O tráfego reportado na captura é consistente com a fase prep...

Spoof é um ataque de identidade. Você se passa por outra pessoa com objetivo de obter dados ou interceptar sua comunicação.

No ARP Spoofing tenta-se associar o MAC address do atacante ao IP do atacado. Sempre que o gateway receber um frame para o IP do atacado, ele irá traduzir o IP para o MAC do atacante. Portanto, o atacante receberá as informações.

Na captura, temos o 10.0.0.36 enviando ARP broadcast para um faixa de IPs. Todos os servidores ativos responderão prontamente à pergunta dizendo qual é o seu MAC. De posse dos MACs de todos os servidores, o atacante terá uma bela  base de informação para ser usada futuramente.

Discordo da banca no sentido de que esta varredura inicial seja uma etapa de preparação para uma ataque de ARP-Spoofing. Na maioria dos casos o atacante irá se passar por um único host, sendo este um proxy, um gateway ou uma estação pela qual se tenha algum interesse especial. Isso é suficiente para capturar todo o tráfego de um segmento, bastando o IP do alvo. Sendo assim, um sweep inicial seria desnecessário.

Correto. O objetivo aqui é preencher uma tabela para o atacante com todos os endereços IP/MAC.
De posse dessa tabela, alterações maliciosas na tabela ARP do host alvo poderão ser efetuadas.

Ex.: O atacante (que possui o IP 10.0.0.36 e MAC 00:02:b3:af:36:96) irá querer se passar pelo ip 10.0.0.87 que ele descobriu ter o MAC bb:bb:bb:bb:bb:bb, por exemplo.
Para isso ele vai até a tabela ARP do ALVO e alterará a linha que relaciona 10.0.0.87/bb:bb:bb:bb:bb:bb pela linha 10.0.0.87/ 00:02:b3:af:36:96.

Assim, o alvo pensará que o ip 10.0.0.87 pertence ao atacante.

Importante: Note que apesar do nome ser MAC spoofing, o MAC que vai na tabela é o MAC REAL do atacante. O nome do ataque vem porque o ataque reside na TABELA arp.

Em frente!