arp -n SIOCDARP(pub): No such file or directory

admin

SIOCDARP(pub): No such file or directory
2 y4 t) u* ^. D. G' u今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。
-d hostname, --delete hostname
2 S; s9 n' F8 }; h  V; C, j. ORemove any entry for the specified host. This canbeusedif
the indicated host is brought down, for example.

当前服务器的arp缓存
[root@CT6 ~]# arp
/ i- Y1 ?& h! hAddress                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
! H% M; l( @! t" |- s0 z+ n执行清除缓存：
[root@CT6 ~]# arp -d 192.168.0.9


9 [# h2 l" l3 Q: J$ f+ u, e* I* m0 `理解的d参数后面的hostname就是本机ip，但执行后报错。
3 y/ M, P, r1 [, ]8 S[root@CT6 ~]# arp -d 192.168.0.8
5 Q$ B" O" \- e! o: [1 I. OSIOCDARP(pub): No such file or directory

于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.
# C; J  }# @9 n3 }[root@CT6 ~]# arp -d 192.168.0.1
1 c8 l/ {* ?$ e# p' Y执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。
2 |4 k( q8 }0 X) G" Q/ \; g[root@CT6 ~]# arp -d 192.168.0.1
[root@CT6 ~]# arp
7 }- ]% y* S% G# fAddress                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.9              ether   10:bf:48:d6:a8:e8   C                     eth0
192.168.0.1              ether   7c:b5:9b:0c:2f:cb   C                     eth0
) Q; H  i$ ~) A! I0 @7 {! z3 ~

2 ?6 i' u. L0 O我不知道此时的"incomplete(不完整)"是什么意思。
  s3 h# k6 H! y0 M2 G2 {; }
5 q* |: S9 I/ j! O. U0 E5 D, L
4 b+ q, ~6 C4 F3 ?6 Z8 J# E/ A搜索论坛后，说是要拔掉网线再试着清除arp.

admin

拔掉网线后，我继续

7 `/ t4 i* u8 n/ T1 E# arp
3 d4 n; R& J/ @7 ?  ~6 w. j1 GAddress HWtypeHWaddress Flags Mask Iface
( b/ |; O; g. S6 W7 e' Z192.168.50.1 (incomplete) eth0
% P0 D, N( _& ?$ c8 d8 g1 {, ]
# k3 I# G. ~$ ~仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
7 i3 F7 k: K* Q9 G" BAddress HWtypeHWaddress Flags Mask Iface
192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

3 n  e8 B0 h8 X8 k! U) w& Y! w我想问问http://www.wnder.com/：
1 V/ T1 z9 k! A+ g0 }; |怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
8 B+ v2 L% W0 }2 X7 d' n% {拔掉，又接上网线后网卡难道自动执行arp协议？
- {- ]  C+ B1 g: m5 `' |* B$ r
[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。
2 m" y6 l, l! k3 J- A* H
% e8 C; [2 \0 l8 ~+ a. g我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101
  ~% x( P$ f; \# A0 Bjava必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

0 _: ~; Z# p! S  |4 j- V1 f1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？

感谢您的回复。:)

3 r% \5 [  d1 M1 z  }' {/ K6 U% K) S[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
" ]5 y; ]7 S* ?
1 B3 A, v! Z5 ?9 L就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？
9 c2 w6 ^1 \  o, H: I' f
) A$ F- C" S$ {8 N" ]我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
7 F9 S1 |3 A8 f( e6 N+ g/ d2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
3 E  M( [  ~  ?( W* z4、在tcpdump的那个控制台ctrl+c 中断。
* Y5 o5 j7 ^, x0 u* B5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表

9 o  ^9 B: H+ W1 z7 v0 v& {1 z                               
登录/注册后可看大图

1、拔掉网线。
, l1 ~8 W+ ^! Q! `0 W2、运行tcpdump -s0 -i eth0 -w arp.cap
. v# y' L3 Z- h+ z; L# ]3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
" V" [, d  D* a5 x9 f1 a3 n1 D4、在tcpdump的那个控制台ctrl+c 中断。
2 F6 P0 j* i' L* ^5、把arp.cap文件压缩后发上来。
* M! O/ `3 L* Y9 v" P" E9 h) q
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
+ J5 C5 t, p  h: Y5 d1 b
arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。

admin

拔掉网线后，我继续
/ ?" f( Z8 @" U; P+ ]$ f6 g( L6 \% l) W
5 m/ P0 M; x4 F( t4 F# arp
Address HWtypeHWaddress Flags Mask Iface
8 ~) C2 l+ _9 ?1 Y" s# P) g192.168.50.1 (incomplete) eth0

; i5 k5 M9 K- c& r9 [仍然是这个结果。我当接上网线后，这条记录马上又恢复了。
Address HWtypeHWaddress Flags Mask Iface
; |  |4 K9 d. V' \, y192.168.50.1 ether 00:1D:0F:63:30:BA C eth0
/ C0 A9 \% [) {$ ~. m
我想问问http://www.wnder.com/：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
; M& A7 e* Y. ~拔掉，又接上网线后网卡难道自动执行arp协议？
9 z8 Q; k, N, a. L
/ @$ y9 Z  N) n' R2 X) K[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。问题是我已经拔掉网线了，再清除的arp缓存。

6 E: r; ^2 A8 A& j我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
8 _0 S& ?( Q7 M' B2 F; u- H如果50.101
java必看
想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。
2 R: F) i! l5 B
3 G, I5 ]2 F( B) y! v1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？
/ Y0 I& v& y* ~4 U' ^, J/ T
感谢您的回复。:)

1 k: W3 y% |. K. W5 m% ][ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]和硬件无关的。
, T3 h  |( O* d. }' E: p* ?
! u7 ?: I; s! w; r# O1 ?5 t就是我说的那种情况。你直接TCPDUMP抓包就是了。重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

8 O( F! b+ d( ]8 r8 T% N我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。:shock:不会吧。难道是灵异事件。你如下操作：1、拔掉网线。
9 k- l' f. T8 D2 e$ c$ ]2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。你一直行arp就又学到了啊原帖由 ssffzz1 于 2009-5-22 16:08 发表

                               
登录/注册后可看大图

1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
  b( Z1 m# B9 @# Y3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。
: Z$ {, G- X% u1 r! s
ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。
: J: Y: h) O+ S- U& E5 Y
arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。