nsenter 工具介紹
更多關於 nsenter 工具的使用,可以參閱 man nsenter 幫助資訊,或者訪問Web 幫助頁。
利用 nsenter 進行抓包
# container id/name 表示要操作的容器名稱或 ID:
docker inspect --format "{{.State.Pid}}" <container id/name>
複製程式碼- 使用 nsenter 切換網路名稱空間: 在宿主機上,使用如下指令,將網路名稱空間切換為容器的網路名稱空間:
# -n 表示切換網路名稱空間,-t 指定的 pid 為步驟 1 獲取的容器的 root pid: nsenter -n -t <container root id> 檢視容器的網路卡配置:
雖然也可以藉由 docker exec 檢視容器的相關網路配置。比如:[root@node3 ~]# docker exec -it <container id/name> ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff inet 172.31.254.4/24 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::42:acff:fe1f:fe04/64 scope link valid_lft forever preferred_lft forever 複製程式碼但在通過 nsenter 進入了容器的網路名稱空間後,可以直接使用宿主機上的的 ifconfig 等工具,來直接查詢容器的網路配置並進行抓包。比如:
[root@node3 ~]# nsenter -n -t 3003 [root@node3 ~]# ifconfig eth0 Link encap:Ethernet HWaddr 02:42:ac:1f:fe:04 inet addr:172.31.254.4 Bcast:0.0.0.0 Mask:255.255.255.0 inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:132 errors:0 dropped:0 overruns:0 frame:0 TX packets:94 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:14162 (14.1 KB) TX bytes:10902 (10.9 KB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 複製程式碼抓包:
如上所述,切換到容器的網路名稱空間,並獲取容器的網路卡配置資訊後,就可以直接使用宿主機上的 tcpdump 等工具來進行常規抓包分析了:tcpdump -i eth0 tcp and port 80 -vvv 複製程式碼注意:
如果是指定埠抓包,這裡要使用容器的內部埠。比如,容器通過 -p 8180:80 做了埠 bind,那麼這裡要抓 80 埠,而非 8180 埠。