Nguyên tắc cơ bản đằng sau ARP spoofing là khai thác sự thiếu chứng thực trong giao thức ARP bằng cách gửi thông tin ARP giả mạo vào mạng LAN. Các cuộc tấn công giả mạo ARP có thể chạy từ máy chủ bị xâm nhập trên mạng LAN hoặc từ máy của kẻ tấn công được kết nối trực tiếp với mạng LAN bị nhắm tới.

Nói chung, mục tiêu của cuộc tấn công là kết hợp địa chỉ MAC host của kẻ tấn công với địa chỉ IP của máy đích, do đó bất kỳ lưu lượng truy cập nào dành cho máy đích sẽ được gửi đến máy của kẻ tấn công. Kẻ tấn công có thể chọn để kiểm tra các gói tin (theo dõi), trong khi chuyển tiếp lưu lượng truy cập tới đích thực sự để tránh phát hiện, sửa đổi dữ liệu trước khi chuyển tiếp nó (tấn công xen giữa) hoặc khởi chạy tấn công từ chối dịch vụ bằng cách gây ra một số hoặc tất cả các gói tin trên mạng sẽ bị bỏ đi.