arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
8 j3 s1 ]* L' X" e4 g8 B% s今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
% n8 r- \# y7 ?& ~- E* q-d hostname, --delete hostname
Remove any entry for the specified host. This canbeusedif
2 v# \7 F5 |$ e6 X. Ithe indicated host is brought down, for example.
9 @5 a$ |1 ~. y. K1 J5 P1 g9 ?
当前服务器的arp缓存
  L  v" G3 b- ~) ][root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
4 e/ H. ~" B8 G4 y: X2 h5 N192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
& a( w) Q) y4 c8 V7 V$ I4 T192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
7 v0 v' L7 _: p% X执行清除缓存：
[root@CT6 ~]# arp -d 192.168.0.9
5 u5 t% \+ S. S% f

理解的d参数后面的hostname就是本机ip，但执行后报错。
[root@CT6 ~]# arp -d 192.168.0.8
SIOCDARP(pub): No such file or directory
" |0 n  S  W- Y0 a
于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
[root@CT6 ~]# arp -d 192.168.0.1
) w# V+ I" B& O& r4 v8 C执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
[root@CT6 ~]# arp -d 192.168.0.1
7 j- S$ u9 ]7 N/ K! z+ M. X[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
0 L& Q2 `2 a' q7 P! }7 B6 D% J; W192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
: {( D: c. z: I+ ~2 D- P) D3 T" |192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0

  ?+ C* y( z  c! d1 p
我不知道此时的"incomplete(不完整)"是什么意思。

+ V' a  F) C2 ~: k  a
4 f7 k+ w4 w/ k0 w: T搜索论坛后，说是要拔掉网线再试着清除arp.

* W  W7 V! d/ d. P, P
5 R4 g- i9 V' [( O# I7 K1 h

admin

拔掉网线后，我继续
% W# `" ]4 @9 S9 I* r- _
9 C9 a. W- T3 K' v+ \5 H) ~# arp
Address HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0

仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
- o6 a, }! @! M1 J0 AAddress HWtypeHWaddress Flags Mask Iface
7 @& A" @6 V) Y' L192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

% t5 T1 y" n, C; ^: [: j2 A! u5 d/ ]我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
* H7 [0 R6 `- N3 D' k  [5 G拔掉，又接上网线后网卡难道自动执行arp协议？

[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。

我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
  @. U+ p8 S+ g  s( [/ A: ujava必看
4 T# i* W1 A0 R% a想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

* C( V+ }0 G) p9 ^& a. E8 y+ U1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
* K) B5 v3 ^/ b) m0 t9 o# L+ a
( o$ \$ J( a% p7 L- H8 S4 [4 o感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。

就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

& J* c6 |& M3 t" W4 D6 B我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
. K; S) b- ]7 M! {7 ?2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
2 ]( }" n! f" q8 h; w4、在tcpdump的那个控制台ctrl+c 中断。
7 Y: ~$ r1 o' ~8 ^/ _/ Z5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
5 i& e4 ^# s$ o0 ?1、拔掉网线。
& Z9 P5 _+ d" C9 b9 x7 T2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
- {  U4 W1 g5 |/ ~, ?& K! C5、把arp.cap文件压缩后发上来。
  H7 m  Q2 w* i1 w3 r
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。

; S  k" n. Q$ j8 varp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续
; a4 J" T4 M# E7 V) K/ [; L8 }
# arp
* B9 l/ x5 Q& j; k* hAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0

仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
& P8 R. W' V4 o8 u) _Address HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0
2 g: \! j5 Y, v& S) {1 d) M# C
我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？
" T/ M2 e3 [* ~* ?- h# e
5 X8 b0 r' \8 q5 A7 E. L0 i[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
* r6 Z% X0 m7 @8 e其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。

我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
java必看
" ~5 i+ |! P4 }$ }0 F4 V想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
' @% q' Y- K4 U- r1 P6 T. W' B
( H$ R7 i8 \- F$ y1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
4 Z0 F: U9 w- M7 c
感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
0 B: R9 a! p8 P* a
' |5 X6 z0 v/ x3 E就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
. w7 c/ F, b3 g2 L2 ]4、在tcpdump的那个控制台ctrl+c 中断。
% R/ r: j, }: k8 r- W5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
1 _" o1 c4 j1 `! q: w- ^1、拔掉网线。
7 I" W+ ]/ i. V0 b/ \+ m2 A0 I2 _2、运行tcpdump -s0 -i eth0 -w arp.cap
# w' P0 N; x5 P3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
  F" ~8 z- n5 [; X. _# Q7 f9 y0 {$ L) q4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。

ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。

arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。