local-only server

The server can only run on the client’s local machine because it depends on local resources.

Integrations

Runs on Node.js environment to power the MCP server, enabling real-time network traffic analysis and processing.
Leverages Wireshark's tshark tool to capture and analyze live network traffic, providing packet-level data, protocol statistics, conversation tracking, and credential extraction capabilities for network diagnostics and security analysis.

와이어MCP

WireMCP는 대규모 언어 모델(LLM)에 실시간 네트워크 트래픽 분석 기능을 제공하도록 설계된 모델 컨텍스트 프로토콜(MCP) 서버입니다. Wireshark의 tshark 기반 도구를 활용하여 WireMCP는 실시간 네트워크 데이터를 캡처하고 처리하여 LLM에 위협 탐지, 네트워크 진단, 이상 탐지 등의 작업에 필요한 구조화된 컨텍스트를 제공합니다.

특징

WireMCP는 MCP 클라이언트에게 다음과 같은 도구를 제공하여 LLM이 네트워크 활동에 대해 더 잘 이해할 수 있도록 해줍니다.

capture_packets : 라이브 트래픽을 캡처하고 원시 패킷 데이터를 JSON으로 반환하여 LLM이 패킷 수준 세부 정보(예: IP 주소, 포트, HTTP 메서드)를 분석할 수 있도록 합니다.
get_summary_stats : 프로토콜 계층 통계를 제공하여 LLM에 트래픽 구성(예: TCP 대 UDP 사용)에 대한 개요를 제공합니다.
get_conversations : TCP/UDP 대화 통계를 제공하여 LLM이 엔드포인트 간 통신 흐름을 추적할 수 있도록 합니다.
check_threats : IP를 캡처하여 URLhaus 블랙리스트와 비교하여 LLM에 악성 활동을 식별할 수 있는 위협 인텔리전스 컨텍스트를 제공합니다.
check_ip_threats : 여러 위협 피드에 대해 특정 IP 주소에 대한 타겟형 위협 인텔리전스 조회를 수행하여 자세한 평판 및 위협 데이터를 제공합니다.
analyze_pcap : PCAP 파일을 분석하여 JSON 형식의 포괄적인 패킷 데이터를 제공하므로 네트워크 트래픽에 대한 자세한 캡처 후 분석이 가능합니다.
extract_credentials : 다양한 프로토콜(HTTP 기본 인증, FTP, Telnet)의 잠재적 자격 증명을 PCAP 파일에서 스캔하여 보안 감사 및 법의학적 분석에 도움을 줍니다.

LLM에 도움이 되는 방법

WireMCP는 다음을 통해 원시 네트워크 데이터와 LLM 이해 간의 격차를 해소합니다.

트래픽 맥락화 : 라이브 패킷 캡처를 LLM이 구문 분석하고 추론할 수 있는 구조화된 출력(JSON, 통계)으로 변환합니다.
위협 감지 : IOC(현재 URLhaus)를 통합하여 의심스러운 IP를 표시하고 LLM 기반 보안 분석을 강화합니다.
진단 : LLM이 문제 해결이나 이상 징후 식별을 지원할 수 있도록 자세한 트래픽 통찰력을 제공합니다.
내러티브 생성 : LLM은 복잡한 패킷 캡처를 일관된 스토리로 변환하여 기술에 익숙하지 않은 사용자도 네트워크 분석에 접근할 수 있도록 합니다.

설치

필수 조건

맥 / 윈도우 / 리눅스
Wireshark ( tshark 설치되어 있고 PATH에서 접근 가능)
Node.js(v16 이상 권장)
npm(종속성 설치용)

설정

저장소를 복제합니다.지엑스피1
종속성 설치:
npm install
MCP 서버를 실행합니다.
node index.js

참고 : tshark 가 PATH에 있는지 확인하세요. WireMCP가 자동으로 감지하거나 일반적인 설치 위치(예: macOS의 경우 /Applications/Wireshark.app/Contents/MacOS/tshark )로 대체합니다.

MCP 클라이언트와 함께 사용

WireMCP는 모든 MCP 호환 클라이언트와 호환됩니다. 다음은 자주 사용되는 클라이언트의 예입니다.

예제 1: 커서

커서 -> 설정 -> MCP에서 mcp.json 편집합니다.

{
  "mcpServers": {
    "wiremcp": {
      "command": "node",
      "args": [
        "/ABSOLUTE_PATH_TO/WireMCP/index.js"
      ]
    }
  }
}

위치(macOS) : /Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json

다른 고객

이 MCP는 모든 클라이언트에서 잘 작동합니다. 클라이언트의 MCP 서버 설정에서 node /path/to/WireMCP/index.js 명령을 사용하세요.

출력 예

check_threats 실행하면 다음과 같은 결과가 나올 수 있습니다.

Captured IPs:
174.67.0.227
52.196.136.253

Threat check against URLhaus blacklist:
No threats detected in URLhaus blacklist.

캡처 파일에서 analyze_pcap 실행:

{
  "content": [{
    "type": "text",
    "text": "Analyzed PCAP: ./capture.pcap\n\nUnique IPs:\n192.168.0.2\n192.168.0.1\n\nProtocols:\neth:ethertype:ip:tcp\neth:ethertype:ip:tcp:telnet\n\nPacket Data:\n[{\"layers\":{\"frame.number\":[\"1\"],\"ip.src\":[\"192.168.0.2\"],\"ip.dst\":[\"192.168.0.1\"],\"tcp.srcport\":[\"1550\"],\"tcp.dstport\":[\"23\"]}}]"
  }]
}

LLM은 이러한 출력을 사용하여 다음을 수행할 수 있습니다.

네트워크 활동에 대한 자연어 설명 제공
패턴과 잠재적 보안 문제 식별
상황에 맞는 추천을 제공합니다
사람이 읽을 수 있는 보고서 생성

로드맵

IOC 제공자 확장 : 현재 위협 검사에 URLhaus를 사용하고 있습니다. 향후 업데이트에서는 더 광범위한 적용 범위를 위해 추가 소스(예: IPsum, Emerging Threats)를 통합할 예정입니다.

기여하다

기여를 환영합니다! 풀 리퀘스트를 제출해 주세요. 주요 변경 사항의 경우, 먼저 이슈를 열어 변경 사항을 논의해 주세요.

특허

MIT

감사의 말

뛰어난 패킷 분석 도구를 제공하는 Wireshark/tshark 팀
프레임워크 및 사양을 위한 모델 컨텍스트 프로토콜 커뮤니티
위협 인텔리전스 데이터를 제공하는 URLhaus

You must be authenticated.

A

security – no known vulnerabilities

A

license - permissive license

A

quality - confirmed to work

Tools

Wireshark의 tshark를 통해 위협 사냥, 네트워크 진단, 이상 탐지와 같은 작업을 가능하게 하는 실시간 네트워크 트래픽 분석 기능을 LLM에 제공하는 모델 컨텍스트 프로토콜 서버입니다.

Related Resources

Reddit Discussion about this server