El "atacante" esta haciendo un barrido del segmento de red (escaneando las ips, p.e para un segemento de clase c de la xxx.xxx.xxx.1 a la xxx.xxx.xxx.254), ya sea haciendo un ping o intentando conectarse a cualquier socket de los destinos. En definitiva generando trafico con algun protocolo en la red.

Entonces la capa 2 (enlace de datos - mac - rp - ...) hace un broadcast de capa 2 ( FF:FF:FF:FF:FF:FF ) preguntando a todas las nics del dominio de broadcast quien tiene determinada ip. la nic que la tenga y no tenga ninguna regla de firewall que la impida contestar, contestará al origen de la peticion, diciendo donde esta esa ip:

xx:xx:xx:xx:00:02 | xx:xx:xx:xx:00:01 | ARP | xxx.xxx.xxx.00.12 is at xx:xx:xx:00:02

Es decir que la nic victima le dice a la nic atacante que el tiene la ip xxx.xxx.xxx.00.12

Salu2