Docker 容器抓包说明

正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过 nsenter 工具来对容器快速抓包。

nsenter 工具介绍

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包括文件命名空间(mount namespace)、主机名命名空间(UTS namespace)、IPC 命名空间(IPC namespace)、网络命名空间(network namespace)、进程命名空间(pid namespace)和用户命名空间(user namespace)。
借由此特性,我们可以在不依赖 docker 内置 exec 指令的情况下,直接进入容器,进行文件读取、修改、抓包等各种操作。

更多关于 nsenter 工具的使用,可以参阅 man nsenter 帮助信息,或者访问Web 帮助页。

利用 nsenter 进行抓包

我们可以通过如下步骤,使用 nsenter 工具来对任意容器进行抓包(无论容器内是否含有抓包工具):

  1. 获取容器 PID:
    在宿主机上,使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程:
# container id/name 表示要操作的容器名称或 ID:
docker inspect --format "{{.State.Pid}}" 
  1. 使用 nsenter 切换网络命名空间:
    在宿主机上,使用如下指令,将网络命名空间切换为容器的网络命名空间:
# -n 表示切换网络命名空间,-t 指定的 pid 为步骤 1 获取的容器的 root pid: 
nsenter -n -t 
  1. 查看容器的网卡配置:
    虽然也可以借由 docker exec 查看容器的相关网络配置。比如:

    [root@node3 ~]# docker exec -it  ip a
    1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
    245: eth0@if246:  mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
    inet 172.31.254.4/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe1f:fe04/64 scope link 
       valid_lft forever preferred_lft forever
但在通过 nsenter 进入了容器的网络命名空间后,可以直接使用宿主机上的的 ifconfig 等工具,来直接查询容器的网络配置并进行抓包。比如:
[root@node3 ~]# nsenter -n -t 3003
[root@node3 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
          inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
  1. 抓包:
    如上所述,切换到容器的网络命名空间,并获取容器的网卡配置信息后,就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了:
tcpdump -i eth0 tcp and port 80 -vvv

注意
如果是指定端口抓包,这里要使用容器的内部端口。比如,容器通过 -p 8180:80 做了端口 bind,那么这里要抓 80 端口,而非 8180 端口。

更多关于 tcpdump 的抓包说明,可以参阅Linux 环境下的抓包工具介绍等文档,本文不再详述。

你可能感兴趣的:(运维,网络,操作系统)