:\n192.168.0.2\n192.168.0.1\n\nProtocols:\neth:ethertype:ip:tcp\neth:ethertype:ip:tcp:telnet\n\nPacket Data:\n[{\"layers\":{\"frame.number\":[\"1\"],\"ip.src\":[\"192.168.0.2\"],\"ip.dst\":[\"192.168.0.1\"],\"tcp.srcport\":[\"1550\"],\"tcp.dstport\":[\"23\"]}}]" }] }

LLM はこれらの出力を次の目的で使用できます。