如何使用 AI 实时数据包分析
架构概览
AI 实时数据包分析功能由 GNS3 AI Assistant 驱动,LLM 自行构造 tshark 参数完成分析,框架不做协议硬编码,只做安全验证。
使用方法
- 在项目拓扑页面,右键点击需要抓包的链路,选择"Start capture"开启数据包捕获。也可以选择"Start Web Wireshark"直接在浏览器中查看实时捕获数据。
- 打开 AI Assistant 窗口,在输入框中描述分析需求,例如:"r2-r3 之间的 OSPF 协议分析一下"。
- 等待 AI Assistant 自动分析并返回结果。
核心流程
工具总览
| 工具 | 源文件 | 作用 | 可用模式 |
|---|---|---|---|
PacketAnalysisTool | packet_analysis_tool.py | 下载实时 PCAP + tshark 分析 | teaching / lab_automation |
PacketAnalysisSkillsTool | registry.py(skills 模块) | 查询协议级分析知识(字段、过滤规则) | teaching / lab_automation |
Agent 工作流(LangGraph)
服务端 Capture API
| 端点 | 功能 |
|---|---|
POST /v3/projects/{pid}/links/{lid}/capture/start | 启动链路上的数据包捕获 |
POST /v3/projects/{pid}/links/{lid}/capture/stop | 停止捕获 |
GET /v3/projects/{pid}/links/{lid}/capture/file | 下载 PCAP 文件(捕获进行中也可下载) |
GET /v3/projects/{pid}/links/{lid}/capture/stream | 流式传输 PCAP 数据 |
WS /v3/projects/{pid}/links/{lid}/capture/web-wireshark | Web Wireshark WebSocket 代理 |
关键设计要点
- LLM 主导分析 — LLM 自行构造 tshark 参数,框架不做协议硬编码,只做安全验证
- 实时 PCAP — 捕获运行时即可下载分析,无需停止抓包
- 双重知识源 — 外部仓库提供协议预定义知识,本地 tshark field registry 提供精确字段名
- 安全前置 — tshark 字段名预验证,避免无效字段导致执行失败
功能贡献者
AI 实时数据包分析功能由 YueGuobin 开发和贡献。
- 知乎: 蛋炒饭
License
本文档采用 CC BY-SA 4.0 许可协议。 作者: 岳国宾