Todo lo que leo cuando se trata de detectar a un hombre en el ataque central es que la tabla de caché ARP tendrá entradas duplicadas para la dirección MAC del atacante, pero no puedo encontrar el motivo.
La forma en que lo creo (porque uno es el falso y la otra la respuesta normal de ARP) me lleva a pensar: suponiendo que soy el atacante, ¿no sería tan fácil como no enviar la respuesta real de ARP? ¿Pero solo la falsa?