摘要:有兩種方式來對容器進行抓包在容器內(nèi)安裝工具來直接抓包使用宿主機上的工具對容器進程抓包���。包括文件命名空間主機名命名空間命名空間網(wǎng)絡命名空間進程命名空間和用戶命名空間�����。
當docker容器的網(wǎng)絡模式不是--net=host(如果啟動容器的時候使用host模式���,那么這個容器將不會獲得一個獨立的Network Namespace,而是和宿主機共用一個Network Namespace�����。容器將不會虛擬出自己的網(wǎng)卡����,配置自己的IP等�����,而是使用宿主機的IP和端口)時���,容器和宿主機的網(wǎng)絡互相獨立����,而容器一般也不會有安裝tcpdump。因此����,無法直接抓取容器內(nèi)的包。
有兩種方式來對容器進行抓包:
在docker容器內(nèi)安裝tcpdump工具來直接抓包�����;使用宿主機上的tcpdump工具對容器進程抓包��。
1�,在docker容器內(nèi)安裝tcpdump工具來直接抓包
獲取docker id
docker ps | grep xxx
copy tcpdump安裝包和依賴包到容器內(nèi)
docker cp libpcap0-0.9.8-50.10.1.x86_64.rpm container_id:/tmp/
docker cp tcpdump-3.9.8-1.21.x86_64.rpm container_id:/tmp/
進入容器 安裝tcpdump后進行抓包
docker exec -it -u root container_id bash
rpm -ivh *.rpm
也可直接使用這個tcpdump文件(已編譯好 免安裝 可直接使用)
docker cp /file/to/path/tcpdump container_id:/tmp/
sh /tmp/tcpdump -i any -s 0 host x.x.x.x
2,使用宿主機上的tcpdump工具對容器進程抓包
如果宿主機上已安裝了tcpdump抓包工具�����,那我們就可以通過宿主機上的nsenter工具來對docker容器進行抓包����。
nsenter 包含在絕大部分 Linux 發(fā)行版預置的 util-linux 工具包中。使用它可以進入指定進程的關聯(lián)命名空間��。包括文件命名空間(mount namespace)、主機名命名空間(UTS namespace)�、IPC 命名空間(IPC namespace)、網(wǎng)絡命名空間(network namespace)�����、進程命名空間(pid namespace)和用戶命名空間(user namespace)��。
what is nsenter ?
It is a small tool allowing to enter into namespaces. Technically, it can enter existing namespaces, or spawn a process into a new set of namespaces. "What are those namespaces you"re blabbering about?" We are talking about container namespaces.
nsenter can do many useful things, but the main reason why I"m so excited about it is because it lets you enter into a Docker container.
如何使用nsenter來抓包呢���?
獲取容器進程id����,即PID
docker ps | grep xxx 獲取容器id/name
docker inspect --format "{{.State.Pid}}" container_id/name 獲取PID
使用nsenter切換網(wǎng)絡命名空間
nsenter -n -t container_id/name
可在切換前后執(zhí)行ifconfig來對比變化
現(xiàn)在就已進入容器的網(wǎng)絡命名空間��,就可以使用宿主機上的tcpdump來對容器進行抓包了
文章版權歸作者所有����,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://m.hztianpu.com/yun/27620.html
