本人使用ethereal抓包工具的的发现的问题：

th0ri4

搂住啊，不是那么回事。

ARP缓存也和DNS缓存一样，失败的查询也是一样保存的，不要奇怪，这是很正常的。

按你的提示应该是服务器那边有个进程出了点问题，跟ARP没多大关系的。

windyzhang

你的意思，我不是很明白啊，是说,服务器哪个服务有问题对吗？

th0ri4

是的，你的服务器里有一个进程异常，这个异常进程在一直做
ARP查询，但是你本地没有哪个地址，所以ARP缓存里面一直是
未完成incomplete标志。

现在你需要做的就是察看服务器上哪个进程在向那个不存在的
地址发起连接。

konds

th0ri4兄说的很有道理.谢谢th0ri4兄指点. 我将此贴加入经验版

windyzhang

我使用netstat -an|grep 192.168.2.99，可是没有相关的进程啊

konds

阿.你是否最近有配置服务器上的个别服务讷.有可能是配置文件有写错?

th0ri4

netstat -anp 查看所有打开的socket及其关联的进程，刚才忘了说明一点，除了本地的服务以外，用户打开进程也是可以造成这种问题的。

也就是说不一定会打开一个端口Listen，而是临时端口发起的连接。

比如我打开了一个这样的进程
--------------------------------------------------
telnet www.163.com 80
--------------------------------------------------
在另外一个终端里面运行netstat -an就会看到这样的项
-----------------------------------------------------------
tcp 0 0 219.216.*.*:1029 www.163.com:80
-----------------------------------------------------------
如果ping一个不存在的机器就会显示：
------------------------------------------------------------
raw 0 609 0.0.0.0:1   0.0.0.0
------+-----------------------------------------------------
------+-609就是这个数字是随着发送的查询数量在迅速增加的，但是
如果成功的发送了icmp数据包，这里一直会是0,我的是虚拟机被截断
了，抓过来看的太乱了，你看你服务器上是怎么回事。这是一个计数
器请查看manual，我也记不清楚它怎么工作的了。Send_Q项

问题出来了，对比两次Send_Q项，如果快速在增加，那么这个进程的
socket是有问题的，-p选项可以帮助你查看到关联的进程。

然后查看lsof -i tcp:1029就看到了打开的进程了，其实netstat 的-p选项就直接看到了进程ID了，呵呵。

windyzhang

th0ri4，konds
首先谢谢你们两位对我的帮助，虽然问题没有解决，但是我还是要感谢你们两啊，论坛有你们两位的高手会人气会更高的！

th0ri4

算不上啦，还差得很远啊，学习中

还有一种可能：有人故意发送非法的ARP数据包，呵呵

ipv6ok

我认为,一定是你系统某个进程/服务,要与2.99通信.才会出现这样的现像.
可以试试ps -aux
尝试把可疑的进程kill -9
然后再sniffer看看数据包还有没有在发送