Docker 容器抓包说明

最新推荐文章于 2024-04-20 12:55:23 发布
最新推荐文章于 2024-04-20 12:55:23 发布
阅读量770 收藏 1
点赞数
文章标签: 运维 网络 操作系统
原文链接:https://yq.aliyun.com/articles/272172
版权

正常情况下,操作系统层面可以通过 tcpdump 来抓包。但对于容器环境,根据所使用的 base 镜像的不同,容器内不一定含有抓包工具,所以无法直接抓包。本文简要介绍如何通过 nsenter 工具来对容器快速抓包。

nsenter 工具介绍

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包括文件命名空间(mount namespace)、主机名命名空间(UTS namespace)、IPC 命名空间(IPC namespace)、网络命名空间(network namespace)、进程命名空间(pid namespace)和用户命名空间(user namespace)。
借由此特性,我们可以在不依赖 docker 内置 exec 指令的情况下,直接进入容器,进行文件读取、修改、抓包等各种操作。

更多关于 nsenter 工具的使用,可以参阅 man nsenter 帮助信息,或者访问Web 帮助页

利用 nsenter 进行抓包

我们可以通过如下步骤,使用 nsenter 工具来对任意容器进行抓包(无论容器内是否含有抓包工具):

  1. 获取容器 PID:
    在宿主机上,使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程:
# container id/name 表示要操作的容器名称或 ID:
docker inspect --format "{{.State.Pid}}" <container id/name>
  1. 使用 nsenter 切换网络命名空间:
    在宿主机上,使用如下指令,将网络命名空间切换为容器的网络命名空间:
# -n 表示切换网络命名空间,-t 指定的 pid 为步骤 1 获取的容器的 root pid: 
nsenter -n -t <container root id>

  1. 查看容器的网卡配置:
    虽然也可以借由 docker exec 查看容器的相关网络配置。比如:

    [root@node3 ~]# docker exec -it <container id/name> ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
   valid_lft forever preferred_lft forever
inet6 ::1/128 scope host 
   valid_lft forever preferred_lft forever
245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
inet 172.31.254.4/24 scope global eth0
   valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe1f:fe04/64 scope link 
   valid_lft forever preferred_lft forever
但在通过 nsenter 进入了容器的网络命名空间后,可以直接使用宿主机上的的 ifconfig 等工具,来直接查询容器的网络配置并进行抓包。比如:

[root@node3 ~]# nsenter -n -t 3003
[root@node3 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
          inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
  1. 抓包:
    如上所述,切换到容器的网络命名空间,并获取容器的网卡配置信息后,就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了:
tcpdump -i eth0 tcp and port 80 -vvv

注意
如果是指定端口抓包,这里要使用容器的内部端口。比如,容器通过 -p 8180:80 做了端口 bind,那么这里要抓 80 端口,而非 8180 端口。

更多关于 tcpdump 的抓包说明,可以参阅Linux 环境下的抓包工具介绍等文档,本文不再详述。

weixin_34072637
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在Docker抓包
高性价比服务器就选:蓝易云
10-26 932
现在,你已经成功在Docker容器抓包,并将抓包结果复制到了宿主机。你可以使用Wireshark等工具来分析和查看抓包文件。请注意,在抓包时需要谨慎操作,避免产生大量的抓包数据导致性能问题。在Docker容器抓包可以帮助我们分析网络通信和排查问题。在容器内部,你可以根据需要选择安装相应的抓包工具。在容器内部,使用已安装的抓包工具进行抓包。如果容器中没有网络抓包工具,你需要先安装它们。是容器抓包结果的路径和文件名,是你想要复制到的宿主机目标路径。【在Docker抓包】是你要进入的容器的ID。
如何在容器中进行抓包
LinkSLA的博客
09-27 318
nsenter 命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于 util-linux 包中。
面试官:如何在 Docker 容器抓包?问倒一大片。。。。
weixin_45727359的博客
07-27 225
如何在容器中进行抓包?一篇文章搞懂其原理!大家好,今天就来同大家一起来学习一下,在容器中进行抓包的命令原理与操作。简介nsenter 命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于 util-linux 包中。用途一个最典型的用途就是进入容器网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说 ip address,ping,telnet,ss,tcpdump ...
kubernetes pod抓包
zorsea的博客
09-08 943
应用运行在 k8s 集群中,与传统的在一台机器上跑一个进程直接通过 tcpdump 抓包方式略有不同。最初对容器的理解不深刻认为一定要进入到这个容器抓包,而进入容器内并没有 tcpdump 等基础工具,相当于自己还是把容器当作虚拟机在看待。而实际上。因此要在不同的容器抓包可以简单地使用命令切换 network namespace 即可,可以使用在宿主机上的 tcpdump 等应用。
K8S笔记 - 容器抓包分析操作步骤
sz66cm 学习随笔
07-05 924
k8s 调试 网络数据 抓包分析
RDMA抓包v2.0.doc
06-17
RDMA 抓包 v2.0 本文档介绍了 RDMA 抓包技术的实现方法,包括使用 ibdump 和 tcpdump 工具来捕获 RDMA 流量。下面是本文档的详细知识点总结: 一、RDMA 抓包概述 RDMA(Remote Direct Memory Access,远程直接...
k8s中的Docker是什么
06-21
最近的三年多时间,随着容器技术的火爆及Kubernetes成为容器编排管理的...通过本章的学习,大家会知道docker的概念及基本操作,并学会构建自己的业务镜像,并通过抓包的方式掌握Docker最常用的bridge网络模式的通信。
火炬容器
02-24
结合其他安全工具,如 volatility(内存取证工具)、Wireshark(网络抓包工具)等,可以形成一套强大的恶意软件分析工作流。 总结来说,FLARE容器v21.01是一款为安全研究者设计的、基于Linux容器的恶意软件分析平台...
架构操作:使用Kubernetes或docker-compose在本地或云中配置和部署Hyperledger Fabric应用程序的脚本
02-02
所有步骤都在docker容器中完成,因此无需预先下载任何Hyperledger Fabric工件,即可运行Fabric网络。 该实用程序是使用bash脚本实现的,因此也不依赖于任何其他脚本工具或框架。 先决条件 您的工作站必须支持bash ...
Kubernetes/K8S企业容器云平台入门与进阶实战
06-21
通过本章的学习,大家会知道docker的概念及基本操作,并学会构建自己的业务镜像,并通过抓包的方式掌握Docker最常用的bridge网络模式的通信。 第二章 本章学习kubernetes的架构及工作流程,重点介绍如本章学习...
Docker 容器抓包
dotNET跨平台
06-09 1920
背景介绍程序在运行期间出现问题时,通常会通过抓包的方式来分析、定位问题。非容器应用一般可以通过fiddler、wireshark等工具进行抓包,那么,运行在容器的应用一般通过什么方式进行抓包呢?容器应用一般可以通过 tcpdump、ngrep 等兼容Linux 的命令行工具进行抓包,如果只对 http进行抓包,可以简单使用ngrep。以下将介绍如何使用ngre...
如何抓容器的包
qq_39526043的博客
07-27 187
如何抓容器的包
windows下使用wireshark抓取docker容器中的数据包
Sizaif's 小屋
10-24 1883
在windows环境下使用wireshark抓取docker容器中的数据包。
tcpdump抓包docker容器之间网络内容
最新发布
weixin_39313293的博客
04-20 2169
客户生产环境的客户端上传小文件是可以正常上传的,但在上传大文件到服务器时经常发生卡慢和超时问题,导致无法上传大文件。为了分析这个问题,我和同事捋了一下服务端架构,架构如下:Docker内部有容器A和容器B两个服务,容器B的端口12000映射到了宿主机上的端口12000,外部客户端可以正常访问。服务A的端口没有做映射,只允许Docker内部的容器互相访问。
docker容器网络抓包,排查网络丢包问题
弈凌
03-02 2118
- upstream connect error or disconnect/reset before headers. reset reason: connection termination - grpc-status 14 - http 503
docker容器内的网络抓包
weixin_33905756的博客
12-11 5421
docker容器网络模式不是--net=host(如果启动容器的时候使用host模式,那么这个容器将不会获得一个独立的Network Namespace,而是和宿主机共用一个Network Namespace。容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口)时,容器和宿主机网络互相独立,而容器一般也不会有安...
docker 容器抓包
zhuchj的博客
10-16 739
1.工具: 可以使用linux自带的nsenter来切换namespace,并且用宿主机的tcpdump来抓包 2.步骤 获取容器进程id,即PIDdocker ps | grep xxx 获取容器id/name docker inspect --format "{{.State.Pid}}" container_id/name 获取PID使用nsenter切换网络命名空间 nsenter -n -t pid ...
docker(k8s)容器内tcpdump抓包
新之助的博客
05-08 4018
docker容器内tcpdump抓包 问题 在项目中遇到了一些网络问题,想要看下在容器中抓一些包,但发现容器没有tcpdump命令,如果直接安装的话比较麻烦。 namespace资源隔离 Linux 命名空间对全局操作系统资源进行了抽象,对于命名空间内的进程来说,他们拥有独立的资源实例,在命名空间内部的进程可以实现资源可见。对于命名空间外部的进程,则不可见,实现了资源的隔离。这种技术广泛的应用于容器技术里。 列举下几个方面的资源隔离 namespace 隔离内容 UTS 主机名与域名 I
shell 脚本 将jar 包自动变成docker 容器
06-10
可以使用以下脚本将一个 Java 应用程序的 JAR 包转换为 Docker 容器: ``` #!/bin/bash # 检查是否安装 Docker if ! [ -x "$(command -v docker)" ]; then echo '错误:Docker未安装.' >&2 exit 1 fi # 检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值