Non riesco a capire in che modo un attacco MITM annusa i pacchetti e li modifica. Nel caso dello spoofing ARP, sebbene l'attaccante abbia falsificato l'indirizzo MAC di un host, come lo modifica perché lo strato IP scarterebbe semplicemente il pacchetto come gli IP dell'host e l'utente malintenzionato non corrispondono?
Un attacco MitM può avere più di uno scopo, può essere solo un progetto di raccolta di informazioni, oppure può essere un progetto di rappresentazione.
Ai fini della raccolta di informazioni, l'ascolto del traffico è abbastanza buono e, come Steffen menzionato nei commenti, l'impostazione di una scheda NIC in questa modalità otterrebbe il risultato desiderato. Come abilitare la modalità promiscua dipende dal tuo sistema operativo, in Windows può essere fatto con il comando netsh e in Linux si tratta del file /etc/rc.local (è meglio cercare in internet per il tuo caso specifico).
Per i progetti di impersonazione aumenta il livello di sofisticazione, spesso implica in qualche modo alterare la tabella CAM in un interruttore (spoofing ARP). Non parlerò dell'attuazione specifica di un attacco come questo, ma consideriamo questo scenario:
Se vuoi imparare come mitigare un simile attacco, e devi esercitarti o mettere qualche strumento o meccanismo da testare, ti consiglio di provare arpspoof , ovviamente non è l'unico strumento disponibile ma è abbastanza facile da usare.
Leggi altre domande sui tag ip mac-address man-in-the-middle arp-spoofing