In primo luogo, ARP è un protocollo utilizzato in una LAN per risolvere l'indirizzo MAC dell'IP di destinazione successivo o finale. Pertanto un attacco ARP MITM funziona spoofing un indirizzo MAC all'interno di una LAN in risposta alla richiesta ARP di una vittima. Se il MAC della macchina desiderata viene falsificato con successo con la macchina dell'aggressore, la vittima invierà il traffico all'indirizzo MAC falsificato invece dell'indirizzo MAC di destinazione. Ne consegue che affinché questo attacco abbia successo, deve essere eseguito all'interno della LAN della vittima. Inoltre, affinché una parodia ARP sia efficace, devi essere in grado di rispondere più rapidamente della risposta ARP di destinazione effettiva.
Un attacco ICMP MITM d'altra parte viene compiuto spoofing di un messaggio di reindirizzamento ICMP su qualsiasi router che si trova nel percorso tra il client e il server della vittima. Un messaggio di reindirizzamento ICMP viene in genere utilizzato per notificare ai router un percorso migliore (vedere collegamento ), tuttavia può essere sfruttato per instradare efficacemente il traffico della vittima attraverso un router controllato da un attaccante. Sebbene questo attacco non richieda l'accesso LAN, lo svantaggio è che molti router hanno route statiche o non accettano / processano i pacchetti di reindirizzamento ICMP.