arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
  W# w! v/ |8 z! V今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
-d hostname, --delete hostname
+ h- l( X2 o6 ZRemove any entry for the specified host. This canbeusedif
0 O  Q8 q+ F2 }  W0 {the indicated host is brought down, for example.
* l! \. X' F" B: m
4 M6 O+ y3 {! f: e+ F) m当前服务器的arp缓存
; M3 B8 j8 h  _% w/ Y; P7 X* _[root@CT6 ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
+ M. S" L) |+ N; ^192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
执行清除缓存：
: m! a5 h) S/ f, X7 x4 s[root@CT6 ~]# arp -d 192.168.0.9
; ?: c2 f  t& q2 a2 m8 B, Q
& {+ ?& ]  D7 {9 H3 O* Y+ ~
理解的d参数后面的hostname就是本机ip，但执行后报错。
. y0 _0 W  b/ c1 O# N' r9 n$ |[root@CT6 ~]# arp -d 192.168.0.8
; Z. C* C; Q& t) `4 v" _# iSIOCDARP(pub): No such file or directory
! D* q1 s. _# ?* t3 y, F8 j
于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
* u* ]4 m$ }5 U; o: x' J& K& U[root@CT6 ~]# arp -d 192.168.0.1
执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
# k) R& P* G8 I  G# ]7 E[root@CT6 ~]# arp -d 192.168.0.1
$ O; {5 w7 _: h4 }6 y8 J7 ?$ O[root@CT6 ~]# arp
" ?8 {: L6 G- P7 {6 AAddress                  HWtype  HWaddress           Flags Mask            Iface
5 ?% T* V6 S6 r& v) E9 ?, n, R192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0


我不知道此时的"incomplete(不完整)"是什么意思。
/ ?, f, a! [' F+ {" h2 h3 u( a
6 `! w) k8 X: N) ?
9 n; _8 H  W5 H$ z搜索论坛后，说是要拔掉网线再试着清除arp.
6 u5 ?* X- F3 n* U2 U- ]
! A+ _2 I, C4 H" B2 A9 D  G

admin

拔掉网线后，我继续

# arp
! L; Y/ X; a' G, KAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0
) a1 }# [, g5 U5 Z& G2 `9 A5 ^
9 G; f; h+ x- ?* V6 ~; ^  w仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
- y8 U' c0 ^# R2 Y2 e) iAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

7 P, g9 x- k: z( T; h) v) Q我想问问http://www.wnder.com/：
# e5 v" o! f4 C1 p% f怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？
' C* }$ L8 {7 \7 d* V! e* Z5 J
[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
* w# L( ~0 m$ G, H  `5 X
我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
; h2 ?8 j3 W' |  U8 l* @# }java必看
+ u5 b) k, B, n  W% L2 m+ p% r, C1 o想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

& V# Q; P& Y/ Z; y" I2 |1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
: ]! O4 n2 C& b; W: R' i3 S
感谢您的回复。:)
/ E; W, w4 S/ F* H0 V. L1 J2 L+ s
[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
6 B; L" z( Q0 c6 t7 N2 i. A
1 `9 [5 j. J* l# o就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？
; r/ E. w' {8 h4 h5 K+ f
我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
; y2 i  Y2 h0 Z/ b6 q5 g/ m3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
/ ?( h( v3 S: ^/ I( L5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
1、拔掉网线。
1 I- K. l* \7 b9 I, ]* [2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
6 L0 d6 X! b; i: B) ?* r4、在tcpdump的那个控制台ctrl+c 中断。
( s2 \- M5 z- N5、把arp.cap文件压缩后发上来。
7 I& J& T1 h5 F' z# e  c
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
  O3 B. h/ z1 r7 p% Q" l% W( X& [
, ]5 J. g0 b$ Y  H. n8 G  P5 iarp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续
/ Z: H3 y: Y0 P
# arp
% N8 M* _2 C4 R% z* D* J" l, fAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 (incomplete) eth0

' @6 o" E; @9 [! [. J- l9 C  m! E仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
Address HWtypeHWaddress Flags Mask Iface
9 ^, e/ r; h5 S- o7 P- c192.168.50.1 ether 00:1D:0F:63:30:BA C eth0
" n% i' b$ W/ [6 p
我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？
3 }8 H2 E& Z+ m: v
[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。

# F( j+ W6 U  e' O6 b我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
- c- {$ f  C6 ^! Ejava必看
7 J9 |4 G3 {0 S8 Z想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
8 F& H9 Y" H2 V: e
/ t" w6 a7 Y9 E4 B# ?  R+ l( G8 W1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？

感谢您的回复。:)
" R+ i( e5 T' A, E% l
  T1 b3 k: v  }$ f  n[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
1 w8 v" g4 J& H/ E9 p
6 P& h! p' C5 X5 K: T! E& |9 n% n就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

! S1 F! B  U5 O我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
) z$ j+ A% X) i) A2 ~3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
* b/ r1 V; i5 F4、在tcpdump的那个控制台ctrl+c 中断。
/ G1 T; {6 I( i7 Q( r: D% ~5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表
4 _5 [$ Z+ D; I) Z1 v4 h1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
% `, c/ x) m: ^: u1 ]3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。
4 a+ j4 W6 O0 y3 P
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
! N7 z0 \' @8 L  ~+ z$ [
, W7 \3 z& c) @+ e$ K, @arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。