DOCKER - 容器抓包

 

 

https://help.aliyun.com/knowledge_detail/40564.html?spm=a2c4e.11153940.blogcont272172.10.b09e28a6AOdITp#Linux

 

http://man7.org/linux/man-pages/man1/nsenter.1.html?spm=a2c4e.11153940.blogcont272172.9.b09e28a6AOdITp

 

[转]待整理

nsenter

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。
利用nsenter,我们可以在不依赖 docker 内置 exec 指令的情况下,直接进入容器,进行文件读取、修改、抓包等各种操作。

抓包

使用 nsenter 工具来对任意容器进行抓包(无论容器内是否含有抓包工具):

  1. 获取容器 PID:
    在宿主机上,使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程:
# container id/name 表示要操作的容器名称或 ID:
docker inspect --format "{{.State.Pid}}" 
  1. 使用 nsenter 切换网络命名空间:
    在宿主机上,使用如下指令,将网络命名空间切换为容器的网络命名空间:
# -n 表示切换网络命名空间,-t 指定的 pid 为步骤 1 获取的容器的 root pid: 
nsenter -n -t 
  1. 查看容器的网卡配置:
    虽然也可以借由 docker exec 查看容器的相关网络配置。比如:

    [root@node3 ~]# docker exec -it  ip a
    1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 245: eth0@if246:  mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff inet 172.31.254.4/24 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::42:acff:fe1f:fe04/64 scope link valid_lft forever preferred_lft forever
但在通过 nsenter 进入了容器的网络命名空间后,可以直接使用宿主机上的的 ifconfig 等工具,来直接查询容器的网络配置并进行抓包。比如:
[root@node3 ~]# nsenter -n -t 3003
[root@node3 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04 inet addr:172.31.254.4 Bcast:0.0.0.0 Mask:255.255.255.0 inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:132 errors:0 dropped:0 overruns:0 frame:0 TX packets:94 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:14162 (14.1 KB) TX bytes:10902 (10.9 KB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 
  1. 抓包:
    如上所述,切换到容器的网络命名空间,并获取容器的网卡配置信息后,就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了:
tcpdump -i eth0 tcp and port 80 -vvv

注意:
如果是指定端口抓包,这里要使用容器的内部端口。比如,容器通过 -p 8180:80 做了端口 bind,那么这里要抓 80 端口,而非 8180 端口。

转载于:https://www.cnblogs.com/wangqiwen-jer/p/10986699.html

你可能感兴趣的:(运维,操作系统,网络)