richtig. Der Rechner guckt erstmal ob sich die IP im eigenen Netzwerk befindet. Dann schickt er nen Broadcast los nach dem Motto "Identifiziert euch mal" Und derjenige mit der IP schickt dann als Antwort seine Mac Adresse die dann vom PC lokal gecached wird. Von da an läuft dann alles nur noch über die mac Adressen was sich der findige Hacker dann via arp spoofing auch zu nutze machen kann

Liegt die IP jetzt aber ausserhalb des eigenen Netzwerks wird das TCP Paket ganz normal ans Gateway geschickt und von da aus solange weiter bis es an einen Switch kommt der sagt "hey moment mal, die IP ist doch lokal". Dann holt der Switch sich die mac Adresse, bzw. weiss die schon, und es geht halt auf dem Wege weiter