快捷導(dǎo)航

docker-compose實(shí)現(xiàn)wireshark對(duì)linux主機(jī)進(jìn)行抓包

更新時(shí)間：2023年12月07日 09:09:10 作者：sswhsz

這篇文章主要為大家介紹了docker-compose實(shí)現(xiàn)wireshark對(duì)linux主機(jī)進(jìn)行抓包腳本示例,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

起因

最近部門搭建的harbor鏡像倉(cāng)庫(kù)因?yàn)楦膇p地址，導(dǎo)致使用 docker pull 命令時(shí)，發(fā)生錯(cuò)誤，如下：

# docker pull 10.1.27.89:9000/vappserver/test-image:1.0
Error response from daemon: 
Head "http://10.1.27.89:9000/v2/vappserver/test-image/manifests/1.0": 
Get "http://10.1.27.240:9000/service/token?account=admin&amp;scope=repository%3Avappserver%2Ftest-image%3Apull&amp;service=harbor-registry": 
dial tcp 10.1.27.240:9000: connect: no route to host

仔細(xì)看錯(cuò)誤提示，我們?cè)L問的是“10.1.27.89:9000”，緣何卻訪問了“http://10.1.27.240:9000/service/token”？而這里的 “10.1.27.240”剛好就是harbor的舊ip地址。

由于不了解docker pull命令背后的執(zhí)行過(guò)程、以及和harbor倉(cāng)庫(kù)之間的通訊協(xié)議究竟是什么(http協(xié)議嗎?)所以想要嘗試通過(guò)抓包方式查看下docker pull命令的執(zhí)行過(guò)程、以及為什么訪問了舊的ip?

網(wǎng)上檢索一番，發(fā)現(xiàn)有開源的rpcapd程序，可以結(jié)合wireshark的“遠(yuǎn)程接口”功能，在windows環(huán)境的wireshark中監(jiān)聽linux主機(jī)的網(wǎng)絡(luò)通訊。

網(wǎng)上內(nèi)容基本都需要源碼下載、本地編譯。按照慣例，先查docker鏡像，果然有現(xiàn)成可用的。
以下做一下記錄備忘。

docker-compose配置

version: '3.3'
services:
  wireshark-rpcapd:
    # 參考：https://github.com/rpcapd-linux/rpcapd-linux
    image: soveren/rpcapd:v0.1.3
    # 直接使用主機(jī)的網(wǎng)絡(luò)，所以不再需要端口映射
    network_mode: host
    command:
      - /bin/rpcapd
      # 僅僅使用ipv4
      - "-4"
      # 不限制客戶端連接 (否則可以限定wireshark所在的ip才能連接)
      - -n
      # 監(jiān)聽的端口，在wireshark中，使用ip+此處的端口連接rpcapd
      - "-p 2002"

wireshark的配置

在wireshark中，選擇捕獲-選項(xiàng)，繼續(xù)選擇“管理接口”，我們添加上遠(yuǎn)程接口，其中ip為linux主機(jī)ip，端口即docker-compose文件中command部分配置的端口，例如“2002”

由于在linux主機(jī)中啟動(dòng)了多個(gè)docker容器，創(chuàng)建了多個(gè)虛擬網(wǎng)絡(luò)接口，所以接下來(lái)對(duì)網(wǎng)絡(luò)接口的掃描稍慢。稍等片刻，我們?cè)谧詣?dòng)列出的網(wǎng)絡(luò)接口中，選擇有用的接口，如主機(jī)的網(wǎng)絡(luò)接口（例如名字ens33）、主機(jī)的環(huán)回地址接口(即127.0.0.1，名字是lo或者loopback)，把剩余網(wǎng)絡(luò)接口前面的勾選項(xiàng)去掉即可。

最終如下：