ARP-Poisoning (auch ARP-Spoofing genannt) ist eine Art von Cyberangriff über ein lokales Netzwerk (LAN), bei dem böswillige ARP-Pakete an ein Standard-Gateway in einem LAN gesendet werden, um die Paarungen in der Tabelle der IP- und MAC-Adressen zu ändern. Das ARP-Protokoll übersetzt IP-Adressen in MAC-Adressen. Weil das ARP-Protokoll rein für Effizienz und nicht für die Sicherheit entwickelt wurde, sind ARP-Poisoning-Angriffe extrem einfach auszuführen, solange der Angreifer die Kontrolle über einen Rechner im Ziel-LAN hat oder direkt mit ihm verbunden ist.
Der Angriff selbst besteht darin, dass ein Angreifer eine falsche ARP-Antwortnachricht an das Standard-Netzwerk-Gateway sendet und ihm mitteilt, dass seine MAC-Adresse mit der IP-Adresse des Ziels verknüpft werden soll (und umgekehrt, so dass die MAC-Adresse des Ziels jetzt mit der IP-Adresse des Angreifers verknüpft ist). Sobald das Standard-Gateway diese Nachricht erhalten hat und seine Änderungen an alle anderen Geräte im Netzwerk weitergibt, wird der gesamte Datenverkehr des Ziels zu allen anderen Geräten im Netzwerk über den Computer des Angreifers geleitet, so dass der Angreifer diesen inspizieren oder verändern kann, bevor er ihn an sein echtes Ziel weiterleitet. Da ARP-Poisoning-Angriffe auf einer so niedrigen Ebene stattfinden, bemerken die von ARP-Poisoning betroffenen Benutzer selten, dass ihr Datenverkehr inspiziert oder verändert wird. Neben Man-in-the-Middle-Angriffen kann ARP-Poisoning dazu genutzt werden, einen Denial-of-Service-Zustand über ein LAN zu verursachen, indem die Pakete des Ziels einfach abgefangen oder verworfen und nicht weitergeleitet werden.