هکر در قبال ARP Requestای که Gateway میفرستد یک ARP Reply به Gateway ارسال میکند، و به Gateway اعلام میکند که من ۱۹۲٫۱۶۸٫۰٫۱۲ هستم. درواقع یک سطر جعلی در جدول Gateway ایجاد کرده و خودش را جای ۱۹۲٫۱۶۸٫۰٫۱۲ جا میزند. در جدول Gateway یک سطر به آدرس ۱۹۲٫۱۶۸٫۰٫۱۲ وجود دارد که به MAC هکر ترجمهشده است.
در حمله Man in the Middle هکر با استفاده از ARP Poisoning به ترافیک بین کلاینت گوش میدهد. بهعنوانمثال فرض کنید که هکر میخواهد به کلیه ترافیکهای بین کامپیوتر با آدرس ۱۹۲٫۱۶۸٫۰٫۱۲ و روتر اینترنت ۱۹۲٫۱۶۸٫۰٫۱ گوش دهد.
سپس هکر یک ARP Request دیگر به کامپیوتر شما ارسال میکند و خودش را جای Gateway جا میزند. درواقع در جدول شما یک سطر ایجاد میکند که آدرس ۱۹۲٫۱۶۸٫۰٫۱ را به MAC هکر ترجمه میکند. بنابراین شما همه بستههای ارسالی به Gateway را اشتباهاً به هکر ارسال خواهید کرد.
سپس هکر یک نرمافزار IP Forwarding اجرا کرده و کلیه ترافیک رسیده از کامپیوتر شما را به Gateway هدایت میکند. حال کلیه ترافیکهایی که شما به اینترنت ارسال میکنیم ابتدا به هکر رسیده و سپس به Gateway هدایت میشوند و هکر میتواند کلیه دادهها و اطلاعات شما ازجمله رمز عبورهایتان را به دست آورد و این اتفاق بدون آگاهی شما رخ خواهد داد.