Até agora eu sei que se o Wireshark não exibir quadros ARP antes de quadros ICMP, geralmente é porque existem solicitações ARP no cache.
Eu verifiquei o cache e excluí todos os dados ARP no cache:
sudo arp -d -a
Em seguida, inicio o Wireshark, adicione um filtro: arp or icmp para filtrar qualquer tráfego, exceto dados ARP ou ICMP. Depois disso, tento executar uma solicitação ping simples:
ping -c4 www.google.com
O que funciona, e o Wireshark exibe com sucesso os dados ICMP. Mas não há informações ARP antes dos dados ICMP, mesmo depois de limpar o cache ARP.
Quaisquer outras razões pelas quais isso está acontecendo?
O único endereço na sua tabela ARP relacionado à obtenção do google seria o endereço MAC do seu roteador (endereço do gateway). E algum pacote de entrada, digamos, de janelas fazendo manutenção ou DNS poderia ter voltado, após o ARP ficar limpo, e redefinir isso antes de você ligar o wireshark para ver as coisas.
Dados de outros pacotes além de uma resposta real do ARP podem preencher a tabela ARP.
(A menos que seu roteador esteja configurado no modo half-bridging (o que é incomum e improvável), a tabela ARP conterá apenas endereços de sistemas NA MESMA SUB-REDE em que seu computador estiver, ou seja, se seu endereço IP for 192.168. xx, os únicos endereços que devem aparecer na sua tabela ARP serão 192.168.xx e 127.xxx [127.xxx = loopback].
Para alcançar o Google, seu computador tem uma rota padrão para o roteador. Assim, para enviar pacotes para o Google, ele só precisa conhecer esse endereço, o que provavelmente já sabia no momento em que você gerou o tráfego ICMP, portanto, nenhuma pesquisa foi necessária.