![Welcher 802.11-Frame sollte verwendet werden, um Clients eines Access Points zu identifizieren [scapy]](https://i.stack.imgur.com/l7vBV.png)
APs können keine Datenrahmen (einschließlich QoS-Daten und alle anderen Datenrahmenvarianten) an Clients senden, die nicht zugeordnet sind. Ein FromDS-Datenframe zu einer bestimmten Unicast-MAC-Adresse ist also ein Zeichen dafür, dass der AP diesen Client als verbunden betrachtet.
Bitte beachten Sie, dass in typischen Netzwerken nicht alle verbundenen Clients wirklich „im Netzwerk“ sind und echten Datenverkehr senden und empfangen können. Dies liegt daran, dass Clients vor der WPA2-Authentifizierung eine Verbindung herstellen, und die WPA2-Authentifizierung erfolgt über Datenrahmen (insbesondere EAPOL-Key-Frames auf Ethernet-Ebene). Clients können nur EAPOL-Key-Frames senden und empfangen (dies sind wiederum Daten-Frames auf der 802.11-Ebene), bis der WPA2-Handshake erfolgreich abgeschlossen wurde. Clients, bei denen die Authentifizierung fehlgeschlagen ist, werden sofort aufgehoben (und die 802.11-Layer-Deauthentifiziert).
Daher sollten Sie EAPOL-Key-Frames ausschließen, wenn Sie wirklich nach Kunden suchen, die vollwertige Mitglieder im Netzwerk sind.