Windows ARP Cache 내부 자산 식별하는 방법, ARP Spoofing 탐지까지

ARP Cache란 무엇인가?

ARP(Address Resolution Protocol)는 IP 주소를 MAC 주소로 변환하기 위한 프로토콜입니다.

같은 네트워크(L2)에서 통신할 때 반드시 필요합니다.

동작 흐름

[내 PC] → "192.168.0.10 누구야?" (ARP Request)
[상대] → "나야, MAC은 aa-bb-cc..." (ARP Reply)
→ 캐시에 저장

👉 이 결과가 바로 ARP Cache (ARP 테이블) 입니다.

핵심 특징

• 필요할 때만 생성 (On-demand)
• 일정 시간 후 자동 삭제 (휘발성)
• Layer2 기반 (같은 네트워크에서만 의미 있음)

Windows에서 ARP Cache 조회 방법

CMD 방식 (가장 기본)

arp -a

출력 예시

Interface: 192.168.0.5 --- 0x6
  Internet Address      Physical Address      Type
  192.168.0.1           00-11-22-33-44-55     dynamic
  192.168.0.10          aa-bb-cc-dd-ee-ff     dynamic

필드 설명

항목	의미
Internet Address	IP
Physical Address	MAC
Type	dynamic / static

특정 인터페이스 조회

arp -a -N 192.168.0.5

👉 NIC 여러 개일 때 사용

PowerShell 방식 (추천)

Get-NetNeighbor -AddressFamily IPv4

출력 예시

IPAddress       LinkLayerAddress State
----------      ---------------- -----
192.168.0.1     00-11-22-33-44-55 Reachable

상태(State) 의미

상태	의미
Reachable	정상
Stale	오래됨
Delay	재검증 대기
Incomplete	ARP 응답 없음

중요한 포인트

👉 “모든 IP가 보이지 않는다”

ARP Cache의 진실

👉 실제로 통신한 IP만 보입니다

보이는 경우

• 최근 ping / 접속
• 게이트웨이
• DNS 서버

안 보이는 경우

• 한 번도 통신 안 한 장비
• 꺼진 장비
• ARP 응답 차단된 장비

300x250

ARP Cache는 네트워크 전체 목록이 아니라 “통신 기록”입니다

ARP Cache 활용

네트워크 문제 분석

• 통신 안 되는 IP 확인
• MAC 충돌 탐지
• 잘못된 라우팅 분석

내부 자산 확인

• MAC 기반 장비 식별
• DHCP 로그와 연계 가능

비인가 장비 탐지

👉 모르는 MAC 등장 시 의심

ARP Cache 강제 생성 (네트워크 스캔)

Ping Sweep

1..254 | % { ping -n 1 -w 100 192.168.0.$_ | Out-Null }
arp -a

효과

• 전체 IP에 요청
• 응답한 장비만 ARP 등록

nmap 활용 (추천)

nmap -sn 192.168.0.0/24

장점

• ARP 기반 탐지
• ping 막혀도 탐지 가능

ARP Cache 관리

전체 삭제

arp -d *

또는

Clear-NetNeighbor -AddressFamily IPv4

정적 ARP 등록

arp -s 192.168.0.1 00-11-22-33-44-55

활용

• 게이트웨이 MAC 고정
• ARP Spoofing 방어

주의

• 네트워크 변경 시 장애 발생 가능
• 관리 어려움

보안 관점 핵심 정리

ARP Spoofing (MITM 공격)

공격 개념

공격자 → "게이트웨이 MAC = 나야"
피해자 → 트래픽 가로채기

탐지 포인트

✔ MAC 주소가 자주 변경됨

arp -a

✔ 동일 IP에 서로 다른 MAC 등장

✔ Gateway MAC 변조

실시간 감지 스크립트

$baseline = Get-NetNeighbor

while ($true) {
    $current = Get-NetNeighbor
    Compare-Object $baseline $current -Property IPAddress, LinkLayerAddress
    Start-Sleep 5
}

보안 운영 가이드

엔드포인트 기준

• ARP 변경 모니터링
• 게이트웨이 MAC 고정 검토
• 비인가 MAC 탐지

네트워크 장비 기준

• DHCP Snooping
• Dynamic ARP Inspection
• Port Security

SIEM / EDR 연계

👉 추천 구조

ARP 변화 감지 → 로그 생성 → Wazuh / Elastic → 알림

점검 체크리스트

✔ 게이트웨이 MAC 고정 여부
✔ ARP 테이블 이상 여부
✔ 동일 IP 중복 여부
✔ 비인가 MAC 존재 여부
✔ ARP 변화 로그 수집 여부

실무 운영 전략

Step 1: 기준(Baseline) 확보

Get-NetNeighbor > baseline.txt

Step 2: 주기적 비교

• 변경 감지 자동화
• 알림 시스템 연계

Step 3: 이상 탐지 시 대응

1. MAC 제조사 확인 (OUI)
2. 스위치 포트 추적
3. DHCP 로그 확인
4. MITM 여부 판단

핵심 요약

👉 ARP Cache는 단순한 네트워크 정보가 아니라 “신뢰 기반 통신 구조의 핵심 요소”입니다

반드시 기억할 것

• 전체 네트워크를 보여주지 않는다
• 공격자가 조작할 수 있다
• 보안 탐지 포인트로 활용 가능하다

추천 운영 방향

• PowerShell 기반 자동화
• SIEM 연계
• 네트워크 장비 보안 기능 활용