Docker容器抓包說明

NO IMAGE

摘要:

正常情況下,操作系統層面可以通過 tcpdump 來抓包。但對於容器環境,根據所使用的 base 鏡像的不同,容器內不一定含有抓包工具,所以無法直接抓包。本文簡要介紹如何通過 “`nsenter“` 工具來對容器快速抓包。 # nsenter 工具介紹 nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它可以進入指定進程的關聯命名空間。包

正常情況下,操作系統層面可以通過 tcpdump 來抓包。但對於容器環境,根據所使用的 base 鏡像的不同,容器內不一定含有抓包工具,所以無法直接抓包。本文簡要介紹如何通過 nsenter 工具來對容器快速抓包。

nsenter 工具介紹

nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它可以進入指定進程的關聯命名空間。包括文件命名空間(mount namespace)、主機名命名空間(UTS namespace)、IPC 命名空間(IPC namespace)、網絡命名空間(network namespace)、進程命名空間(pid namespace)和用戶命名空間(user namespace)。
藉由此特性,我們可以在不依賴 docker 內置 exec 指令的情況下,直接進入容器,進行文件讀取、修改、抓包等各種操作。

更多關於 nsenter 工具的使用,可以參閱 man nsenter 幫助信息,或者訪問Web 幫助頁。

利用 nsenter 進行抓包

我們可以通過如下步驟,使用 nsenter 工具來對任意容器進行抓包(無論容器內是否含有抓包工具):
1. 獲取容器 PID:
在宿主機上,使用如下指令獲取容器的 root pid。即容器內 top 顯示 pid 為 1 的進程。容器內其它運行的進程均為其子進程或子子進程:

# container id/name 表示要操作的容器名稱或 ID:
docker inspect --format "{{.State.Pid}}" <container id/name>
  1. 使用 nsenter 切換網絡命名空間: 在宿主機上,使用如下指令,將網絡命名空間切換為容器的網絡命名空間:# -n 表示切換網絡命名空間,-t 指定的 pid 為步驟 1 獲取的容器的 root pid: nsenter -n -t <container root id>
  2. 查看容器的網卡配置:
    雖然也可以藉由 docker exec 查看容器的相關網絡配置。比如:

    [[email protected] ~]# docker exec -it <container id/name> ip a
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
    valid_lft forever preferred_lft forever
    245: [email protected]: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
    inet 172.31.254.4/24 scope global eth0
    valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe1f:fe04/64 scope link 
    valid_lft forever preferred_lft forever
    

    但在通過 nsenter 進入了容器的網絡命名空間後,可以直接使用宿主機上的的 ifconfig 等工具,來直接查詢容器的網絡配置並進行抓包。比如:

    [[email protected] ~]# nsenter -n -t 3003
    [[email protected] ~]# ifconfig 
    eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
    inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
    inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
    RX packets:132 errors:0 dropped:0 overruns:0 frame:0
    TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0 
    RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)
    lo        Link encap:Local Loopback  
    inet addr:127.0.0.1  Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING  MTU:65536  Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1 
    RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
    
  3. 抓包:
    如上所述,切換到容器的網絡命名空間,並獲取容器的網卡配置信息後,就可以直接使用宿主機上的 tcpdump 等工具來進行常規抓包分析了:

    tcpdump -i eth0 tcp and port 80 -vvv
    

    注意
    如果是指定端口抓包,這裡要使用容器的內部端口。比如,容器通過 -p 8180:80 做了端口 bind,那麼這裡要抓 80 端口,而非 8180 端口。

    更多關於 tcpdump 的抓包說明,可以參閱Linux 環境下的抓包工具介紹等文檔,本文不再詳述。

版權聲明:本文內容由互聯網用戶自發貢獻,本社區不擁有所有權,也不承擔相關法律責任。如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至:[email protected] 進行舉報,並提供相關證據,一經查實,本社區將立刻刪除涉嫌侵權內容。

原文鏈接

相關文章

300+篇運維、數據庫等實戰資料免費下載(文章+PDF+視頻,持續更新)

11月27日雲棲精選夜讀:阿里畢玄:智能時代,運維工程師在談什麼?

燃!阿里的技術小哥們又又又拿冠軍了!

黑五你剁了哪些靠譜的硬幹貨?