Non riesco a comprendere appieno come gli attacchi di spoofing ARP abbiano successo.
Supponendo che tre PC siano collegati a un singolo interruttore
PC-1 - Indirizzo IP 192.168.1.1, MAC: AA: AA: AA: AA: AA: AA
PC-2 - Indirizzo IP 192.168.1.2, MAC: BB: BB: BB: BB: BB: BB (ARP Spoofer)
PC-3 - Indirizzo IP 192.168.1.3, MAC: CC: CC: CC: CC: CC: CC
Quindi quando PC-1 esegue il ping 192.168.1.3, trasmetterà una richiesta ARP e PC-2 risponderà dicendo che sono 192.168.1.3 e il mio MAC è BB: BB: BB: BB: BB: BB
Dopo che PC-1 aggiunge questa risposta ARP alla sua tabella, il pacchetto ping da PC-1 avrà un indirizzo IP di destinazione di 192.168.1.3 e un MAC di destinazione di BB: BB: BB: BB: BB: BB.
Il NIC dello spoofer ARP (PC-2) riceverà questo frame perché è indirizzato al suo indirizzo MAC, ma non lo lascerebbe cadere mentre passava lo stack TCP / IP al livello IP come l'ARP lo spoofer ha un IP diverso (192.168.1.2) sull'IP di destinazione del pacchetto (192.168.1.3)?