Asumamos que en nuestro escenario hay una máquina Windows XP y nuestra máquina Kali.

Cuando nos conectamos a otra máquina en nuestra red local por lo general usamos su nombre de dominio o su dirección IP. Antes de que un paquete pueda ser enviado desde nuestro Kali al Windows XP, Kali tiene que relacionar la IP del Windows XP con la dirección (MAC) de la tarjeta de red, y así Kali sabe a cuál máquina de la red enviar el paquete. Para hacer todo este procedimiento utiliza el protocolo ARP para preguntar en toda la red "¿Qué onda weys? ¿Quien tiene la IP 192.168.1.10?", la máquina XP responde "Yo tengo esa IP y mi dirección MAC es 00:11:4e:34:44:55, don Kali." En nuestro escenario esa máquina XP será nuestra victima. Finalmente nuestro Kali almacenará la relación entre la IP 192.168.1.10 con la MAC 00:11:4e:34:44:55 en su ARP cache (Registro ARP).





Cuando el siguiente paquete vaya a ser enviado nuestra máquina Kali revisará primero su ARP Cache para ver si tiene alguna dirección MAC relacionada a la IP que se quiere conectar (192.168.20.10). Si encuentra una relación, usará esa dirección en vez de preguntar otra vez a toda la red quien tiene dicha IP y cual es su MAC. Los ARP Caches son renovados con frecuencia puesto que la topología de una red puede cambiar en cualquier momento. Por tanto, las máquinas van a estar enviando constantemente ARP Broadcast (Preguntas a la red) para saber quien es quien a medida que sus ARP Cache se van renovando