假設局域網(wǎng)中有A、B、C三臺計算機，A的IP地址是：192.168.1.100，MAC地址是：1A-2A-3A-4A-5A-6A；B的IP地址是：192.168.1.200，MAC地址是：1B-2B-3B-4B-5B-6B；C的IP地址是：192.168.1.250，MAC地址是：1C-2C-3C-4C-5C-6C.

現(xiàn)在A要和B通信，A首先會發(fā)出一個ARP廣播數(shù)據(jù)抱(即向192.168.1.0-192.168.1.255這個范圍內(nèi)的所有設備發(fā)送數(shù)據(jù)包)，獲取B的MAC地址。數(shù)據(jù)包中會包含源IP(A的IP)、源MAC(A的MAC)、和目標IP(B的IP)；B接收到A發(fā)出的ARP廣播后，發(fā)現(xiàn)目標IP地址就是與自己的IP地址相同，然后會給A回復一個ARP單播數(shù)據(jù)包，把自己的MAC地址信息添加在里面。

A收到B的恢復后，得知B的MAC地址，然后就可以直接向B傳輸數(shù)據(jù)了，同時電腦A會建立一個ARP映射表，把192.168.1.200與1B-2B-3B-4B-5B-6B物理地址對應起來。B在收到A的廣播包后，也會建立一張ARP映射表，把A的IP：192.168.1.100和MAC：1A-2A-3A-4A-5A-6A對應起來。之后如果A還需要和B進行通信，會先查自己的ARP表，獲取B的MAC地址。

假設計算機C是ARP攻擊源，當A和B通信時，A發(fā)出一個ARP廣播數(shù)據(jù)包，尋找IP地址是192.168.1.200的目標設備的MAC地址，C接收到A的數(shù)據(jù)包后，C會給恢復一個偽造的ARP數(shù)據(jù)包，告訴A IP地址是192.168.1.200的目標設備的MAC地址是1C-2C-3C-4C-5C-6C，或者偽造一個不存在的MAC地址，如1D-2D-3D-4D-5D-6D。A收到C偽造的ARP恢復數(shù)據(jù)包后，獲得一個假的MAC地址，然后A就開始往這個假的MAC地址發(fā)送數(shù)據(jù)，使得A無法真正的與B進行通信。

出現(xiàn)掉網(wǎng)的現(xiàn)象是局域網(wǎng)中的某一臺設備在進行ARP欺騙，而且還是欺騙的網(wǎng)關的MAC地址。如局域網(wǎng)的計算機A要上網(wǎng)，會先把數(shù)據(jù)包發(fā)送給網(wǎng)關，因此需要先知道網(wǎng)關的MAC地址。所以會先發(fā)送一個ARP廣播好詢問網(wǎng)關的MAC地址，中了ARP病毒的計算機會給A返回一個價格網(wǎng)關MAC地址，使得A的上網(wǎng)數(shù)據(jù)包根本無法傳輸給網(wǎng)關，自然就不能夠上網(wǎng)了，出現(xiàn)掉網(wǎng)的現(xiàn)象。