ARP란?

1. ARP란?

ARP는 네트워크에서 IP 주소를 기반으로 해당 장치의 MAC 주소를 찾는 프로토콜입니다. 컴퓨터나 네트워크 장비가 데이터를 전송할 때, IP 주소만으로는 직접 통신할 수 없기 때문에 MAC 주소를 알아내는 과정이 필요합니다. ARP는 이 과정을 자동으로 수행하여 네트워크 통신이 원활하게 이루어지도록 도와줍니다.

 

2. ARP의 동작 방식

ARP는 네트워크에서 패킷을 전달할 때 송신 측 장치가 수신 측의 MAC 주소를 알지 못할 경우, 해당 정보를 요청하고 응답받는 방식으로 동작합니다.

1. 송신 장치가 목적지 IP 주소를 확인합니다.
2. ARP 요청(ARP Request) 메시지를 브로드캐스트(네트워크의 모든 장치)로 전송합니다.
3. 목적지 장치가 자신의 MAC 주소를 포함한 ARP 응답(ARP Reply) 메시지를 보냅니다.
4. 송신 장치는 응답을 받고 해당 정보를 ARP 캐시에 저장하여 이후 통신에서 재사용합니다.

 

3. ARP 요청과 응답 메시지 구조

ARP 메시지는 기본적으로 요청(Request)과 응답(Reply)으로 나뉘며, 패킷 내부 구조는 다음과 같습니다.

필드	설명
하드웨어 타입	네트워크의 하드웨어 유형 (Ethernet의 경우 1)
프로토콜 타입	프로토콜 유형 (IPv4의 경우 0x0800)
하드웨어 주소 길이	MAC 주소 길이 (Ethernet의 경우 6)
프로토콜 주소 길이	IP 주소 길이 (IPv4의 경우 4)
운영 코드	요청(1) 또는 응답(2)
송신 MAC 주소	요청을 보낸 장치의 MAC 주소
송신 IP 주소	요청을 보낸 장치의 IP 주소
대상 MAC 주소	응답 시 상대방의 MAC 주소
대상 IP 주소	응답 시 상대방의 IP 주소

 

4. ARP의 종류

ARP는 네트워크 환경과 목적에 따라 여러 가지 방식으로 동작할 수 있습니다.

 

1. 일반 ARP (Standard ARP)

• IP 주소를 MAC 주소로 변환하는 기본적인 ARP 프로세스입니다.

2. 그라티어스 ARP (Gratuitous ARP)

• 특정 장치가 네트워크에 새로 연결될 때, 자신의 IP와 MAC 주소를 알리기 위해 사용하는 ARP입니다.
• 중복된 IP 사용을 방지하거나 네트워크 장비의 MAC 주소 변경을 알리는 역할을 합니다.

3. 리버스 ARP (Reverse ARP, RARP)

• MAC 주소를 이용해 IP 주소를 찾는 프로토콜입니다.
• 주로 초기 설정이 필요한 장치(예: 디스크 없는 워크스테이션)가 자신의 IP 주소를 찾을 때 사용됩니다.

4. 프록시 ARP (Proxy ARP)

• 라우터가 다른 네트워크에 속한 장치를 대신하여 ARP 응답을 보내는 방식입니다.
• 주로 서브넷 간 통신을 위해 사용됩니다.

 

5. ARP 캐시와 캐시 테이블 관리

ARP는 성능을 향상시키기 위해 캐시(Cache) 기능을 사용합니다. 캐시는 최근에 조회한 IP-MAC 주소 매핑 정보를 저장하여 동일한 주소를 반복 조회할 필요가 없도록 합니다.

 

1. 캐시 저장 방식

• ARP 응답을 받은 장치는 해당 정보를 일정 시간 동안 캐시에 저장합니다.
• 일정 시간이 지나면 정보가 만료되며, 다시 요청이 필요할 수 있습니다.

2. ARP 캐시 확인 및 관리 방법

• Windows: arp -a 명령어를 사용하여 캐시 테이블을 확인할 수 있습니다.
• Linux: ip neigh show 또는 arp -n 명령어로 확인할 수 있습니다.
• 불필요한 항목을 삭제하거나 수동으로 추가할 수도 있습니다.

 

6. ARP 관련 보안 문제

ARP는 신뢰 기반 프로토콜이므로, 악의적인 사용자가 이를 조작하면 보안 위협이 발생할 수 있습니다.

 

1. ARP 스푸핑 (ARP Spoofing)

• 공격자가 가짜 ARP 응답을 보내 다른 장치가 자신의 MAC 주소를 사용하도록 유도하는 공격 방식입니다.
• 공격자는 네트워크 트래픽을 가로채거나 조작할 수 있습니다.

2. MITM (Man-in-the-Middle) 공격

• ARP 스푸핑을 이용하여 네트워크에서 송수신되는 데이터를 가로채는 공격입니다.
• 공격자는 로그인 정보, 비밀번호 등을 탈취할 수 있습니다.

3. DoS (Denial of Service) 공격

• ARP 테이블을 과부하 상태로 만들어 정상적인 통신이 불가능하도록 하는 공격입니다.

 

7. ARP 보안 강화 방법

ARP 관련 보안 위협을 방지하기 위해 다음과 같은 대책을 사용할 수 있습니다.

 

1. 정적 ARP 테이블 사용

• 중요한 장치에 대해 정적인 IP-MAC 매핑을 설정하면 ARP 스푸핑 공격을 예방할 수 있습니다.
• Windows: arp -s <IP 주소> <MAC 주소> 명령어로 설정할 수 있습니다.

2. ARP 감시 및 검사 (Dynamic ARP Inspection, DAI)

• 스위치에서 의심스러운 ARP 트래픽을 차단하는 보안 기능입니다.
• 주로 기업 네트워크에서 네트워크 장비를 보호하기 위해 사용됩니다.

3. VPN 또는 보안 프로토콜 사용

• 암호화된 통신을 사용하면 ARP 공격에 대한 방어력을 높일 수 있습니다.

 

8. ARP와 다른 네트워크 프로토콜 비교

프로토콜	기능	주요 역할
ARP	IP 주소를 MAC 주소로 변환	이더넷 기반 네트워크에서 필수
RARP	MAC 주소를 IP 주소로 변환	초기 설정이 필요한 장치에서 사용
ICMP	네트워크 상태 및 오류 감지	Ping, Traceroute와 같은 도구에서 사용
DHCP	동적 IP 주소 할당	네트워크 자동 설정 지원

 

  정리

1. ARP는 IP 주소를 MAC 주소로 변환하는 역할을 하며, 네트워크에서 필수적으로 사용된다.
2. ARP 스푸핑과 같은 보안 위협이 존재하며, 이를 방지하기 위해 정적 ARP 설정 및 보안 기능을 활용할 수 있다.
3. ARP 캐시를 활용하여 성능을 향상시키지만, 관리가 필요하며, 불필요한 캐시 항목을 정리하는 것이 중요하다.