ARP Cache Poisoning (ou ARP Spoofing) é uma técnica relativamente antiga, simples e eficaz de ataque. Consiste em passar um mac-address (endereço mac) falso para o sistema alvo de forma que este redirecione o tráfego para outro destino que não o legítimo.

Por exemplo, imagine que o PC(A) precisa transferir um arquivo confidencial para o PC(B). Dentro do fluxo normal do funcionamento do TCP/IP, o PC(A) irá traduzir o nome do PC(B) para o IP e, em seguida, via ARP Broadcasts (perguntas) e ARP Replies (respostas), traduzir o IP recebido para o mac-address da interface de rede do PC(B). De posse desta informação, o arquivo é enviado de forma transparente. Durante este processo de tradução, o cliente verifica primeiro o cache local. Se uma entrada já existir, o broadcast não é feito e o valor da tabela de cache é utilizado.

Teoricamente, os mac-address são singulares, logo, a probabilidade de existir duas placas de rede com a mesma sequência hexadecimal identificadora é nula, ou quase nula. A implementação do protocolo ARP segue esta premissa e, por sua vez, não implementa nenhum mecanismo de autenticação para validar o cliente - ou seja, quem responder primeiro é quem será o premiado. Como foi dito anteriormente, teoricamente, não existe mac-address repetido, logo, para que se preocupar? Era assim que se pensava em 1973, quando a norma Ethernet foi criada.

A implementação simplista do protocolo é o seu calcanhar de Aquiles. Uma vez que não há autenticação nem controle de sessão entre as partes, qualquer nó pode maliciosamente anunciar que é dono de determinado mac-address.