En primer lugar, ARP es un protocolo utilizado en una LAN para resolver la dirección MAC de la siguiente o última IP de destino. Por lo tanto, un ataque ARP MITM funciona falsificando una dirección MAC dentro de una LAN en respuesta a la solicitud ARP de una víctima. Si el MAC de la máquina deseada se suplantó con éxito con la máquina del atacante, la víctima enviará el tráfico a la dirección MAC falsificada en lugar de a la dirección MAC de destino. De ello se deduce que para que este ataque tenga éxito, debe ejecutarse dentro de la LAN de la víctima. Además, para que una parodia ARP sea efectiva, debe poder responder más rápido que la respuesta ARP de destino real.
Por otro lado, un ataque ICMP MITM se realiza falsificando un mensaje de redirección ICMP a cualquier enrutador que se encuentre en la ruta entre el cliente y el servidor. Un mensaje de redireccionamiento de ICMP se suele utilizar para notificar a los enrutadores una mejor ruta (consulte enlace ), sin embargo, se puede abusar para enrutar efectivamente el tráfico de la víctima a través de un enrutador controlado por un atacante. Si bien este ataque no requiere acceso a la LAN, la desventaja es que muchos enrutadores tienen rutas estáticas o no aceptan / procesan paquetes de redirección ICMP.