In uno scambio normale la macchina alla ricerca di un indirizzo MAC chiederà alla rete una richiesta "Who has 192.168.1.5" e la macchina che ha quell'indirizzo ip risponderà con il suo indirizzo MAC "192.168.1.5 è AA: AA: AA: AA: AA: AA "entrambe le macchine memorizzeranno l'indirizzo MAC nella loro cache ARP per utilizzarlo successivamente
In un attacco di avvelenamento ARP l'attaccante invia "192.168.1.5 è BB: BB: BB: BB: BB" al router e "192.168.1.1 è BB: BB: BB: BB: BB: BB "alla vittima. Questi vengono inviati senza una richiesta "Who Has" e le vittime li memorizzeranno nella loro cache ARP per utilizzarli successivamente.
Ecco un link su come funziona lo spoofing
link