Predpokladáme, že A chce komunikovať s C a B chce odpočúvať. Pri prvom pokuse o komunikáciu potrebuje stroj A vedieť fyzickú (MAC) adresu stroja C a preto vyšle do siete ARP broadcast s požiadavkou, že nech mu stroj C pošle svoju MAC adresu. Dôležité je, že ide o broadcast rámec a teda ho dostane aj stroj B. A to preto, lebo switch musí poslať broadcast paket do všetkých portov. Tento stroj chce odpočúvať a preto je na situáciu pripravený. Rýchlo vygeneruje ARP odpoveď, kde uvedie IP adresu stroja C, avšak svoju MAC adresu a paket pošle naspäť. Môže sa stať, že táto falošná odpoveď príde do stroja A ešte skôr, než skutočná odpoveď od stroja C. Je však už neskoro. Stroj A uložil do cache IP adresu stroja C, ale priradil jej MAC adresu stroja B. Stroj A teraz začína komunikovať so strojom C, avšak v skutočnosti všeto ide do stroja B. Stroj B môže teraz všetko zaznamenávať. Na udržanie komunikácie medzi A a C musí stroj B navyše forwardovať všetky rámce medzi A a C, čo však v linuxe nie je problém. Táto situácia je ešte nebezpečnejšia ako pasívne sniffovanie, pretože stroj B môže obsah paketov aj meniť. V tomto prípade sa jedná a tzv. man-in-the-middle útok.

Nástroje pre ARP spoofing sú napr. Cain , Ettercap , alebo Windows ARP spoofer.