arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
0 D( a# b  C) s& \6 z! N* {-d hostname, --delete hostname
. r& r- m5 o* J, eRemove any entry for the specified host. This canbeusedif
) h( ]3 x: C4 C) v/ E8 ]the indicated host is brought down, for example.
& [( m( p7 f9 {8 N& ?2 L
! y1 N3 }6 M+ g' y& X# o3 `. F  u- G当前服务器的arp缓存
7 y. S) P# R. q! c# }0 T  w[root@CT6 ~]# arp
  e" S& L" X( kAddress                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
( m% f( e  T  w1 S3 s- V: o1 D% p192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
' c1 _3 P7 J* D" A& \7 K# A执行清除缓存：
[root@CT6 ~]# arp -d 192.168.0.9
0 r9 |- q0 T! b" a, o
; n  w# [5 i9 y* p% p0 q% m
3 J/ C/ N. w6 [  V理解的d参数后面的hostname就是本机ip，但执行后报错。
9 [  f% z$ L% W. E$ M4 G# p- W[root@CT6 ~]# arp -d 192.168.0.8
SIOCDARP(pub): No such file or directory
; Z7 E: o7 H& ^: w& ~* h. D
$ p. s+ c, e6 a7 f& N" Q/ \% ?于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
[root@CT6 ~]# arp -d 192.168.0.1
执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
  V$ @- C$ l" v' B( E" [4 m3 A[root@CT6 ~]# arp -d 192.168.0.1
[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
6 e7 y2 _5 @& Y' H192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0

, X. C: `% M) U' I# d' m
我不知道此时的"incomplete(不完整)"是什么意思。

! Q$ `/ [: W) v; G- o( Q; X4 o# D
8 i! T' s" Q( h  W1 v8 M5 H" H搜索论坛后，说是要拔掉网线再试着清除arp.
' Q+ s2 K1 K3 Q( D) q

" S! S4 l, ^" s0 R1 c4 e

admin

拔掉网线后，我继续
( |* J% U3 W+ u; i) \4 H
, i+ U; G$ P2 W# arp
8 M1 S+ O6 h* _Address HWtypeHWaddress Flags Mask Iface
( _! f/ F1 G0 A" X4 n( Q192.168.50.1 (incomplete) eth0

! B$ F  S( u, z6 q5 S+ r仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
; H3 l" I5 n) UAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0
- [/ T4 k! J2 S
我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
, a; k8 Y2 D% h3 p4 P% `拔掉，又接上网线后网卡难道自动执行arp协议？

( E5 s3 y2 U) R- ?[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
6 c; z8 ]" r5 T! S: H/ y- i其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
0 V, u# e; \, e3 E/ v2 ~
) X2 t; y% z& l6 L: Y我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
java必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
; Q3 L7 ?) M! e* Z
  v9 |' N# Q- L# p5 [1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
- |; r" j- B: {3 c
4 x4 d' z7 m" n0 J7 @/ O感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。

! D  `% s: ^  g8 Y就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？
0 M1 C( n) L2 L* Y0 J) k
& u( ]; w# h2 ?( ^7 A我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
! E+ V6 q' C8 r5 O: z/ Y! o2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
' @9 k9 S) @, w1 M1 d4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表

9 z7 ?% g, b  Z( L                               
登录/注册后可看大图

1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
2 F5 }7 K9 [( F% j3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
* ?6 h( n! T' g( c7 d( g* T  A4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。
5 g9 z$ @  ~$ t2 Y; S+ h6 z
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
& R7 f7 d* l/ _- ]  t; h9 y" u
; U: B, ?. S2 F% b7 J4 k% U1 g8 jarp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续

# arp
Address HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0
$ J4 D$ J4 d" |% o
仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
; F# L6 C  ~7 WAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

我想问问http://www.wnder.com/：
: B2 @' S+ N) ~# |1 E5 ^5 A怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？
3 L1 m' d" N% E3 d, q5 p) Y; U8 E
* K) s' ^9 _) F[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
; g8 Y  K# N# }  \! A4 {! N* u其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
& ~' J2 L1 v0 O
我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
7 A1 N; C, `* v( E$ S3 F如果50.101
$ H4 \6 d8 g( [( I% r, ~java必看
" }+ C2 Z+ @; \3 Y3 n* R想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
8 C' `9 [& Q2 d& z* U2 t1 ?
$ Q/ z/ |9 X+ ]1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
5 n  U: |; j0 R  u' ~! _3 `
- P9 f! s. ?. ^" J: \1 }5 X8 ^感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。

就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？
9 E. y4 G( [% k2 C7 G1 o2 Y8 M: S
) }8 d$ u6 A. w- d+ m我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
  k7 E" |) N9 L6 E; g2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表

! Y4 K$ U" Z6 E  C) [$ y                               
登录/注册后可看大图

1、拔掉网线。
! A7 Y1 a, {0 u6 J; b2、运行tcpdump -s0 -i eth0 -w arp.cap
0 M( L' z# b" ^7 t; H) L' r3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
) L: _3 O+ b) K4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。
) {6 k+ w; y) p' O; s6 x
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
- V* U9 t* ^+ P, Y/ N* ]
4 d' f$ i  t7 q* P! yarp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。