Non riesco a capire in che modo un attacco MITM annusa i pacchetti e li modifica. Nel caso dello spoofing ARP, sebbene l'attaccante abbia falsificato l'indirizzo MAC di un host, come lo modifica? se ascolta il messaggio tra il mittente e la destinazione e dopo il messaggio consegnato a destinazione, ha inviato una risposta ARP gratuita? quando conosce il messaggio consegnato a destinazione?