ARP saldırısı gerçekleştirmek için öncelikle saldırganın hedef ile aynı ağ içerisinde olması gerekir. Sonrasında saldırgan, belirli yazılımları kullanarak (örneğin netdiscover) hedefin IP ve MAC adreslerini, gerekirse de modemin IP ve MAC bilgilerini öğrenir. Bazı gelişmiş yazılımlarda (örneğin Bettercap) sadece hedefin IP adresini bilmek yeterlidir; yazılım geri kalan eşleştirme işlemlerini kendisi halleder.
Ardından girilen komutlarla saldırgan, hedefe kendisini "modem" olarak tanıtır. Bunu, "Benim IP ve MAC adresim bu," diyerek yapar ve paylaştığı bilgiler modemin bilgileriyle taklit edilir. Aynı şekilde modeme de "Ben hedef cihazım," diyerek kendini tanıtır.
Hem modem hem de hedef cihaz bu sahte bilgileri doğrulayıp ARP tablolarına kaydettiğinde saldırı başarıya ulaşır. Bu noktadan sonra hedef cihazdaki bütün veri trafiği otomatik olarak saldırganın cihazı üzerinden geçer. Saldırgan bu verileri bir dosyaya kaydedebilir ya da terminal üzerinden anlık olarak görüntüleyebilir. Ancak bu işlemin kesintisiz sürmesi için saldırganın cihazında IP Forwarding (IP Yönlendirme) özelliğinin mutlaka açık olması gerekir; aksi takdirde hedef cihazın internet bağlantısı kesilir.
Konu düzenlenmiş herhalde ben ARP saldırısını açıkladım MITM'de aynı mantıkta çalışıyor diye biliyorum ama farklı zaafiyetler açıklar ile.