스위치는 모든 트래픽을 MAC 주소를 기반으로 해서 전송하게 된다. 공격자는 LAN상의 모든 호스트 IP-MAC 주소를 매핑을 ARP Request 브로드캐스팅을 통해 정확하게 알아 낼 수 있어 공격자에게 악용될 수 있다.

그림1번은  호스트-A와 호스트-B의 정상적인 스위치 상에서의 트래픽이 전송되는 모습이다.

[1. 정상적인 통신]

[2. ARP Spoofing 공격]

ARP프로토콜은 인증을 요구하는 프로토콜이 아니기 때문에 간단한 ARP Reply 패킷을 각 호스트에 보내어 쉽게 ARP Cache를 업데이트

를 시킬 수 있다.   그림2번 처럼  스니퍼는 각 호스트들에게 위조한 MAC 주소(상대방의 MAC 주소=스니퍼 MAC 주소)를 보내 각 호스트의 ARP Cache가 사라지기 전에 변조된 ARP Reply를 지속적으로 보내므로 각 호스트들의 ARP Cache의 변조된 MAC 주소의 정보는 계속해서 유지된다. 이때 스니퍼는 두 방향으로  정확히 재전송 해 줄 수 있는 기능이 있어야만 호스트-A와 B는 통신할 수 있다.

공격에 성공하면 두 호스트는 서로의 MAC 주소를 스니퍼의 MAC 주소로 인식하고 있기 때문에 모든 트래픽을 스니퍼에게 전달하게 된다. 스니퍼는 이 두 호스트에게 재전송 할 수 있는 기능이 있으며 또한 모든 패킷들을 캡쳐할 수 있게 된다.[그림3번]

[3.ARP Spoofing 후 스니핑]