Cordial saludo estimados, sucede que he estado leyendo sobre el ARP Spoofing y entre mas leo mas dudas me entran, según entiendo que el switch(caso normal) pregunta en modo broadcast "quien tiene la IP xxx.xxx.xxx.xxx " y los host escuchan el mensaje pero solo responde el que tiene a IP que se necesita, mientras tanto los otros equipos también escuchan la respuesta y en caso de no tenerla registrada en su trabla ARP actualizarán su información.
Ahora la pregunta...a la hora de suplantarse una MAC como se logra engañar al resto de equipos cuando se supone que previamente debían tener registrada la MAC victima en tu tabla ARP...
Gracias de antemano.
La tabla ARP no es permanente, sus valores se actualizan. Echa un vistazo a esto: http://itsecurity.telelink.com/mac-address-spoofing/ (http://itsecurity.telelink.com/mac-address-spoofing/)
Suponete que una maquina quiere enviar un paquete mediante una aplicacion a una maquina especifica, cuando se desea saber que IP tiene 'x' maquina, es necesario preguntarlo, esto se realiza mediante ARP, lo hace enviando al broadcast como bien dijiste y cuando lo pregunta, las maquinas de la red leeran el mensaje pero unicamente la maquina que posea esa ip dira SOY YO y tengo la siguiente direccion.
Todas las maquinas de la red van a recibir ese paquete y actualizaran sus tablas respectivas. Lo que vos haces con el ARPspoof es basicamente inundar la red con paquetes de ARP diciendo que nuestra MAC esta asociada a 'X' ip de la victima que queres suplantar... y que nuestra MAC tambien esta asociada a la ip del router por ejemplo.
Gracias brother, sencilla explicación pero me bastó para entender :D un abrazo