Docker 容器抓包说明

摘要:正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过 ```nsenter``` 工具来对容器快速抓包。 # nsenter 工具介绍 nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包

正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过nsenter工具来对容器快速抓包。

nsenter 工具介绍

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包括文件命名空间(mount namespace)、主机名命名空间(UTS namespace)、IPC 命名空间(IPC namespace)、网络命名空间(network namespace)、进程命名空间(pid namespace)和用户命名空间(user namespace)。

借由此特性,我们可以在不依赖 docker 内置 exec 指令的情况下,直接进入容器,进行文件读取、修改、抓包等各种操作。

更多关于 nsenter 工具的使用,可以参阅man nsenter帮助信息,或者访问Web 帮助页。

利用 nsenter 进行抓包

我们可以通过如下步骤,使用 nsenter 工具来对任意容器进行抓包(无论容器内是否含有抓包工具):

1. 获取容器 PID:

在宿主机上,使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程:

#containerid/name 表示要操作的容器名称或 ID:docker inspect --format"{{.State.Pid}}"

使用 nsenter 切换网络命名空间: 在宿主机上,使用如下指令,将网络命名空间切换为容器的网络命名空间:# -n 表示切换网络命名空间,-t 指定的 pid 为步骤 1 获取的容器的 root pid: nsenter -n -t

查看容器的网卡配置:

虽然也可以借由 docker exec 查看容器的相关网络配置。比如:

[root@node3 ~]# docker exec -it ip a1: lo:mtu65536qdisc noqueuestateUNKNOWNgroupdefaultqlen1link/loopback00:00:00:00:00:00brd00:00:00:00:00:00inet127.0.0.1/8scope host lo      valid_lft forever preferred_lft foreverinet6::1/128scope host        valid_lft forever preferred_lft forever245: eth0@if246:mtu1500qdisc noqueuestateUPgroupdefaultlink/ether02:42:ac:1f:fe:04brd ff:ff:ff:ff:ff:ffinet172.31.254.4/24scopeglobaleth0      valid_lft forever preferred_lft foreverinet6fe80::42:acff:fe1f:fe04/64scope link        valid_lft forever preferred_lft forever

但在通过 nsenter 进入了容器的网络命名空间后,可以直接使用宿主机上的的 ifconfig 等工具,来直接查询容器的网络配置并进行抓包。比如:

[root@node3 ~]#nsenter-n-t3003[root@node3 ~]#ifconfigeth0Linkencap:EthernetHWaddr02:42:ac:1f:fe:04inetaddr:172.31.254.4Bcast:0.0.0.0Mask:255.255.255.0inet6addr:fe80::42:acff:fe1f:fe04/64Scope:LinkUPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1RXpackets:132errors:0dropped:0overruns:0frame:0TXpackets:94errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:0RXbytes:14162(14.1KB)TXbytes:10902(10.9KB)loLinkencap:LocalLoopbackinetaddr:127.0.0.1Mask:255.0.0.0inet6addr:::1/128Scope:HostUPLOOPBACKRUNNINGMTU:65536Metric:1RXpackets:0errors:0dropped:0overruns:0frame:0TXpackets:0errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1RXbytes:0(0.0B)TXbytes:0(0.0B)

抓包:

如上所述,切换到容器的网络命名空间,并获取容器的网卡配置信息后,就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了:

tcpdump -ieth0 tcp and port80-vvv

注意

如果是指定端口抓包,这里要使用容器的内部端口。比如,容器通过 -p 8180:80 做了端口 bind,那么这里要抓 80 端口,而非 8180 端口。

更多关于 tcpdump 的抓包说明,可以参阅Linux 环境下的抓包工具介绍等文档,本文不再详述。

版权声明:本文内容由互联网用户自发贡献,本社区不拥有所有权,也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:[email protected]进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

原文链接

你可能感兴趣的:(Docker 容器抓包说明)