El protocolo ARP permite encontrar la dirección hardware equivalente a una determinada dirección IP, actuando como traductor e intermediario. El mensaje ARP identifica el tipo de hardware, protocolo, tamaño de direcciones y operación. El envenenamiento ARP falsifica las tablas ARP para interceptar el tráfico entre un host y el router, permitiendo al atacante insertarse como intermediario.