Nun ein Beispiel zur Erläuterung des Problems.

Der folgende Befehl veranlasst TCPDUMP, sämtlichen Datenverkehr mit Google abzuhören und die erfassten Daten in einer Datei namens goog.txt abzulegen.

Nun öffnet man Google und gibt eine Suchanfrage ein:

In der Datei goog.txt findet sich nun Folgendes:

(Ein intuitiver erschließbares Programm, das diesem Zweck dient, ist ETHEREAL.) Oben ein Beispiel für den geschwätzigen Postboten, der jedem die Briefe zeigt.

In einem Switched Network wird der Datenverkehr direkt an den Zielrechner übertragen. Da der Datenverkehr hier nicht über den PC mit dem Abhörprogramm läuft, muss dieser etwas unternehmen, damit die Zielrechner mit ihm kommunizieren. Ein Hacker muss also gewissermaßen den Postboten weismachen, dass alle Sendungen, die zwischen den Häusern A und B versandt werden, über ihn laufen sollen.

Es liegt in der Natur eines Netzwerkes, dass die miteinander verbundenen Geräte Adressinformationen anderer Geräte anfordern, um mit diesen kommunizieren zu können. Ist die Kommunikation eingerichtet, verbleibt auf jedem der Rechner ein ARP-Zwischenspeicher, der eine Liste mit den Adressen anderer Geräte enthält, mit denen er regelmäßig Kontakt aufnehmen muss. Diese Informationen werden bei Bedarf abgerufen. Ansonsten müsste jeder PC im Internet die Adressen aller anderen PCs gespeichert haben, ob er nun mit diesen kommunizieren muss oder nicht.

Angenommen, PC A kommuniziert mit PC B. Jeder dieser PCs hat eine IP-Adresse und eine MAC-Adresse.

Die Rechner haben gegenseitig Adressinformationen angefordert und die entsprechende Information in ihrem jeweiligen ARP-Zwischenspeicher aktualisiert.

Um sich zwischen die beiden Rechner einzuschleichen, muss der Hacker die echten Daten der beiden PCs herausfinden, was durch Versenden eines PING an jeden der Rechner erreicht werden kann. Zu diesem Zeitpunkt verfügt der Hacker über folgende Informationen:

Nun sendet er eine ARP-Antwort an jeden der Zielrechner - unabhängig davon, ob der Rechner tatsächlich eine ARP-Anfrage gestellt hat - was dazu führt, dass deren Zwischenspeicher mit den Daten aktualisiert wird, die der Spion an die Zielrechner geschickt hat.

Der Hacker hat die ARP-Zwischenspeicher von PC A und PC B so manipuliert, dass PC A glaubt, der Hacker sei PC B und PC B glaubt, dass der Hacker PC A sei.