无法清除arp缓存中的记录[已解决]

aijoex

首先说一下我的网络情况，一台PC接一个TP路由器，TP路由器通过ADSL连上网。本机ip为192.168.50.101，路由器ip为192.168.50.1

今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。

-d hostname, --delete hostname
              Remove any entry for the specified host.         This can  be  used  if
              the indicated host is brought down, for example.

我的arp缓存

# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.50.1             ether   00:1D:0F:63:30:BA   C                     eth0

我理解的d参数后面的hostname就是本机ip，但执行后报错。

# arp -d 192.168.50.101
SIOCDARP(pub): No such file or directory

于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.

# arp -d 192.168.50.1

执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。

# arp -d 192.168.50.1
# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.50.1                     (incomplete)                              eth0

我不知道此时的"incomplete(不完整)"是什么意思。

又执行了一下arp，结果这条记录又恢复了。

# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.50.1             ether   00:1D:0F:63:30:BA   C                     eth0

搜索论坛后，说是要拔掉网线再试着清除arp.

拔掉网线后，我继续

# arp -d 192.168.50.1
# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.50.1                     (incomplete)                              eth0

仍然是这个结果。我当接上网线后，这条记录马上又恢复了。

Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.50.1             ether   00:1D:0F:63:30:BA   C                     eth0

我想问问：
怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？
拔掉，又接上网线后网卡难道自动执行arp协议？

[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]

ssffzz1

你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。
其实这个时候你tcpdump抓包ARP报文已经可见了。

aijoex

问题是我已经拔掉网线了，再清除的arp缓存。

我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。
如果50.101想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。

1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？

感谢您的回复。

[ 本帖最后由 aijoex 于 2009-5-22 15:46 编辑 ]

ssffzz1

和硬件无关的。

就是我说的那种情况。你直接TCPDUMP抓包就是了。

aijoex

重新接上网线后，根本就没有分组从我本机出去，ARP协议为什么要运行？？

我抓包了，但是没有抓到 ff:ff:ff:ff:ff:ff 这个arp广播分组。

ssffzz1

不会吧。难道是灵异事件。你如下操作：

ssffzz1

1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。

flb_2001

你一直行arp就又学到了啊

aijoex

原帖由 ssffzz1 于 2009-5-22 16:08 发表
1、拔掉网线。
2、运行tcpdump -s0 -i eth0 -w arp.cap
3、插网线，另一个控制台运行ping 192.168.50.1 （出现回显CTRL+C即可）
4、在tcpdump的那个控制台ctrl+c 中断。
5、把arp.cap文件压缩后发上来。

ssffzz1，我一直没找到这个帖子，没有及时回您，实在不好意思。

arp的广播分组我在xp下用wireshark已经抓到了，感谢你的回复。

ssffzz1

本来就是，先开抓包。后清ARP。这样就一定能抓到ARP报文。