Se guardi il traffico in tempo reale, puoi vedere che un attaccante che esegue un attacco MiTM esegue lo spoofing ARP perché gli indirizzi MAC saranno duplicati, ecc. E, beh, puoi vedere tutti gli indirizzi MAC e vedere chi è un router e controlla se gli indirizzi MAC del router corrispondono.
Ma cosa succede se sappiamo che un attacco è stato fatto ieri, per esempio? Come possiamo scoprire quale indirizzo MAC è stato lo spoofing e l'invio di certificati falsi (supponiamo che l'utente lo abbia accettato)? Supponiamo che un utente malintenzionato abbia rubato alcune credenziali di un conto bancario su un sito che utilizza HTTPS. È persino possibile?