Tutto quello che ho letto quando viene rilevato un uomo nell'attacco centrale è che la tabella della cache ARP avrà voci duplicate per l'indirizzo MAC dell'attaccante, ma non riesco a trovare il motivo per cui.
Il modo in cui penso sia (perché uno è falso e l'altra la normale risposta ARP) mi porta a pensare: supponendo che io sia l'attaccante, non sarebbe così facile come non inviare la vera risposta ARP, ma solo quello falso?