Wireshark_mcp

Wireshark MCP 将 Wireshark/tshark 的网络分析能力与大型语言模型的智能推理结合起来，使你能够通过自然语言提问并让服务器执行针对性分析。该服务器暴露了基于 MCP 的工作流，能够在后台对 pcap/pcapng 文件或实时抓包进行统计、会话分析、协议解析和错误诊断等。你可以像与一个智能分析助手对话一样提出问题，例如请求整体统计、特定会话的深度分析，或针对异常模式触发细粒度的查看。服务器默认提供了统计型工具优先的分析策略，确保不因输出全量原始数据而耗尽上下文 token。

使用时，先启动服务器，然后通过客户端工具或集成在你应用中的 MCP 客户端与之通信。你可以让模型先进行全局统计与摘要，随后在需要时针对可疑流量进行少量样本的深入分析。你还可以通过系统提示将分析策略、采样比例和最大样本数等参数化，以适应不同的分析场景。

先决条件:

• Python 3.9 及以上
• Wireshark 和 tshark 已安装并在 PATH 中
• MCP SDK 或相关依赖包（根据项目提供的 requirements.txt）

安装步骤:

# 1. 克隆或下载仓库
git clone https://github.com/your-org/wireshark-mcp.git
cd wireshark-mcp

# 2. 安装 Python 依赖
python -m pip install --upgrade pip
pip install -r requirements.txt

# 3. 确认 tshark 可执行
which tshark  # 或在 Windows 上使用 where tshark

# 4. 运行 MCP 服务器
python wireshark_mcp.py

如果你使用容器化部署，请参考 README 中的容器化说明，并将以下环境变量映射为必要的配置项。

常见问题及提示:

• 确保 Wireshark/tshark 在系统 PATH 中可访问，否则服务器将无法调用抓包分析工具。
• 如遇到权限问题，请以具有网络抓取权限的用户运行，或在容器中以适当的用户权限启动。
• 你可以通过修改 MCP 的 instructions 或上游模型的系统提示来控制输出风格，确保输出不过度依赖原始 JSON 而更注重摘要与推断。
• 如果需要对特定字段进行深度分析，请使用工具说明中的 max_packets 限制来控制返回的数据量，以防止超出上下文长度。
• 日志与状态页面通常在 http://127.0.0.1:3000/status 提供服务状态与工具说明，遇到连接问题请检查端口与防火墙设置。