在 Linux 使用 tcpdump 分析 docker 容器流量

小渣渣

需求：拉取了一个私有的 Docker 镜像，里面部署的项目代码是闭源的，如何抓包容器的流量，分析行为。不想在宿主机安装一些软件，避免污染系统。

Tcpdump

tcpdump 是一个在类Unix 系统上运行的命令行网络数据包分析工具。它可以捕获并分析网络接口上流经的数据包，并以可读格式显示，包括源和目标地址、端口、协议类型等信息。它还支持各种过滤选项，方便用户根据特定需求筛选数据包。

官网：超链接登录可见。
源码：超链接登录可见。

Netshoot

Docker + Kubernetes 网络故障排除瑞士军刀容器，Docker 和 Kubernetes 网络故障排除可能非常复杂。通过正确理解 Docker 和 Kubernetes 的网络工作原理以及合适的工具集，您可以排查并解决这些网络问题。Dockernetshoot容器拥有一套强大的网络故障排除工具，可用于排查 Docker 的网络问题。除了这些工具之外，我们还提供了一系列用例，展示了如何在实际场景中使用该容器。

netshoot 包含的软件：apache2-utils、bash、bind-tools、bird、bridge-utils、busybox-extras、conntrack-tools、curl、dhcping、drill、ethtool、file、fping、iftop、iperf、iperf3、iproute2、ipset、iptables、iptraf-ng、iputils、ipvsadm、httpie、jq、libc6-compat、liboping、ltrace、mtr、net-snmp-tools、netcat-openbsd、nftables、ngrep、nmap、nmap-nping、nmap-scripts、openssl、py3-pip、py3-setuptools、scapy、socat、speedtest-cli、openssh、oh-my-zsh、strace、tcpdump、tcptraceroute、trippy、tshark、util-linux、vim、git、zsh、websocat、swaks、perl-crypt-ssleay、perl-net-ssleay



源码地址：超链接登录可见。

Netshoot 使用 Tcpdump 工具

拉取 Netshoot 镜像，并使用 Tcpdump 工具，命令如下：

登录可见。

如下图：



查看所有网卡，命令如下：

登录可见。

抓取 DNS 包，命令如下：

登录可见。

如下图：



抓取非内网流量包，也就是排除私有 IP 地址范围（RFC 1918），命令如下：

登录可见。

参考：
超链接登录可见。
超链接登录可见。
超链接登录可见。
超链接登录可见。