Docker 容器抓包說明

姬子玉發表於2017-11-28
Docker

正常情況下,作業系統層面可以通過 tcpdump 來抓包。但對於容器環境,根據所使用的 base 映象的不同,容器內不一定含有抓包工具,所以無法直接抓包。本文簡要介紹如何通過 ```nsenter``` 工具來對容器快速抓包。 # nsenter 工具介紹 nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它可以進入指定程式的關聯名稱空間。包

正常情況下,作業系統層面可以通過 tcpdump 來抓包。但對於容器環境,根據所使用的 base 映象的不同,容器內不一定含有抓包工具,所以無法直接抓包。本文簡要介紹如何通過 nsenter 工具來對容器快速抓包。

nsenter 工具介紹

nsenter 包含在絕大部分 Linux 發行版預置的 util-linux 工具包中。它可以進入指定程式的關聯名稱空間。包括檔案名稱空間(mount namespace)、主機名名稱空間(UTS namespace)、IPC 名稱空間(IPC namespace)、網路名稱空間(network namespace)、程式名稱空間(pid namespace)和使用者名稱空間(user namespace)。
藉由此特性,我們可以在不依賴 docker 內建 exec 指令的情況下,直接進入容器,進行檔案讀取、修改、抓包等各種操作。

更多關於 nsenter 工具的使用,可以參閱 man nsenter 幫助資訊,或者訪問Web 幫助頁。

利用 nsenter 進行抓包

我們可以通過如下步驟,使用 nsenter 工具來對任意容器進行抓包(無論容器內是否含有抓包工具):
1. 獲取容器 PID:
在宿主機上,使用如下指令獲取容器的 root pid。即容器內 top 顯示 pid 為 1 的程式。容器內其它執行的程式均為其子程式或子子程式:

# container id/name 表示要操作的容器名稱或 ID:
docker inspect --format "{{.State.Pid}}" <container id/name>
複製程式碼
  1. 使用 nsenter 切換網路名稱空間: 在宿主機上,使用如下指令,將網路名稱空間切換為容器的網路名稱空間:# -n 表示切換網路名稱空間,-t 指定的 pid 為步驟 1 獲取的容器的 root pid: nsenter -n -t <container root id>

  2. 檢視容器的網路卡配置:
    雖然也可以藉由 docker exec 檢視容器的相關網路配置。比如:

    [root@node3 ~]# docker exec -it <container id/name> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
    inet 172.31.254.4/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe1f:fe04/64 scope link 
       valid_lft forever preferred_lft forever
複製程式碼

    但在通過 nsenter 進入了容器的網路名稱空間後,可以直接使用宿主機上的的 ifconfig 等工具,來直接查詢容器的網路配置並進行抓包。比如:

    [root@node3 ~]# nsenter -n -t 3003
[root@node3 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
          inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

複製程式碼

  3. 抓包:
    如上所述,切換到容器的網路名稱空間,並獲取容器的網路卡配置資訊後,就可以直接使用宿主機上的 tcpdump 等工具來進行常規抓包分析了:

    tcpdump -i eth0 tcp and port 80 -vvv
複製程式碼

    注意
    如果是指定埠抓包,這裡要使用容器的內部埠。比如,容器通過 -p 8180:80 做了埠 bind,那麼這裡要抓 80 埠,而非 8180 埠。

    更多關於 tcpdump 的抓包說明,可以參閱Linux 環境下的抓包工具介紹等文件,本文不再詳述。

原文連結


相關文章