mcp-threatintel - 支持多源查詢，集成多平臺，免密鑰追蹤殭屍網絡的MCP威脅情報服務器

MCP Threatintel

MCP威脅情報服務器提供統一訪問多個威脅情報源的能力，支持IP、域名、哈希和URL查詢，集成AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch等平臺，無需API密鑰即可使用Feodo Tracker進行殭屍網絡追蹤。

安全研究與數據 #威脅情報 #安全分析 #多源查詢 #殭屍網絡追蹤 .TypeScript

評分 : 2分

下載量 : 7.7K

更新時間 : 2025-12-29

打開站點

什麼是MCP威脅情報服務器？

這是一個Model Context Protocol (MCP)服務器，專門為安全研究人員、事件響應人員和威脅分析師設計。它允許您通過統一的接口查詢多個威脅情報源，無需在不同平臺間切換。無論是檢查IP地址、域名、文件哈希還是URL，都可以在一個地方完成所有查詢。

如何使用威脅情報服務器？

首先需要配置Claude Desktop或Claude Code，添加服務器配置並設置API密鑰。然後就可以通過自然語言提問來查詢威脅情報，例如'檢查這個IP是否惡意'或'查找這個域名的信譽信息'。服務器會自動將您的查詢分發到所有已配置的情報源並彙總結果。

適用場景

適用於安全事件調查、威脅狩獵、惡意軟件分析、網絡監控和日常安全運營。特別適合需要快速驗證威脅指標、關聯不同情報源信息或減少誤報的場景。

主要功能

統一查詢

支持IP地址、域名、文件哈希(MD5/SHA1/SHA256)和URL的統一查詢，一次查詢即可獲取多個情報源的結果。

多源整合

整合AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch(URLhaus、MalwareBazaar、ThreatFox、Feodo Tracker)等多個權威威脅情報源。

免費層友好

支持各服務的免費API層，Feodo Tracker甚至無需API密鑰即可使用，降低使用門檻。

優雅降級

當某個情報源不可用時，其他源仍能正常工作，確保查詢服務的高可用性。

殭屍網絡追蹤

通過Feodo Tracker免費追蹤活躍的殭屍網絡C2服務器，包括QakBot、Emotet、Dridex等威脅。

威脅脈搏

訪問AlienVault OTX的威脅脈搏，獲取最新的威脅情報和攻擊活動信息。

優勢

一站式查詢：無需在多個瀏覽器標籤頁間切換，所有情報源查詢在一個界面完成

節省時間：並行查詢多個情報源，大幅提高調查效率

情報關聯：自動關聯不同情報源的信息，提供更全面的威脅視圖

成本效益：充分利用各服務的免費層，降低運營成本

易於集成：通過MCP協議輕鬆集成到Claude等AI助手

零配置可用：即使沒有API密鑰，Feodo Tracker功能仍可正常使用

侷限性

API限制：免費層有查詢頻率限制，可能影響大規模查詢

依賴外部服務：服務可用性取決於第三方API的穩定性

需要配置：需要手動配置API密鑰才能使用完整功能

數據延遲：某些情報源的數據更新可能有延遲

功能限制：免費層可能無法訪問某些高級功能或歷史數據

如何使用

獲取API密鑰

根據需要使用的情報源，前往相應網站註冊並獲取API密鑰。AlienVault OTX、AbuseIPDB、GreyNoise和abuse.ch都提供免費層。

配置Claude Desktop

在Claude Desktop配置文件中添加MCP服務器配置。macOS用戶編輯~/Library/Application Support/Claude/claude_desktop_config.json，Windows用戶編輯%APPDATA%\Claude\claude_desktop_config.json。

重啟Claude

保存配置文件後重啟Claude Desktop或Claude Code，服務器將自動啟動。

開始查詢

使用自然語言向Claude提問，例如'檢查這個IP地址'或'查找域名的威脅情報'。

使用案例

IP地址調查

在安全事件響應中，收到可疑IP地址需要快速驗證其威脅等級。

域名信譽檢查

收到可疑郵件包含的鏈接域名需要驗證是否惡意。

文件哈希驗證

下載的可疑文件需要驗證是否已知惡意軟件。

殭屍網絡監控

監控當前活躍的殭屍網絡基礎設施以加強防禦。

威脅情報搜索

搜索特定威脅活動的最新情報。

常見問題

沒有API密鑰可以使用嗎？

免費層有什麼限制？

查詢結果不完整怎麼辦？

如何獲取API密鑰？

數據更新頻率如何？

支持哪些文件哈希類型？

遇到'429 Too Many Requests'錯誤怎麼辦？

🚀 MCP威脅情報服務器

MCP威脅情報服務器為安全研究和分析提供對多個威脅情報源的統一訪問，能幫助用戶更高效地獲取和分析威脅情報。

🚀 快速開始

MCP服務器可提供對多個威脅情報源的統一訪問，適用於安全研究、事件響應或威脅分析等場景。

✨ 主要特性

統一查詢：可同時跨多個來源查詢 IP、域名、哈希值和 URL。
減少上下文切換：無需為不同的情報源打開多個瀏覽器標籤。
關聯情報：在一個響應中查看所有配置來源的結果。
免費層級友好：可與免費 API 層級配合使用，當來源不可用時能優雅降級。
無密鑰可用：Feodo Tracker（殭屍網絡 C2）無需任何 API 密鑰即可使用。

具體能力

類別	功能
統一查詢	跨所有來源查詢 IP、域名、文件哈希、URL
AlienVault OTX	威脅脈衝、妥協指標、社區情報
AbuseIPDB	IP 信譽、濫用報告、置信度分數
GreyNoise	區分互聯網噪聲和定向攻擊、掃描器識別
abuse.ch	URLhaus、MalwareBazaar、ThreatFox、Feodo Tracker

📦 安裝指南

使用 npm（推薦）

npx mcp-threatintel-server

或全局安裝：

npm install -g mcp-threatintel-server

從源代碼安裝

git clone https://github.com/aplaceforallmystuff/mcp-threatintel.git
cd mcp-threatintel
npm install
npm run build

🛠️ 配置說明

針對 Claude Desktop

添加到 Claude Desktop 配置文件：

macOS：~/Library/Application Support/Claude/claude_desktop_config.json
Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

針對 Claude Code

添加到 ~/.claude.json：

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

API 密鑰說明

服務	是否必需	免費層級	獲取密鑰
AlienVault OTX	可選	是（無限制）	otx.alienvault.com
AbuseIPDB	可選	是（每天 1000 次）	abuseipdb.com
GreyNoise	可選	是（有限制）	greynoise.io
abuse.ch	可選	是	auth.abuse.ch
Feodo Tracker	否	是	公共 JSON 源

注意：工具會根據你提供的 API 密鑰動態啟用。Feodo Tracker 無需身份驗證（公共 JSON 源）即可使用。

💻 使用示例

檢查可用來源

"What threat intel sources are configured?" "Show me threatintel status"

IP 調查

"Check if 185.220.101.1 is malicious" "Look up this IP across all threat intel sources"

域名分析

"Is evil-domain.com known to be malicious?" "Check domain reputation"

惡意軟件哈希查詢

"Look up this SHA256 hash in threat intel" "Is this file hash known malware?"

URL 分析

"Check if this URL is in any blocklists"

殭屍網絡跟蹤（無需 API 密鑰）

"Show me active botnet C2 servers" "Get Feodo tracker data for Emotet"

威脅脈衝

"Search OTX for recent ransomware pulses" "Get latest threat intelligence pulses"

🛠️ 可用工具

狀態檢查

工具	描述
`threatintel_status`	檢查配置了哪些威脅情報源

統一查詢

工具	描述
`threatintel_lookup_ip`	在所有配置的來源中查詢 IP
`threatintel_lookup_domain`	在所有配置的來源中查詢域名
`threatintel_lookup_hash`	在所有來源中查詢文件哈希（MD5/SHA1/SHA256）
`threatintel_lookup_url`	在所有來源中查詢 URL

AbuseIPDB（需要 API 密鑰）

工具	描述
`abuseipdb_check`	檢查 IP 信譽和濫用歷史

AlienVault OTX（需要 API 密鑰）

工具	描述
`otx_get_pulses`	獲取最近的威脅情報脈衝
`otx_search_pulses`	按關鍵字搜索脈衝

GreyNoise（需要 API 密鑰）

工具	描述
`greynoise_ip`	檢查 IP 是互聯網噪聲還是定向威脅

URLhaus（需要 abuse.ch 認證密鑰）

工具	描述
`urlhaus_lookup`	在 URLhaus 中查詢 URL、域名或 IP
`urlhaus_recent`	獲取最近的惡意軟件 URL

MalwareBazaar（需要 abuse.ch 認證密鑰）

工具	描述
`malwarebazaar_hash`	按哈希值查詢惡意軟件樣本
`malwarebazaar_recent`	獲取最近的惡意軟件樣本
`malwarebazaar_tag`	按標籤搜索樣本

ThreatFox（需要 abuse.ch 認證密鑰）

工具	描述
`threatfox_iocs`	從 ThreatFox 獲取最近的 IOC
`threatfox_search`	搜索 ThreatFox 的 IOC

Feodo Tracker（無需密鑰）

工具	描述
`feodo_tracker`	獲取活躍的殭屍網絡 C2 服務器（QakBot、Emotet、Dridex 等）

🛠️ 開發說明

# 開發時的監聽模式
npm run watch

# 構建 TypeScript
npm run build

# 本地運行
node dist/index.js

🐞 故障排除

"No threat intel sources configured"

你可以在不使用任何 API 密鑰的情況下使用服務器，Feodo Tracker 仍然可以正常工作。對於其他來源，請在配置中添加相應的 API 密鑰。

"API error: 401 Unauthorized"

你的 API 密鑰無效或已過期，請從相應服務生成新的密鑰。

"API error: 429 Too Many Requests"

你已超出服務的速率限制，請等待一段時間或升級你的 API 層級。

部分結果

如果某些來源返回錯誤，統一查詢工具仍將返回正常來源的結果。檢查 threatintel_status 以查看哪些來源配置正確。

📚 詳細文檔

數據源說明

AlienVault OTX：開放威脅交換平臺，是一個社區驅動的威脅情報平臺，包含帶有妥協指標的脈衝信息。
AbuseIPDB：眾包 IP 信譽數據庫，包含來自全球網絡管理員的濫用報告。
GreyNoise：可識別掃描互聯網的 IP 和定向攻擊，有助於減少威脅檢測中的誤報。
abuse.ch 項目：
- URLhaus：惡意軟件分發 URL 庫。
- MalwareBazaar：惡意軟件樣本庫。
- ThreatFox：IOC 共享平臺。
- Feodo Tracker：殭屍網絡 C2 基礎設施跟蹤工具。