No entiendo cómo un ataque MITM rastrea los paquetes y los modifica. En el caso de la falsificación ARP, aunque el atacante ha falsificado la dirección MAC de un host, ¿cómo la modifica, ya que la capa IP simplemente descartaría el paquete? ¿Las IP del host y el atacante no coinciden?
Un ataque MitM puede tener más de un propósito, puede ser solo un proyecto de recopilación de información, o puede ser un proyecto de suplantación de identidad.
Para fines de recopilación de información, solo escuchar el tráfico es lo suficientemente bueno, y como Steffen mencionó en los comentarios, configurar una NIC en este modo lograría el resultado deseado. Cómo habilitar el modo promiscuo depende de su sistema operativo, en Windows se puede hacer con el comando netsh y en Linux involucra el archivo /etc/rc.local (es mejor buscar en Internet para su caso específico).
Para los proyectos de suplantación, el nivel de sofisticación aumenta, a menudo implica alterar de alguna manera la tabla CAM en un conmutador (suplantación ARP). No hablaré sobre la implementación específica de un ataque como este, pero considere este escenario:
Si desea aprender cómo mitigar un ataque de este tipo y necesita practicar o poner alguna herramienta o mecanismo para probar, recomiendo probar arpspoof , por supuesto, no es la única herramienta disponible, sino una herramienta fácil de usar.
Lea otras preguntas en las etiquetas man-in-the-middle mac-address ip arp-spoofing