阅读 747

Docker 容器抓包说明

正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过 ```nsenter``` 工具来对容器快速抓包。 # nsenter 工具介绍 nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包

正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过 nsenter 工具来对容器快速抓包。

nsenter 工具介绍

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包括文件命名空间(mount namespace)、主机名命名空间(UTS namespace)、IPC 命名空间(IPC namespace)、网络命名空间(network namespace)、进程命名空间(pid namespace)和用户命名空间(user namespace)。
借由此特性,我们可以在不依赖 docker 内置 exec 指令的情况下,直接进入容器,进行文件读取、修改、抓包等各种操作。

更多关于 nsenter 工具的使用,可以参阅 man nsenter 帮助信息,或者访问Web 帮助页。

利用 nsenter 进行抓包

我们可以通过如下步骤,使用 nsenter 工具来对任意容器进行抓包(无论容器内是否含有抓包工具):
1. 获取容器 PID:
在宿主机上,使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程:

# container id/name 表示要操作的容器名称或 ID:
docker inspect --format "{{.State.Pid}}" <container id/name>
复制代码
  1. 使用 nsenter 切换网络命名空间: 在宿主机上,使用如下指令,将网络命名空间切换为容器的网络命名空间:# -n 表示切换网络命名空间,-t 指定的 pid 为步骤 1 获取的容器的 root pid: nsenter -n -t <container root id>
  2. 查看容器的网卡配置:
    虽然也可以借由 docker exec 查看容器的相关网络配置。比如:

    [root@node3 ~]# docker exec -it <container id/name> ip a
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
           valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
        link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
        inet 172.31.254.4/24 scope global eth0
           valid_lft forever preferred_lft forever
        inet6 fe80::42:acff:fe1f:fe04/64 scope link 
           valid_lft forever preferred_lft forever
    复制代码

    但在通过 nsenter 进入了容器的网络命名空间后,可以直接使用宿主机上的的 ifconfig 等工具,来直接查询容器的网络配置并进行抓包。比如:

    [root@node3 ~]# nsenter -n -t 3003
    [root@node3 ~]# ifconfig 
    eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
              inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
              inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:132 errors:0 dropped:0 overruns:0 frame:0
              TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0 
              RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)
    
    lo        Link encap:Local Loopback  
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:65536  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1 
              RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
    
    复制代码
  3. 抓包:
    如上所述,切换到容器的网络命名空间,并获取容器的网卡配置信息后,就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了:

    tcpdump -i eth0 tcp and port 80 -vvv
    复制代码

    注意
    如果是指定端口抓包,这里要使用容器的内部端口。比如,容器通过 -p 8180:80 做了端口 bind,那么这里要抓 80 端口,而非 8180 端口。

    更多关于 tcpdump 的抓包说明,可以参阅Linux 环境下的抓包工具介绍等文档,本文不再详述。

原文链接


关注下面的标签,发现更多相似文章
评论