Docker 容器应急

最新推荐文章于 2025-04-19 14:14:02 发布
最新推荐文章于 2025-04-19 14:14:02 发布
阅读量1.4k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Web安全 文章标签: docker 容器 容器应急
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38626043/article/details/133794752

容器网络简单理解

容器拥有n多张veth网卡与一张docker0网卡

在这里插入图片描述

docker 五种网络

  • bridge
    默认网络,Docker启动后创建一个docker0网桥,默认创建的容器也是添加到这个网桥中。
  • host
    容器不会获得一个独立的network namespace,而是与宿主机共用一个。这就意味着容器不会有自己的网卡信息,而是使用宿主机的。容器除了网络,其他都是隔离的。
  • none
    获取独立的network namespace,但不为容器进行任何网络配置,需要我们手动配置。
  • container
    与指定的容器使用同一个network namespace,具有同样的网络配置信息,两个容器除了网络,其他都还是隔离的。
  • 自定义网络
    与默认的bridge原理一样,但自定义网络具备内部DNS发现,可以通过容器名容器之间网络通信。

默认都为bridge网卡
在这里插入图片描述

容器内为什么能通baidu
容器内虚拟网卡网卡——》容器网关(宿主机虚拟网卡)——》docker0网卡——》物理网卡

在这里插入图片描述

两种情况

我做了一个实验,发现两种情况
第一种情况,容器会走vet网卡在到docker0网卡,所以在两张网卡上都能抓到对应的数据包。

在这里插入图片描述

在这里插入图片描述

第二种情况,在docker0网卡上抓不到流量,只能在对应的veth网卡上才能抓到流量
在这里插入图片描述
我发现docker0上并不能抓到容器的流量
在这里插入图片描述
在使用traceroute查看路由后,我发现,容器在出网关后到了192.168.68.2,该ip为物理机物理网卡网关,意思是,该容器,从容器虚拟网关出来后直接到了物理机网关,跳过了docker0网卡,所以使用tcpdump -i docker0抓取该容器流量是抓不到的
在这里插入图片描述
在这里插入图片描述
为什么会出现这总问题,在查看iptables规则时,我发现,在docker创建时可能会添加一些规则

iptables -t nat -S

在这里插入图片描述

-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

这条规则的意思是如果docker0收到来自172.17.0.0/16这个网段的外出包,docker0会交给MASQUERADE处理,而MASQUERADE处理方式是将包源地址替换成host地址发出
在这里插入图片描述
所以,跳过docker0网卡直接到物理网卡的原因是iptables规则中有该网卡直接nat出去的规则

基础信息收集

基础信息

观察其状态,映射端口

docker container ls
docker ps

在这里插入图片描述

详细信息

检查容器详细信息,挂载的数据卷,运行时间,mac地址等信息

docker inspect ID

在这里插入图片描述

资源使用

检查容器资源使用情况

docker stats ID

在这里插入图片描述

进程信息

容器进程信息

docker top ID

在这里插入图片描述

文件

容器文件信息

docker diff ID | grep A
# A -add
# D -delete
# C -change

在这里插入图片描述

应急处置

  1. 构建镜像,保留证据
  2. 检查异常
  3. 暂停容器内进程
  4. 断开容器网络

构建镜像

docker commit -m="说明" ID check08:1.0

在这里插入图片描述
暂停容器中的进程,包括后台,守护进程等,文件系统运行状态不变

docker pause ID # 暂停
docker unpause ID # 恢复

在这里插入图片描述

定位容器

容器通过docker0网卡进行通信,可以通过tcpdump指定网卡找到异常网络连接,然后进一步关联容器。
情况一:ids或其他安全设备告警,某台linux上出现了恶意连接,该linux主机上部署了多个容器,该如何排查是那个容器出现了问题?

在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接,排查效率很慢,而且很多容器没有安装net-tools工具,没有netstat工具。

抓取流量

情况一:直接通过docker0网卡进行tcpdump流量抓取,通过安全设备给出的IP地址定位容器。
情况二:docker0网卡无法抓取到,只能一个一个网卡进行排查。

抓取docker0网卡流量

tcpdump -i docker0 dst host xx.xx.xx.xx -v -w docker.pcap

抓取容器对应的veth流量

iptables -t nat -S # 查看对应网卡

在这里插入图片描述

tcpdump -i br-28b6e6930d36 dst host 172.29.246.156 -v -w br-28b6e6930d36.pcap
tcpdump -i br-28b6e6930d36 dst host 172.29.246.156 -v

定位容器

利用docker inspect -f匹配模块文件匹配对应容器

docker inspect -f '{{.Name}}{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $(docker ps -aq) | grep 172.19.0.2

docker container ls -a | grep 82-pte-lamp-1

开源容器扫描器

https://github.com/chaitin/veinmind-tools

在这里插入图片描述

Docker容器核心操作指南:`docker run`参数深度解析
sg_knight的专栏
06-24 1040
(交互模式)的合理运用,直接影响容器行为模式与运维效率。本文将深度拆解两大模式的应用场景与实践技巧。运行,适用于长期存在的服务型容器(如Web服务器、数据库)。命令承担着90%的容器创建工作。,适用于调试、配置初始化等短期操作场景。资源参数 --cpu/--memory。作为容器化技术的起点,模式启动,避免终端断开导致服务中断。配置参数 -v/-p/--name。运行模式参数 -d/-it。:生产环境服务必须使用。
解析Docker网络:从docker0网桥到veth pair接口
zgt_certificate的博客
06-21 558
每个容器都有一个独立的网络接口(eth0),连接到docker0网桥,通过共享一个私有网段,实现了一个虚拟局域网。veth pair中的一个接口在容器内部,命名为eth0,另一个接口在主机并连接到docker0网桥,名称以veth开头。: 如果容器A的eth0接口发送一个数据包,该数据包通过vethXX接口传输到docker0网桥,docker0网桥再将其转发到另一个容器B的vethYY接口,最终到达容器B的eth0接口。Docker网络的工作原理,特别是docker0网桥和veth pair接口的使用。
应急响应-Linux篇
sechelper的博客
01-11 857
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
蓝队技能-应急响应篇&Docker镜像&容器分析&Dockfile路径定位&基线扫描
SuperherRo的博客
09-19 851
应急响应-Docker镜像-应急&分析
Docker容器挖矿应急实例
08-07 758
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描
最新发布
qq_45694932的博客
04-19 939
Docker拉取的镜像被攻击者拿下,植入后门或挖矿等恶意应用,那么该如何应急?1、启动镜像。
Docker 恶意挖矿镜像应急实例
09-14 7373
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
强化Docker容器安全:策略、实践与技巧
06-27
Docker容器技术因其轻量级和便捷性,在云计算和微服务架构中得到了广泛应用。然而,容器安全问题也随之成为开发者和系统管理员关注的焦点。本文将深入探讨如何在Docker中实现容器的安全性,包括安全策略、最佳实践和...
部署docker容器-构建高可用的Docker容器监管系统
理解Docker容器技术 ## 1.1 什么是Docker容器Docker容器是一种轻量级、可移植、自包含的软件打包技术,用于在不同的计算机环境中快速部署应用程序。每个Docker容器都包含应用程序的代码、运行时环境、系统工具...
Docker容器安全性基础
# 第一章:Docker容器安全性概述 1.1 Docker容器技术简介 1.2 容器安全性的重要性 1.3 常见的容器安全威胁 在当前互联网时代,容器化技术因其轻量级、可移植、可复制等特点而备受关注。Docker作为目前最流行的...
Docker容器资源限制与监控管理
Docker容器简介 1.1 什么是Docker容器 Docker容器是一种轻量级、可移植的软件打包技术,允许开发者将应用程序及其所有依赖项打包到一个独立的容器中。每个容器都是一个独立的运行环境,其内部包含应用程序、运行...
Docker网络(veth、网桥、host、container、none)
m0_45406092的博客
06-28 4458
文章目录1. 概述2. bridge网络模式2.1 介绍2.2 关于veth2.3 容器容器间通讯2.4 容器与外部网络通讯2.5 宿主机与容器通讯2.6 外部访问容器2.7 自定义网桥3. host网络模式4. container网络模式5. none网络模式6. 总结参考 1. 概述 docker的网络驱动有很多种方式,按照docker官网给出的网络解决方案就有6种,分别是:bridge、host、overlay、macvlan、none、Network plugins,每个网络都有自己的特点,当然应
记一次挖矿病毒的应急响应
weixin_45885440的博客
03-30 4156
记一次挖矿病毒的应急响应
docker网络模式
m0_64651064的博客
05-10 643
目录 一、四种网络模式 1、Host模式 2、Container模式 3、Bridge模式(默认) 4、None模式(极少用) 二、自定义网络 1.查看网络模式列表 2.查看容器信息(包含配置、环境、网关、挂载、cmd等等信息) 4.自定义网络固定iP 三、暴露端口 2、Docker网络模式有哪些?分别提供哪些功能? 一、四种网络模式 1、Host模式 host容器将不会虚拟出自己的网卡,配置自己的IP等,而是使用宿主机的IP和端口范围。如果启动容器的时候使用h.
Docker【2】iptables 错误解决
CharlesYuangc的博客
05-20 2661
解决:iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8080 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.
容器环境下如何进行tcpdump
wickedshen的博客
11-18 1454
容器docker、k8s、kubernetes)环境下如何进行tcpdump 应用时运行在 k8s 集群中的,与传统的在虚拟机直接通过 tcpdump 抓包方式略有不同。因为无法精确定位,开始抓的包都巨大。而实际上 它们只是在宿主机上不同 namespace 运行的进程而已 。因此要在不同的容器抓包可以简单地使用命令切换 nsenter即可,可以使用在宿主机上的 tcpdump 等应用。 找到宿主机 通过容器的界面或者kubectl get pod -n your-namespace -o yaml y
容器外通过tcpdump容器内的网络抓包方法
renduy的专栏
02-05 1550
根据container id 查找pid(docker可以用docker inspect --format {{.State.Pid}}HaProxy配置DNS解析时,如果server配置的域名是短域名,则kube-dns无法解析?查container id,docker的话差不多。是关键信息,然后在 host 机器上找到这个。网卡信息,抓包的时候指定对应的网卡。
Docker容器网络与通信
m0_62943934的博客
12-08 1177
Overlay 网络是指在不改变现有网络基础设施的前提下,通过某种约定通信协议,把二层报文封装在IP报文之上的新的数据格式。这样不但能够充分利用成熟的IP路由协议进程数据分发;而且在 Overlay 技术中采用扩展的隔离标识位数,能够突破 VLAN 的4000数量限制支持高达16M的用户,并在必要时可将广播流量转化为组播流量,避免广播数据泛滥。因此,Overlay 网络实际上是目前最主流的容器跨节点数据传输和路由方案。
【iptables 实战】9 docker网络原理分析
程序员笔记
10-04 1298
在开始本章阅读之前,需要提前了解以下的知识。
docker端口号怎么改
03-19
### 更改Docker容器映射端口号的配置方法 在实际操作中,如果需要更改已经运行中的 Docker 容器的端口映射,可以通过以下方式实现。需要注意的是,这些方法通常涉及停止并重新启动 Docker 服务以及手动编辑相关配置文件。 #### 方法一:通过修改 `hostconfig.json` 文件 此方法适用于 Linux 系统下的 Docker 安装环境。以下是具体的操作流程: 1. 查找目标容器 ID 使用命令 `docker ps -a` 列出所有容器,并记录下需要修改的容器 ID 或名称[^2]。 2. 停止 Docker 服务 执行命令 `systemctl stop docker` 来暂停 Docker 服务,以便安全地修改配置文件[^4]。 3. 编辑 `hostconfig.json` 文件 转到 `/var/lib/docker/containers/<container_id>/` 目录,其中 `<container_id>` 是上一步查找到的目标容器 ID。打开该目录下的 `hostconfig.json` 文件,定位至 `"PortBindings"` 字段,按照所需更新端口映射关系。例如: ```json { "PortBindings": { "80/tcp": [ { "HostIp": "", "HostPort": "8080" } ] } } ``` 将上述字段中的 HostPort 更新为目标主机端口号。 4. 启动 Docker 服务 修改完成后执行 `systemctl start docker` 恢复 Docker 服务正常工作状态。 5. 重启容器 对应容器需被删除后再创建以应用新的端口设置,或者直接移除旧实例再基于相同镜像构建新实例来加载最新改动后的参数设定。 #### 方法二:调整 `config.v2.json` 中暴露端口部分 另一种可行方案是直接作用于容器元数据存储位置内的 JSON 数据结构——即位于同一路径下的另一个重要文档 `config.v2.json` 上面提到过的 `"ExposedPorts"` 属性节点处增加额外条目即可完成新增加外部访问权限的功能定义过程[^3]: ```json { ... "Config": { ..., "ExposedPorts": { "80/tcp": {}, "9090/tcp": {} }, ... } } ``` 在此基础上重复之前关于停启守护进程和服务的动作序列之后记得再次确认最终效果是否达到预期水平! --- ### 注意事项 - **备份原始文件**:在任何情况下都建议先复制一份原版作为应急恢复手段以防万一发生意外状况影响业务连续性; - **兼容性验证**:某些特定版本之间可能存在细微差异因此务必参照官方手册核实细节信息确保适配当前所使用的发行版本号范围之内; - **自动化工具替代手工干预**:考虑到效率与稳定性因素长远来看推荐利用脚本程序批量处理此类任务减少人为失误概率提升整体运维质量标准。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_abcdef

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值