El envenenamiento ARP (también conocido como ARP Spoofing) es un tipo de ciberataque llevado a cabo sobre una red de área local (LAN) que consiste en enviar paquetes ARP maliciosos a una gateway predeterminada en una LAN para cambiar los emparejamientos en su tabla de direcciones IP a MAC. El protocolo ARP traduce direcciones IP a direcciones MAC. Debido a que el protocolo ARP fue diseñado puramente para la eficiencia y no para la seguridad, los ataques de envenenamiento de ARP son extremadamente fáciles de llevar a cabo siempre que el atacante tenga el control de una máquina dentro de la LAN de destino o esté directamente conectado a ella.
El ataque en sí consiste en que un atacante envía un mensaje de respuesta ARP falso a la gateway de red predeterminada, informándole que su dirección MAC debe asociarse con la dirección IP de su objetivo (y viceversa, de modo que la dirección MAC de su objetivo sea ahora asociado con la dirección IP del atacante). Una vez que la gateway predeterminada ha recibido este mensaje y transmite sus cambios a todos los demás equipos de la red, todo el tráfico del objetivo a cualquier otro equipo de la red viaja a través de la computadora del atacante, lo que le permite inspeccionarlo o modificarlo antes de reenviarlo a su verdadero destino. Debido a que los ataques de envenenamiento de ARP ocurren en un nivel tan bajo, los usuarios a los que se dirige el envenenamiento de ARP rara vez se dan cuenta de que su tráfico está siendo inspeccionado o modificado. Además de los ataques de hombre en el medio, el envenenamiento de ARP se puede utilizar para causar un estado de negación de servicio en una LAN simplemente interceptando o descartando y no reenviando los paquetes del objetivo.