正常情况下，操作系统层面可以通过 tcpdump 来抓包。但对于容器环境，根据所使用的 base 镜像的不同，容器内不一定含有抓包工具，所以无法直接抓包。本文简要介绍如何通过 nsenter 工具来对容器快速抓包。

nsenter 工具介绍

nsenter 包含在绝大部分 Linux 发行版预置的 util-linux 工具包中。它可以进入指定进程的关联命名空间。包括文件命名空间（mount namespace）、主机名命名空间（UTS namespace)、IPC 命名空间（IPC namespace）、网络命名空间（network namespace）、进程命名空间（pid namespace）和用户命名空间（user namespace）。
借由此特性，我们可以在不依赖 docker 内置 exec 指令的情况下，直接进入容器，进行文件读取、修改、抓包等各种操作。

更多关于 nsenter 工具的使用，可以参阅 man nsenter 帮助信息，或者访问Web 帮助页。

利用 nsenter 进行抓包

我们可以通过如下步骤，使用 nsenter 工具来对任意容器进行抓包（无论容器内是否含有抓包工具）：

1. 获取容器 PID:
   在宿主机上，使用如下指令获取容器的 root pid。即容器内 top 显示 pid 为 1 的进程。容器内其它运行的进程均为其子进程或子子进程：

# container id/name 表示要操作的容器名称或 ID：
docker inspect --format "{{.State.Pid}}" <container id/name>

1. 使用 nsenter 切换网络命名空间：
   在宿主机上，使用如下指令，将网络命名空间切换为容器的网络命名空间：

# -n 表示切换网络命名空间，-t 指定的 pid 为步骤 1 获取的容器的 root pid： 
nsenter -n -t <container root id>

1. 查看容器的网卡配置：
   虽然也可以借由 docker exec 查看容器的相关网络配置。比如：

   [root@node3 ~]# docker exec -it <container id/name> ip a
   1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
      valid_lft forever preferred_lft forever
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
   245: eth0@if246: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
   link/ether 02:42:ac:1f:fe:04 brd ff:ff:ff:ff:ff:ff
   inet 172.31.254.4/24 scope global eth0
      valid_lft forever preferred_lft forever
   inet6 fe80::42:acff:fe1f:fe04/64 scope link 
      valid_lft forever preferred_lft forever

但在通过 nsenter 进入了容器的网络命名空间后，可以直接使用宿主机上的的 ifconfig 等工具，来直接查询容器的网络配置并进行抓包。比如：

[root@node3 ~]# nsenter -n -t 3003
[root@node3 ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 02:42:ac:1f:fe:04  
          inet addr:172.31.254.4  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::42:acff:fe1f:fe04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:94 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:14162 (14.1 KB)  TX bytes:10902 (10.9 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

1. 抓包：
   如上所述，切换到容器的网络命名空间，并获取容器的网卡配置信息后，就可以直接使用宿主机上的 tcpdump 等工具来进行常规抓包分析了：

tcpdump -i eth0 tcp and port 80 -vvv

注意：
如果是指定端口抓包，这里要使用容器的内部端口。比如，容器通过 -p 8180:80 做了端口 bind，那么这里要抓 80 端口，而非 8180 端口。

更多关于 tcpdump 的抓包说明，可以参阅Linux 环境下的抓包工具介绍等文档，本文不再详述。