Wireshark MCP：给 AI 助手装上一个强大的数据包分析器

前言

网络抓包分析一直是运维和安全的必备技能，但门槛不低：你需要熟悉 Wireshark 的各种过滤器，理解协议分层，能够在海量数据包中快速定位异常。

现在，AI 能帮你完成这件事了。

Wireshark MCP 是一个基于 MCP（Model Context Protocol）的服务器，它让你的 AI 助手（Claude、Cursor、Codex 等）能够直接分析网络抓包文件——只需丢入一个 .pcap 文件，用自然语言提问，就能获得基于真实 tshark 数据的分析报告。

你：     "分析这个抓包里有没有可疑的 DNS 查询。"
Claude：[调用 wireshark_extract_dns_queries → wireshark_check_threats]
        "发现 3 条查询指向 URLhaus 标记的恶意域名: ..."

---

什么是 Wireshark MCP？

Wireshark MCP 是一个 MCP 服务器，以 Wireshark 的命令行工具 tshark 为核心，提供结构化的网络分析接口。当宿主机上安装了完整的 Wireshark 套件时，它会自动接入 capinfos、mergecap、editcap、dumpcap、text2pcap 等伴随工具，能力进一步增强。

核心特点：

特性	说明
只安装 tshark 就能工作	最小依赖，开箱即用
自动探测增强工具	检测到完整 Wireshark 套件时自动启用更多功能
支持实时抓包	优先使用 dumpcap，回退到 tshark
跨平台支持	Windows、Linux、macOS 全覆盖
一键配置所有 MCP 客户端	18+ 主流 IDE 自动化配置

---

环境要求

• Python 3.10+
• Wireshark 已安装并包含 tshark
• 任意 MCP 客户端：Claude Desktop、Claude Code、Cursor、Codex 等

依赖	说明
tshark	唯一必需的 Wireshark CLI 工具
capinfos、mergecap、editcap、dumpcap、text2pcap	可选，探测到后自动启用对应 MCP 功能

---

快速安装

一键安装 + 自动配置

# 安装 wireshark-mcp
pip install wireshark-mcp

# 一键配置所有 MCP 客户端（Claude、Cursor、VS Code 等）
wireshark-mcp install

就这么简单，重启你的 AI 客户端即可使用。

如果安装后有问题，运行诊断命令：

bash

复制

wireshark-mcp doctor

---

Cursor 一键安装（无需提前安装包）

如果你使用 Cursor，可以直接点击下方按钮一键安装：

需要提前安装 uv 和 Wireshark。

---

三大平台安装建议

pip install wireshark-mcp
wireshark-mcp install
wireshark-mcp doctor

实时抓包在探测到 dumpcap 时会自动启用。

pip install wireshark-mcp
wireshark-mcp install
wireshark-mcp doctor

实时抓包在部分发行版可能需要额外抓包权限。

py -m pip install wireshark-mcp
wireshark-mcp install
wireshark-mcp doctor

自动安装器会将 Python 和 Wireshark 工具的绝对路径写入 GUI MCP 客户端配置，这对 Windows 特别重要。

---

支持的客户端

wireshark-mcp install 会在 macOS、Linux 和 Windows 上自动配置以下客户端：

客户端	配置文件
Claude Desktop	claude_desktop_config.json
Claude Code	~/.claude.json
Cursor	~/.cursor/mcp.json
VS Code	settings.json
Windsurf	mcp_config.json
Cline	cline_mcp_settings.json
Roo Code	mcp_settings.json
Kilo Code	mcp_settings.json
Antigravity IDE	mcp_config.json
Zed	settings.json
LM Studio	mcp.json
Warp	mcp_config.json
Trae	mcp_config.json
Gemini CLI	settings.json
Copilot CLI	mcp-config.json
Amazon Q	mcp_config.json
Codex	config.toml

如果你的客户端不在列表中，运行 wireshark-mcp config 获取 JSON 配置片段，手动粘贴即可。

---

核心能力总览

Wireshark MCP 提供了 40+ 专业分析工具，分为以下几大类：

⚡ Agentic Workflows — 一键综合分析

工具	描述
wireshark_security_audit	一键安全审计：8 阶段分析（威胁情报、凭证扫描、端口扫描、DNS 隧道、明文协议、异常检测），输出风险评分（0-100）和修复建议
wireshark_quick_analysis	一键流量概览：文件信息、协议分布、Top Talkers、会话统计、域名/主机名、异常摘要、下一步建议
wireshark_open_file	智能打开文件：分析 pcap 内容并推荐最相关的工具，同时保持 MCP 工具面稳定
wireshark_get_capabilities	工具链能力视图：显示当前 MCP 服务可见的必需、推荐和可选 Wireshark suite 工具

数据包分析 — 检查、浏览、搜索数据包

工具	描述
wireshark_get_packet_list	分页数据包列表，支持显示过滤器和自定义列
wireshark_get_packet_details	单帧完整 JSON 解析，支持按层过滤以减少 Token 消耗
wireshark_get_packet_bytes	原始 Hex + ASCII 转储（Wireshark "分组字节流"视图）
wireshark_get_packet_context	查看某帧前后 N 个数据包，便于上下文调试
wireshark_follow_stream	重组完整 TCP/UDP/HTTP 流会话，支持分页和搜索
wireshark_search_packets	跨原始字节或解码字段搜索（支持正则表达式）

数据提取 — 从抓包中提取结构化数据

工具	描述
wireshark_extract_fields	提取任意 tshark 字段为表格
wireshark_extract_http_requests	HTTP 请求的方法、URI、主机名
wireshark_extract_dns_queries	抓包中的所有 DNS 查询
wireshark_list_ips	所有唯一的源、目的 IP 地址
wireshark_export_objects	提取嵌入文件（HTTP、SMB、TFTP 等）
wireshark_verify_ssl_decryption	使用密钥日志文件验证 TLS 解密

统计分析 — 流量模式和异常检测

工具	描述
wireshark_stats_protocol_hierarchy	协议分层统计 — 查看协议占比
wireshark_stats_endpoints	所有端点按流量排序
wireshark_stats_conversations	通信对及其字节/包数统计
wireshark_stats_io_graph	流量随时间变化（发现 DDoS、扫描、突发）
wireshark_stats_expert_info	Wireshark 专家分析：错误、警告、提示
wireshark_stats_service_response_time	HTTP、DNS 等协议的服务响应时间

文件操作与实时抓包

工具	描述
wireshark_get_file_info	通过 capinfos 获取文件元数据（时长、包数、链路类型）
wireshark_merge_pcaps	合并多个抓包文件
wireshark_filter_save	按过滤器筛选并保存到新文件
wireshark_list_interfaces	列出可用网络接口
wireshark_capture	实时抓包（时长、包数、BPF 过滤器、环形缓冲区）

Suite Utilities — 可选 Wireshark 伴随工具

工具	描述
wireshark_editcap_trim	使用 editcap 按时间窗口裁剪抓包
wireshark_editcap_split	使用 editcap 按包数或时间间隔拆分抓包
wireshark_editcap_time_shift	使用 editcap 按相对偏移调整时间戳
wireshark_editcap_deduplicate	使用 editcap 按重复窗口去重
wireshark_text2pcap_import	使用 text2pcap 将 ASCII 或十六进制转储导入为抓包文件

安全分析

工具	描述
wireshark_check_threats	对照 URLhaus 威胁情报检查抓包里出现的 URL 和主机名
wireshark_extract_credentials	检测 HTTP Basic Auth、FTP、Telnet 中的明文凭证
wireshark_detect_port_scan	检测 SYN/FIN/NULL/Xmas 端口扫描，可配置阈值
wireshark_detect_dns_tunnel	检测 DNS 隧道（长查询、TXT 滥用、子域名熵）
wireshark_detect_dos_attack	检测 DoS/DDoS 模式（SYN 洪泛、ICMP/UDP 洪泛、DNS 放大）
wireshark_analyze_suspicious_traffic	综合异常分析：明文协议、异常端口、专家警告

协议深度分析 — TLS、TCP、ARP、SMTP、DHCP

工具	描述
wireshark_extract_tls_handshakes	从 Client/Server Hello 提取 TLS 版本、密码套件、SNI、证书
wireshark_analyze_tcp_health	TCP 重传、重复 ACK、零窗口、RST、乱序分析
wireshark_detect_arp_spoofing	ARP 欺骗检测：IP-MAC 冲突、gratuitous ARP 洪泛
wireshark_extract_smtp_emails	SMTP 邮件元数据：发件人、收件人、邮件服务器
wireshark_extract_dhcp_info	DHCP 租约信息：分配 IP、主机名、DNS 服务器

解码与可视化

工具	描述
wireshark_decode_payload	自动检测并解码 Base64、Hex、URL 编码、Gzip、Deflate、Rot13 等
wireshark_plot_traffic	ASCII 流量波形图 — 一眼发现 DDoS 或扫描模式
wireshark_plot_protocols	ASCII 协议分层树 — 直观查看抓包中的协议分布

---

快速上手示例

示例一：安全审计

将以下提示词粘贴到你的 AI 客户端中：

使用 Wireshark MCP 工具分析 <path/to/file.pcap>。

- 先用 wireshark_open_file 获取抓包全局画像和推荐工具
- 使用 wireshark_security_audit 一键安全审计
- 需要细节时使用 wireshark_follow_stream 或 wireshark_get_packet_details
- 不要猜测 — 始终用工具验证
- 将分析结果写入 report.md

AI 会自动：

1. 调用 wireshark_open_file 获取抓包概况
2. 运行 wireshark_security_audit 进行 8 阶段安全分析
3. 检测威胁情报、凭证泄露、端口扫描、DNS 隧道等
4. 输出风险评分（0-100）和修复建议
5. 生成详细报告 report.md

示例二：流量概览

对 <path/to/file.pcap> 运行 wireshark_quick_analysis，了解流量概况。

AI 会自动：

1. 提取文件信息、协议分布
2. 分析 Top Talkers、会话统计
3. 生成域名/主机名列表
4. 总结异常模式和下一步建议

示例三：威胁情报检测

检查这个抓包里有没有连接到 URLhaus 标记的恶意域名。

AI 会自动：

1. 提取所有 DNS 查询和 HTTP 请求
2. 对照 URLhaus 威胁情报库
3. 输出匹配结果和风险等级

---

内置 Codex Skill

仓库自带了一个 Codex skill，位于 skills/wireshark-traffic-analysis/。这不是简单的提示词集合，而是一套更稳的流量分析工作流：

先建立全局画像 → 再选择分析模式 → 用数据包证据确认结论 → 给出可执行的下一步。

支持的模式：

• triage — 快速分诊
• security — 安全分析
• incident-response — 应急响应
• troubleshoot — 故障排查
• ctf — CTF 解题

示例调用：

Use $wireshark-traffic-analysis to investigate <file.pcap>.
Start in triage mode, escalate if you find suspicious behavior, and produce a concise report with exact filters, streams, frames, confidence, and next steps.

---

常见故障排查

现象	常见原因	建议处理
doctor 里看不到 tshark	Wireshark 或 CLI 组件没装好，或者路径不可发现	安装带 tshark 的 Wireshark，然后重新运行 wireshark-mcp doctor
MCP 客户端能看到服务，但 tool call 启动失败	GUI 客户端缺少运行时环境变量或绝对工具路径	重新执行 wireshark-mcp install，重启客户端，再跑一次 wireshark-mcp doctor
实时抓包失败，但离线 .pcap 分析正常	问题通常在抓包权限或 dumpcap 可用性	先用离线抓包文件；如果确实需要实时抓包，再补对应系统上的抓包权限
capinfos、editcap、text2pcap 缺失	这些是可选增强工具，不是必需依赖	不影响 tshark 基础能力，只是对应增强工作流不会出现

---

开发与测试

安装开发依赖

pip install -e ".[dev]"

使用 MCP Inspector 测试

npx -y @modelcontextprotocol/inspector uv run wireshark-mcp

运行测试套件

uv run python -m pytest tests/ -v

代码检查 & 类型检查

uv run python -m ruff check src/ tests/
uv run python -m mypy --package wireshark_mcp --ignore-missing-imports --no-namespace-packages

常用命令

wireshark-mcp                          # 启动 stdio MCP 服务
wireshark-mcp serve --transport sse --host 0.0.0.0 --port 8080
wireshark-mcp install                  # 一键配置所有检测到的 MCP 客户端
wireshark-mcp install --client codex   # 仅配置指定客户端
wireshark-mcp uninstall
wireshark-mcp doctor                   # 人类可读诊断
wireshark-mcp doctor --format json     # 机器可读诊断
wireshark-mcp clients                  # 人类可读客户端探测结果
wireshark-mcp clients --format json    # 机器可读客户端探测结果
wireshark-mcp config                   # 打印 JSON 配置供手动设置
wireshark-mcp config --format codex-toml
wireshark-mcp --version

---

为什么选择 Wireshark MCP？

市面上有其他网络分析 MCP 服务器，但 Wireshark MCP 在以下方面具有优势：

特性	Wireshark MCP	其他方案
一键安装（install）	✅	❌
Agentic Workflows（一键安全审计）	✅	❌
抓包感知推荐 + 稳定工具面	✅	❌
40+ 专业分析工具	✅	5-10
威胁情报集成	✅	❌
Python 环境智能检测	✅	❌
18+ MCP 客户端支持	✅	手动

---

总结

Wireshark MCP 将专业的网络抓包分析能力真正"降维"到了自然语言层面——你不再需要背诵复杂的显示过滤器语法，不再需要逐层解读十六进制数据，AI 会替你完成这一切。

如果你是运维人员、安全工程师，或者只是偶尔需要排查网络问题，Wireshark MCP 都能成为你的得力助手。只需 pip install wireshark-mcp + wireshark-mcp install，即可让你的 AI 助手立即具备专业的网络分析能力。

---

参考资源

• 项目仓库：https://github.com/bx33661/Wireshark-MCP
• PyPI 包：https://pypi.org/project/wireshark-mcp/
• MCP 协议：https://modelcontextprotocol.io
• URLhaus 威胁情报：https://urlhaus.abuse.chhttps://urlhaus.abuse.ch/