ARP 테이블 분석 실전: IP와 MAC 주소 매칭 오류를 해결하는 6가지 방법

ARP 테이블 분석:** IP와 MAC 주소 매칭 오류 해결 방법

IP와 MAC 주소 매칭 오류를 해결하는 6가지 방법

"ARP 테이블"에서 IP와 MAC 주소 매핑이 잘못되면 통신이 엉뚱한 장비로 가거나 아예 안 된다. ARP(Address Resolution Protocol)는 IP 주소를 MAC 주소로 변환하는 프로토콜로, 이 매핑이 틀리면 같은 네트워크 안에서도 통신이 실패한다.

📌목차

• ARP가 뭔지부터 제대로 이해하기
• ARP 테이블 확인 방법
• 자주 발생하는 ARP 오류 유형
• 방법 1: ARP 캐시 초기화
• 방법 2: 정적 ARP 항목 추가
• 방법 3: ARP 스푸핑 탐지 및 차단
• 방법 4: Gratuitous ARP 활용
• 방법 5: DAI(Dynamic ARP Inspection) 설정
• 방법 6: IP-MAC 바인딩 정책

🧩 ARP가 뭔지부터 제대로 이해하기

PC가 192.168.1.200과 통신하고 싶다. 하지만 이더넷 프레임을 보내려면 IP가 아니라 MAC 주소가 필요하다. 이때 ARP가 동작한다. "192.168.1.200을 쓰는 사람, MAC 주소가 뭐야?"라는 브로드캐스트 요청(ARP Request)을 보내고, 해당 장비가 "나야, AA:BB:CC:DD:EE:FF"라고 응답(ARP Reply)한다.

이 결과를 PC는 "ARP 테이블"(ARP Cache)에 저장해둔다. 다음 번에 같은 IP로 통신할 때 다시 물어보지 않아도 된다. 이 캐시는 일정 시간 후 만료된다(Windows 기본 2분, Linux 60초 등). 스위치도 자체 ARP 테이블을 유지한다.

💻 ARP 테이블 확인 방법

Windows: arp -a 명령어로 현재 ARP 캐시 전체 확인. IP 주소와 해당 MAC 주소, 타입(동적/정적) 표시. Linux: arp -n 또는 ip neigh show 명령어. Cisco 스위치/라우터: show arp 또는 show ip arp. 각 IP, MAC, 인터페이스, 타입 표시. MAC 주소 테이블(스위치): show mac address-table. 어느 포트에 어떤 MAC이 연결됐는지 확인.

"ARP 테이블"을 분석하면 Duplicate IP(IP 충돌), ARP 스푸핑, 잘못된 게이트웨이 매핑 등의 문제를 빠르게 발견할 수 있다.

⚠️ 자주 발생하는 ARP 오류 유형

IP 충돌(Duplicate IP): 같은 IP를 두 장비가 쓰면 ARP 테이블이 계속 업데이트되며 통신이 간헐적으로 끊긴다. ARP 테이블에서 같은 IP에 대한 MAC이 자꾸 바뀐다면 이 경우다.

ARP 캐시 오염: 장비를 교체하거나 NIC를 바꿨는데 예전 MAC 주소가 캐시에 남아있어 통신이 안 되는 경우. 새 장비의 MAC으로 업데이트되기 전까지 패킷이 예전 장비로 간다.

ARP 스푸핑(ARP Spoofing/Poisoning): 악의적인 장비가 가짜 ARP Reply를 보내 다른 장비의 "ARP 테이블"을 오염시킨다. 트래픽을 가로채거나(중간자 공격, MITM) 서비스 거부(DoS)를 유발한다. 보안 사고의 주요 원인 중 하나다.

Proxy ARP 문제: 라우터가 대신 ARP에 응답하는 기능인데, 잘못 활성화되면 통신이 예상치 않은 경로로 흐른다.

🔄 방법 1: ARP 캐시 초기화

가장 간단한 해결책이다. 오염된 "ARP 테이블" 캐시를 지우고 새로 학습하게 한다. Windows: arp -d * (모든 항목 삭제) 또는 arp -d [특정IP] Linux: ip neigh flush all 또는 ip neigh del [IP] dev [인터페이스] Cisco: clear arp-cache

IP 충돌이나 MAC 변경 후 통신 문제가 있을 때 먼저 해볼 수 있는 조치다. 단, 근본 원인을 해결하지 않으면 다시 오염된다.

📌 방법 2: 정적 ARP 항목 추가

중요한 서버나 게이트웨이의 IP-MAC 매핑을 정적으로 고정하면 "ARP 테이블" 오염을 방지할 수 있다. Windows: arp -s [IP] [MAC] Linux: arp -s [IP] [MAC] 또는 ip neigh add [IP] lladdr [MAC] dev [인터페이스] nud permanent Cisco: arp [IP] [MAC] arpa

게이트웨이 IP-MAC을 정적으로 고정하면 ARP 스푸핑으로 게이트웨이를 사칭하는 공격을 클라이언트 측에서 막을 수 있다. 단, 관리 부담이 증가하므로 중요 서버나 게이트웨이 한정으로 적용하는 게 현실적이다.

🛡️ 방법 3: ARP 스푸핑 탐지 및 차단

ARP 스푸핑을 탐지하는 도구로는 ARPwatch(Linux), XArp(Windows/Linux), Wireshark의 ARP 필터가 있다. ARPwatch는 "ARP 테이블" 변경을 실시간 모니터링하고 MAC 주소가 바뀌면 경보를 발송한다.

탐지 신호: 같은 IP에 대한 ARP Reply가 짧은 시간에 여러 번 오거나, MAC 주소가 자주 바뀌거나, 게이트웨이 MAC이 예상과 다르다면 스푸핑을 의심해야 한다.

📢 방법 4: Gratuitous ARP 활용

Gratuitous ARP는 장비가 자신의 IP-MAC 정보를 요청 없이 브로드캐스트로 알리는 특수한 ARP다. 네트워크 내 모든 장비의 "ARP 테이블"을 강제로 업데이트한다. 장비 교체나 NIC 변경 후 이전 MAC 캐시 문제를 빠르게 해결할 때 유용하다. HSRP/VRRP에서 Failover 시 Gratuitous ARP를 보내 모든 장비가 새 MAC으로 갱신하도록 한다.

🔒 방법 5: DAI(Dynamic ARP Inspection) 설정

DAI는 Cisco 스위치에서 ARP 스푸핑을 하드웨어 레벨에서 차단하는 기능이다. DHCP Snooping 바인딩 테이블을 참조해 ARP 패킷의 IP-MAC 매핑이 정상인지 검증한다. 유효하지 않은 ARP는 차단된다.

설정: ip dhcp snooping 활성화 → ip arp inspection vlan [VLAN ID] 설정 → 신뢰할 수 있는 포트(업링크, 서버 포트)는 ip arp inspection trust 설정. DAI는 "ARP 테이블" 오염을 근본적으로 차단하는 가장 강력한 방법이다.

🔗 방법 6: IP-MAC 바인딩 정책

DHCP 서버에서 특정 MAC 주소에 고정 IP를 부여하는 DHCP Reservation 설정이다. IP 충돌 자체를 예방한다. 여기에 포트 보안(Port Security)이나 802.1X 인증까지 추가하면 허가되지 않은 장비가 네트워크에 붙는 것 자체를 막을 수 있다.

---

출처 및 참고자료

• IETF RFC 826 - An Ethernet Address Resolution Protocol
• Cisco - Configuring Dynamic ARP Inspection: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst/
• ARPwatch tool documentation: https://ee.lbl.gov/
• Wireshark - ARP Analysis Guide