arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
8 Z  ]  H! |% z6 `0 e0 Q-d hostname, --delete hostname
Remove any entry for the specified host. This canbeusedif
the indicated host is brought down, for example.

当前服务器的arp缓存
[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
1 w6 C" q9 `5 I192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
  |3 R6 |' m' E192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
4 a& @  V. C& R! a; t* d! T5 Y执行清除缓存：
[root@CT6 ~]# arp -d 192.168.0.9


理解的d参数后面的hostname就是本机ip，但执行后报错。
1 L: c* S: ~7 F) t[root@CT6 ~]# arp -d 192.168.0.8
SIOCDARP(pub): No such file or directory
7 G8 f1 |2 H. Z
于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
[root@CT6 ~]# arp -d 192.168.0.1
执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
7 @9 f) v3 R( ?" s9 F[root@CT6 ~]# arp -d 192.168.0.1
5 j/ T: B; E. e  M& s[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
( d2 z2 h/ G+ N4 S0 r192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0

& ~, f$ ]/ {! Q% S( R. q: ?, }
2 Z9 ?4 |" x5 q我不知道此时的"incomplete(不完整)"是什么意思。
; _: s) I( ~1 u
9 Z$ z; ]+ h& a
1 w5 W8 ]2 m' D6 {6 l' Q9 k搜索论坛后，说是要拔掉网线再试着清除arp.
' \. t! f2 |. @$ R% \( @
7 r8 r3 o. P  H) @+ ~. G
  Q7 L3 ~, m) a: y7 o* Q

admin

拔掉网线后，我继续
4 Z2 |  w$ C- C/ L" \
2 f1 _2 U) }' q7 L6 B# arp
Address HWtypeHWaddress Flags Mask Iface
; @. S9 t4 ?0 j  r* J) Z( D. _192.168.50.1 (incomplete) eth0
0 E# ?7 w" T3 U( Y
仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
Address HWtypeHWaddress Flags Mask Iface
6 b4 ^2 B" y7 ?8 L% g" D192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
9 U( d6 g# Q/ j( ^  S4 W7 a, m: s拔掉，又接上网线后网卡难道自动执行arp协议？

[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
% Z6 r  I6 T. Y" k  w1 y, b
我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
java必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
' J6 u8 A) B" Y2 M/ W4 V6 {
感谢您的回复。:)
9 B4 R0 \! m: e
[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。

就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

* f( L: E' m9 z& y3 V6 s  H2 ]9 I我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
! b1 N/ D+ z6 x5 e2 H' U1 ~5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
& d6 R3 [" F( ^) V" A1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
) O. F4 }* u( v4 \6 X  a3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
2 I$ k' l, [4 K; M! E: X4 i4 F5、把arp.cap文件压缩后发上来。

ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。

arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续

- E1 z+ d# J5 B# arp
' t. d' W$ C% p. O+ F# M4 [- i, ZAddress HWtypeHWaddress Flags Mask Iface
) l# E7 E) |" k3 _" ?( Z/ I/ Y192.168.50.1 (incomplete) eth0

仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
6 R: [2 G1 n5 B5 v$ u5 x1 V! j& u2 r( MAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0
5 _3 t& L! O+ A" O- Y2 J
( G- X$ [- Y$ c' d& Z2 ]) _2 X我想问问http://www.wnder.com/：
& u; T. o2 q- m; v9 A怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？

2 H. z3 B8 \3 e% ?0 O2 P& v/ r[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
/ J& ^6 A- E/ O* l其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
8 k* k/ ?0 H+ t. C2 @3 T
1 z5 g% `0 Z) `8 X! @! E* i" G我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
0 |( {1 m+ v( M8 O; p3 L$ {9 r! P如果50.101
java必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
. y% x, h% P, Y
: a% ]: a. ~, j感谢您的回复。:)

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
$ b, W; p2 E$ ^) s7 @  h
& a+ F. J1 m8 [7 `1 K2 L就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？
  g. Z2 I) ~1 e( l% J6 J. J: e$ ?
我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
4 M9 Y; ^0 A' e6 R" \# I3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
. n3 _. \$ F+ }5 Z8 D' n& D4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
2 Z( D$ F! e" w. ?3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
& W/ s9 y+ R- d# a  M' D8 K4、在tcpdump的那个控制台ctrl+c 中断。
, U: R: h+ I6 H/ i3 f& [6 q5、把arp.cap文件压缩后发上来。

2 W0 U4 U- J9 zssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
9 ?" a+ I  [! g4 M4 U" i+ B
9 I% B1 z& E8 m2 X/ C- Harp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。