假設局域網中有A、B、C三臺計算機，A的IP地址是：192.168.1.100，MAC地址是：1A-2A-3A-4A-5A-6A；B的IP地址是：192.168.1.200，MAC地址是：1B-2B-3B-4B-5B-6B；C的IP地址是：192.168.1.250，MAC地址是：1C-2C-3C-4C-5C-6C.

現在A要和B通信，A首先會發出一個ARP廣播數據抱(即向192.168.1.0-192.168.1.255這個范圍內的所有設備發送數據包)，獲取B的MAC地址。數據包中會包含源IP(A的IP)、源MAC(A的MAC)、和目標IP(B的IP)；B接收到A發出的ARP廣播后，發現目標IP地址就是與自己的IP地址相同，然后會給A回復一個ARP單播數據包，把自己的MAC地址信息添加在里面。

A收到B的恢復后，得知B的MAC地址，然后就可以直接向B傳輸數據了，同時電腦A會建立一個ARP映射表，把192.168.1.200與1B-2B-3B-4B-5B-6B物理地址對應起來。B在收到A的廣播包后，也會建立一張ARP映射表，把A的IP：192.168.1.100和MAC：1A-2A-3A-4A-5A-6A對應起來。之后如果A還需要和B進行通信，會先查自己的ARP表，獲取B的MAC地址。

假設計算機C是ARP攻擊源，當A和B通信時，A發出一個ARP廣播數據包，尋找IP地址是192.168.1.200的目標設備的MAC地址，C接收到A的數據包后，C會給恢復一個偽造的ARP數據包，告訴A IP地址是192.168.1.200的目標設備的MAC地址是1C-2C-3C-4C-5C-6C，或者偽造一個不存在的MAC地址，如1D-2D-3D-4D-5D-6D。A收到C偽造的ARP恢復數據包后，獲得一個假的MAC地址，然后A就開始往這個假的MAC地址發送數據，使得A無法真正的與B進行通信。

出現掉網的現象是局域網中的某一臺設備在進行ARP欺騙，而且還是欺騙的網關的MAC地址。如局域網的計算機A要上網，會先把數據包發送給網關，因此需要先知道網關的MAC地址。所以會先發送一個ARP廣播好詢問網關的MAC地址，中了ARP病毒的計算機會給A返回一個價格網關MAC地址，使得A的上網數據包根本無法傳輸給網關，自然就不能夠上網了，出現掉網的現象。