论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-05-22 15:15 |只看该作者 |倒序浏览

首先说一下我的网络情况，一台PC接一个TP路由器，TP路由器通过ADSL连上网。本机ip为192.168.50.101，路由器ip为192.168.50.1\r\n\r\n今天想用tcpdump观察一下arp协议广播arp分组的细节。于是我查看man手册，想利用参数d清除arp记录。\r\n

-d hostname, --delete hostname\r\n Remove any entry for the specified host. This can be used if\r\n the indicated host is brought down, for example.

\r\n\r\n我的arp缓存\r\n

# arp\r\nAddress HWtype HWaddress Flags Mask Iface\r\n192.168.50.1 ether 00:1D:0F:63:30:BA C eth0\r\n

\r\n我理解的d参数后面的hostname就是本机ip，但执行后报错。\r\n

# arp -d 192.168.50.101\r\nSIOCDARP(pub): No such file or directory

\r\n\r\n于是，我又试着以arp缓存中的那条映射记录的ip作为hostname.\r\n

# arp -d 192.168.50.1

\r\n执行完毕后，没有任何显示。我觉得ok了。然后再次查看arp缓存。\r\n

# arp -d 192.168.50.1\r\n# arp \r\nAddress HWtype HWaddress Flags Mask Iface\r\n192.168.50.1 (incomplete) eth0

\r\n我不知道此时的\"incomplete(不完整)\"是什么意思。\r\n\r\n又执行了一下arp，结果这条记录又恢复了。\r\n

# arp\r\nAddress HWtype HWaddress Flags Mask Iface\r\n192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

\r\n\r\n搜索论坛后，说是要拔掉网线再试着清除arp.\r\n\r\n拔掉网线后，我继续\r\n

# arp -d 192.168.50.1\r\n# arp\r\nAddress HWtype HWaddress Flags Mask Iface\r\n192.168.50.1 (incomplete) eth0

\r\n\r\n仍然是这个结果。我当接上网线后，这条记录马上又恢复了。\r\n

Address HWtype HWaddress Flags Mask Iface\r\n192.168.50.1 ether 00:1D:0F:63:30:BA C eth0

\r\n\r\n我想问问：\r\n怎样才算彻底清除了arp记录？incomplete是否意味着清除没有成功？\r\n拔掉，又接上网线后网卡难道自动执行arp协议？\n\n[ 本帖最后由 aijoex 于 2009-6-16 22:39 编辑 ]

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-05-22 15:30 |只看该作者

你的机器是不是一直在和50.1通讯。这样你手工清除了。ARP协议又马上建立了。因此就出现了你上述的情况。\r\n其实这个时候你tcpdump抓包ARP报文已经可见了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

aijoex

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-05-22 15:44 |只看该作者

问题是我已经拔掉网线了，再清除的arp缓存。\r\n\r\n我想，我经过拔掉网线，清除arp缓存，接上网线。此时50.101和50.1只有物理连接。\r\n如果50.101想访问一个web站点，需要首先经过路由器50.1这个接口吧。此时50.101的arp缓存表里并没有关于50.1的MAC地址记录。他应该只有通过在子网192.168.50.0/24（虽然该子网只有一个活动节点）广播一个arp分组来获取50.1的MAC地址吧？我就是想观察到这个过程。\r\n\r\n1楼我碰见的情况我比较困惑，难道PC机的网卡自动侦测子网内其他节点？我的网卡是集成到主板的，05年的。不会出现这种情况吧？\r\n\r\n感谢您的回复。