En un intercambio normal, la máquina que busca una dirección MAC preguntará a la red con una solicitud "Quién tiene 192.168.1.5" y la máquina que tiene esa dirección IP responderá con su dirección MAC "192.168.1.5 está en AA: AA: AA: AA: AA: AA "ambas máquinas almacenarán la dirección MAC en su caché ARP para su uso posterior
En un ataque de envenenamiento ARP, el atacante envía "192.168.1.5 está en BB: BB: BB: BB: BB: BB" al enrutador y "192.168.1.1 está en BB: BB: BB: BB: BB: BB: BB "a la víctima. Estos se envían sin una solicitud de "Quién tiene" y las víctimas los almacenarán en su caché ARP para su uso posterior.
Aquí hay un enlace a cómo funciona la falsificación de arp
enlace