Einer der bekanntesten man in the middle Angriffe besteht darin, eine Schwachstelle des ARP (Address Resolution Protocol) Protokolls auszunützen, die es erlaubt, die IP Adresse eines Rechners herauszufinden, wenn die physikalische Adresse (MAC Adresse) der Netzwerkkarte bekannt ist.
Das Ziel des Angriffs besteht darin, sich zwischen zwei Rechner im Netzwerk zu schalten und jedem ein verfälschtes ARP Packet zu übermitteln, welches vorgibt, dass sich die ARP Adresse (MAC Adresse) des anderen Rechners geändert hat, die mitgelieferte ARP Adresse ist die des Angreifers.
Beide getroffene Rechner bringen somit ihre dynamische Tabelle auf den neuesten Stand, genannt ARP Cache . Man bezeichnet diesen Angriff daher mit « ARP cache poisoning » (manchmal « ARP spoofing » oder « ARP redirect »).
Auf diese Weise werden bei jedem Kommunikationsvorgang zwischen den beiden Rechnern die Datenpakete zunächst an den Angreifer übermittelt, der sie dann unbemerkt an den Zielrechner weiterleitet.
