Docker 容器抓包說明

摘要：

正常狀況下，操做系統層面能夠經過 tcpdump 來抓包。但對於容器環境，根據所使用的 base 鏡像的不一樣，容器內不必定含有抓包工具，因此沒法直接抓包。本文簡要介紹如何經過 ```nsenter``` 工具來對容器快速抓包。 # nsenter 工具介紹 nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它能夠進入指定進程的關聯命名空間。包

正常狀況下，操做系統層面能夠經過 tcpdump 來抓包。但對於容器環境，根據所使用的 base 鏡像的不一樣，容器內不必定含有抓包工具，因此沒法直接抓包。本文簡要介紹如何經過 nsenter 工具來對容器快速抓包。

nsenter 工具介紹

nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它能夠進入指定進程的關聯命名空間。包括文件命名空間（mount namespace）、主機名命名空間（UTS namespace)、IPC 命名空間（IPC namespace）、網絡命名空間（network namespace）、進程命名空間（pid namespace）和用戶命名空間（user namespace）。
藉由此特性，咱們能夠在不依賴 docker 內置 exec 指令的狀況下，直接進入容器，進行文件讀取、修改、抓包等各類操做。

更多關於 nsenter 工具的使用，能夠參閱 man nsenter 幫助信息，或者訪問Web 幫助頁。

利用 nsenter 進行抓包

咱們能夠經過以下步驟，使用 nsenter 工具來對任意容器進行抓包（不管容器內是否含有抓包工具）：
1. 獲取容器 PID:
在宿主機上，使用以下指令獲取容器的 root pid。即容器內 top 顯示 pid 爲 1 的進程。容器內其它運行的進程均爲其子進程或子子進程：

# container id/name 表示要操做的容器名稱或 ID：
docker inspect --format "{{.State.Pid}}" <container id/name>
複製代碼

1. 使用 nsenter 切換網絡命名空間： 在宿主機上，使用以下指令，將網絡命名空間切換爲容器的網絡命名空間：# -n 表示切換網絡命名空間，-t 指定的 pid 爲步驟 1 獲取的容器的 root pid： nsenter -n -t <container root id>

2. 查看容器的網卡配置：
   雖然也能夠藉由 docker exec 查看容器的相關網絡配置。好比：

   [root@node3 ~]# docker exec -it <container id/name> ip a
   1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
       link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
       inet 127.0.0.1/8 scope host lo
          valid_lft forever preferred_lft forever
       inet6 ::1/128 scope host 
          valid_lft forever preferred_lft forever
   245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
       link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
       inet 172.31.254.4/24 scope global eth0
          valid_lft forever preferred_lft forever
       inet6 fe80::42:acff:fe1f:fe04/64 scope link 
          valid_lft forever preferred_lft forever
   複製代碼

   但在經過 nsenter 進入了容器的網絡命名空間後，能夠直接使用宿主機上的的 ifconfig 等工具，來直接查詢容器的網絡配置並進行抓包。好比：

   [root@node3 ~]# nsenter -n -t 3003
   [root@node3 ~]# ifconfig 
   eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
             inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
             inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
             UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
             RX packets:132 errors:0 dropped:0 overruns:0 frame:0
             TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
             collisions:0 txqueuelen:0 
             RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)
   
   lo        Link encap:Local Loopback  
             inet addr:127.0.0.1  Mask:255.0.0.0
             inet6 addr: ::1/128 Scope:Host
             UP LOOPBACK RUNNING  MTU:65536  Metric:1
             RX packets:0 errors:0 dropped:0 overruns:0 frame:0
             TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
             collisions:0 txqueuelen:1 
             RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
   
   複製代碼

3. 抓包：
   如上所述，切換到容器的網絡命名空間，並獲取容器的網卡配置信息後，就能夠直接使用宿主機上的 tcpdump 等工具來進行常規抓包分析了：

   tcpdump -i eth0 tcp and port 80 -vvv
   複製代碼

   注意：
   若是是指定端口抓包，這裏要使用容器的內部端口。好比，容器經過 -p 8180:80 作了端口 bind，那麼這裏要抓 80 端口，而非 8180 端口。

   更多關於 tcpdump 的抓包說明，能夠參閱Linux 環境下的抓包工具介紹等文檔，本文再也不詳述。

版權聲明：本文內容由互聯網用戶自發貢獻，本社區不擁有全部權，也不承擔相關法律責任。若是您發現本社區中有涉嫌抄襲的內容，歡迎發送郵件至：yqgroup@service.aliyun.com 進行舉報，並提供相關證據，一經查實，本社區將馬上刪除涉嫌侵權內容。

原文連接