"Arp manipula o cache ARP do kernel de várias maneiras."
É muito natural ler um cache. Do link
No linux, há o comando arp :
arp -n
Address HWtype HWaddress Flags Mask Iface
192.168.1.100 ether 00:55:d1:c5:f8:1b C eth0
e
arp-scan -I eth0 -l
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.1.2 00:1b:fc:35:6a:9b ASUSTek COMPUTER INC.
192.168.1.54 c8:d3:a6:34:d2:1d (Unknown)
192.168.1.14 f0:25:b9:c2:6a:29 (Unknown)
Por que não consigo ver corretamente meus dispositivos?
Eu também fiz:
nmap -sn 192.168.1.0/24
com o comando arp vejo 1 dispositivo, com arp-scan vejo outros dispositivos.
O comando arp lê o cache, enquanto arp-scan faz uma nova varredura (sem ler nenhum cache?)
"Arp manipula o cache ARP do kernel de várias maneiras."
É muito natural ler um cache. Do link
O arp-scan é um utilitário completamente diferente que realmente verifica. O comando linux 'arp' lê apenas diretamente do cache ARP do kernel. Você pode falsificar uma varredura usando ping para preencher a tabela arp.
Ambos estão funcionando exatamente como deveriam.
Não tem certeza do que você quer dizer com "por que não consigo ver corretamente meus dispositivos?" essas saídas são como deveriam ser.