docker容器抓包

使用nsenter切换网络命名空间

#获取PID
docker inspect --format "{{.State.Pid}}" container_id/name 
# 切换网络空间
nsenter -n -t PID

切换后可用 ip addr 查看网络结构(nsenter切换网络空间不是永久的，只对当前会话有效，不用担心切换会对容器网络有修改)

抓包命令

实时打印

# 100：打印次数，ens192：网卡名称，IP：117.61.1.89
tcpdump -c 100 -q -XX -vvv -nn -i ens192 host 117.61.1.89

文件写入

tcpdump -i ens192 host 117.61.1.89