arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
- b: v) N+ k1 D* K* L, t+ {# j! R: @今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
) x, u7 l1 t8 t& |-d hostname, --delete hostname
Remove any entry for the specified host. This canbeusedif
) g  }( d5 w# w" E1 {6 S% gthe indicated host is brought down, for example.

当前服务器的arp缓存
2 z4 `" D) J' k5 e8 V# t& G[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
  _7 q2 M7 A" h' R; |9 E192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
' ^9 u9 S' K6 P, u0 f, z: b' y! r! I执行清除缓存：
6 Q: ^% g) `+ `) X[root@CT6 ~]# arp -d 192.168.0.9


: {$ ]0 T: }. g4 O" {理解的d参数后面的hostname就是本机ip，但执行后报错。
- K4 c# G, d/ c  ^( Q: _[root@CT6 ~]# arp -d 192.168.0.8
SIOCDARP(pub): No such file or directory
$ |6 L' x5 J* n
  i% _5 [  W+ H  D3 A# [" r# k" I于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
/ C/ P9 T$ D, j4 [. t- f1 _[root@CT6 ~]# arp -d 192.168.0.1
7 T, z$ t1 ~9 w8 a% X执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
9 a4 H  E0 U% R- W6 ]2 I' u[root@CT6 ~]# arp -d 192.168.0.1
% q5 P( q& ^2 i5 M+ {1 m[root@CT6 ~]# arp
+ V2 _8 {% R  ^3 w# [3 \, FAddress                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0


* w- D  [( I% |3 U; _$ q- |! D我不知道此时的"incomplete(不完整)"是什么意思。
0 E# L& Q  y) e3 I3 I5 W
9 K) @1 O) z9 F0 E
搜索论坛后，说是要拔掉网线再试着清除arp.

& d# F+ r  u+ B: y
0 }$ g3 d9 o5 j% K

admin

拔掉网线后，我继续
! v* D1 n& C5 H+ n
4 s2 P3 v* t3 W; I$ s$ ~# arp
Address HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0
8 @* m- e9 _- }
3 R* h' ?  ?) r. l! L仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
8 w* o$ O2 _% i' z0 u, MAddress HWtypeHWaddress Flags Mask Iface
8 ~0 P) G/ j: C: L* r; Y192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

我想问问http://www.wnder.com/：
7 W) D" l, F1 U6 w  c怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？
4 {5 d9 b6 T/ Q3 n
- u' a0 m7 ]4 |% E7 a' Z[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
% O# H, h8 X# Q" I0 c5 K& v/ Z
我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
; J6 o7 |0 y: X) ^6 D# F如果50.101
, ]6 j1 d4 U8 \! A* \. p$ Xjava必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
0 H' T& M. @. l% S# Y) R) m
1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
# {0 I0 `) ?( j) o  x
感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
. w& d6 g& }& R
就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

/ q0 o9 f9 W# ^% k' W我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
# C7 T6 p" h) ~& P4 @3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
  r* X. m% f- m! r) w+ `4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
1 C5 U; S& ?0 n1、拔掉网线。
+ m$ Y5 @" ^" x, \* Z6 o2、运行tcpdump -s0 -i eth0 -w arp.cap
/ }+ \8 r; }5 k8 _6 _( O3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
# [: y  J# n6 P+ L( \' G5、把arp.cap文件压缩后发上来。

ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
, L  Q% f- g$ @, s6 {* p
0 x! S1 [9 t6 u4 u  t7 n* W: carp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续
4 d2 T1 }6 d& O. A% c
  B1 D0 |, L; N% m; d# arp
Address HWtypeHWaddress Flags Mask Iface
7 |( q+ h; `. A  |& G; F6 V( j192.168.50.1 (incomplete) eth0

1 m5 n& |$ h5 t* _6 @仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
6 N/ V1 t8 ^6 bAddress HWtypeHWaddress Flags Mask Iface
) r6 w8 c' u( S. F) ^+ t! t  Z) E192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

我想问问http://www.wnder.com/：
# \0 Y1 {& C8 b( p$ T- l' |% [怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
; M. E& ^4 Y! `1 `. Z, B" ?( \% {拔掉，又接上网线后网卡难道自动执行arp协议？
: ]* T) M2 _0 }6 z' g
; T8 R2 t5 V0 X[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
+ B1 ~) g& o' k, }其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
9 p( w2 w4 l! d* ]" x+ X+ `" m" a4 a
- K' g+ r: ~: e我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
/ |) ~! Q0 F( p$ j2 c1 Z如果50.101
java必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
+ Y( D4 q8 U+ u
1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
  v0 c2 v( w' N2 y
感谢您的回复。:)

" s) n8 D8 W. n9 V2 l, e: c" B[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
; i1 F% F% K/ b7 d3 y/ L1 J0 J7 P# R
7 h# Y& {0 S! \% q# Z; k( S' P# P就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

) U5 V( U( J5 m+ T我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
+ p# a4 @, x& O/ Y, I$ I4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
1、拔掉网线。
% _( q4 O3 ~9 y# e# g, p. m) {" C$ T2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
( c$ z4 G2 J( A# {3 ?5、把arp.cap文件压缩后发上来。

! R/ W' Z! T# d' m& B- Gssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。

arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。