ARP — это простой протокол, состоящий из сообщений четырех типов:
Во всех сетевых устройствах есть ARP-таблица. Это кратковременная память с IP- и MAC-адресами, которые устройство уже сопоставило. ARP-таблица позволяет устройству не отправлять ARP-запросы другим устройствам, с которыми уже установлена связь.
ARP является протоколом высокого уровня доверия. Когда подключенное к сети устройство отправляет ARP-запрос, оно верит, что полученный ARP-ответ действительно пришел от правильного устройства. ARP не содержит средств проверки подлинности отвечающего устройства. В некоторых операционных системах протокол ARP реализован таким образом, что устройство, которое не отправляло ARP-запрос, все равно может принимать ARP-ответы от других устройств.
Злоумышленник просто вводит подключенное к сети устройство в заблуждение. Он повреждает (модифицирует) данные устройства о местоположении других устройств. Эта простая процедура позволяет злоумышленнику создавать различные проблемы в работе сети. Возможность сопоставить любой IP-адрес с любым MAC-адресом позволяет злоумышленнику нарушить работу сети множеством способов («отказ в обслуживании», «MAC-наводнение» (MAC Flooding), «злоумышленник в середине» (Man in the Middle)).