Wireshark-MCP：为 LLM 提供原生的抓包分析能力

Wireshark-MCP：为 LLM 提供原生的抓包分析能力

项目地址：https://github.com/bx33661/Wireshark-MCP

Wireshark MCP，主要想解决在让大模型辅助做网络排障、安全分析或 CTF 时，缺乏直接操作底层网络数据包手段的痛点。

通过把 Wireshark 套件封装为标准的 MCP（Model Context Protocol）接口，现在你可以直接在 Cursor、Claude 等客户端里把 .pcap 文件丢给 AI，它会调用底层的原生工具做可靠的分析。

核心特性

• 基于原生工具：核心逻辑直接基于本地的 tshark。如果系统内检测到 capinfos、editcap、dumpcap 等工具，它会自动扩展出包裁剪、合并甚至实施抓包的能力。AI 得出的结论都有确凿的帧编号和流索引作为证据，不再靠猜。
• Agentic Workflows：除了基础的查询和提取，也封装了高级的一键分析流（例如 wireshark_quick_analysis 和 wireshark_security_audit），直接覆盖威胁情报查杀（联动 URLhaus）、明文扫描、异常端口探测等常见场景。
• 开箱即用的配置：很多人配 MCP 会因为环境路径卡住。我们做了自动化检测，提供 wireshark-mcp install 命令，一行代码即可自动寻找并注入 Cursor、Claude Desktop、VS Code、Cline 等近 20 种 AI 客户端的配置中，并解决路径透传问题。

安装步骤

前置条件：系统已安装 Python 3.10+，以及至少包含 tshark 的 Wireshark。

bash
# 1. 安装核心包
pip install wireshark-mcp
# 2. 自动检测并写入你的 AI 客户端配置
wireshark-mcp install

完成后重启 AI 客户端即可。如果不放心，可以运行 wireshark-mcp doctor 检查环境是否全部就绪。

如何使用

在客户端中直接发一段 prompt 测试即可：

使用 Wireshark MCP 工具来分析 <path/to/file.pcap>。请先运行 wireshark_open_file 建立全局画像，然后做一次深度安全审计，并将结果整理成报告。

相关链接

项目地址：https://github.com/bx33661/Wireshark-MCP