El atacante, puede entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo).ARP es un protocolo de la capa 2 y 3 (ya que contiene la dirección MAC e IP).Como tales, no están diseñados para proporcionar ninguna validación de identificación en la transacción.Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red.Por lo tanto, en redes grandes es preferible usar otro método: la inspección o snooping de DHCP.
Una típica trama
Ethernet
. Una trama modificada podría tener una
dirección MAC
de origen falsa para engañar a los dispositivos que estén en la red.
