Dieses Beispiel ist nicht besonders „weit hergeholt“. Ob es der Praktikant oder der Mitarbeiter aus der Fertigung ist. Durch die leicht zu bedienenden Programme ist es dem Täter sehr leicht gemacht. Doch schauen wir einmal wie diese Programme funktionieren:

Die Kommunikation in einem Netzwerk besteht aus Datenpaketen die von einem Host zum anderen über Geräte wie z.B. HUBS oder Switches verschickt werden. Nehmen wir nun ein Paket, welches die Logininformationen (oder besser gesagt ein Teil dieser) für das Abrufen eines POP3 E-Mail Postfaches ins Internet sendet. Das zu benutzende Protokoll ist TCP (verbindungsorientiert), sowie IP. Die Pakete werden durch eine IP an den Empfänger adressiert, durchlaufen hier zunächst die TCP Schichten und kommen somit auch am ARP Protokoll an. Das ARP Protokoll löst IP Adressen in Hardware (MAC Adressen) auf, da der eigentliche Versand an die MAC Adresse, nicht an die IP Adresse erfolgt.
An dieser Stelle greifen die Programme ein. Sie senden gezielt ein gefälschtes ARP Paket und geben sich als der Zielrechner (in unserem Fall der Gateway, bzw. Internetverbindungsserver) aus und leiten somit alle kommenden Pakete für den Gateway zunächst an sich weiter und folgend erst an das Ziel. Dies geschieht natürlich vor dem eigentlichen Versand des Paketes. Da viele Protokolle ausschließlich unverschlüsselte Datenpakete übertragen, können nun die Pakete geöffnet werden und beliebige Information aus ihnen ausgelesen werden.