tcpdump 抓取docker网络包

tcpdump tcp -i veth5c65933 -s 0 dst 10.70.121.92 and port 9600 and src net 192.168.1.0/24 -w 1.cap

参数解释

• tcp 抓取指定类的包，可以是 udp,icmp,arp,ip,rarp，不写就是所有类型
• -i veth5c65933 指定网卡 使用 ip addr查看网卡
• -s 0 抓取所有数据
• dst 10.70.121.92 指定目标ip
• port 9600 指定抓取9600端口的数据 【port ! 9600 非9600端口的其他所有数据】
• src src net 192.168.1.0/24 指定来源的ip
• -w 1.cap 将数据写入1.cap文件中

#获取docker实例的name
docker ps 

#获取实例pid
docker inspect --format {{.State.Pid}} 实例name

#切换到对应容器的命名空间，查看容器的真实网卡
nsenter -n -t 1319082 ip addr

#nsenter 进入命名空间，exit可以退出当前命名空间

#通过和ip addr的结果比较，获取本机上对应的网卡，然后使用tcpdump抓取相关网络包，如下图标红位置，其中vethxxxx就是需要抓取的目标网卡