AP не могут отправлять фреймы данных (включая данные QoS и все другие варианты фреймов данных) клиентам, которые не связаны. Таким образом, любой кадр данных FromDS для конкретного одноадресного MAC-адреса является признаком того, что AP считает, что этот клиент связан.
Обратите внимание, что в типичных сетях не все связанные клиенты действительно находятся «в сети» и могут отправлять / получать реальный трафик. Это связано с тем, что клиенты связываются перед выполнением аутентификации WPA2, а аутентификация WPA2 выполняется с помощью фреймов данных (в частности, фреймов EAPOL-Key на уровне Ethernet). Клиенты не могут отправлять / получать что-либо, кроме кадров EAPOL-Key (опять же, это кадры данных на уровне 802.11), пока рукопожатие WPA2 не завершится успешно. Клиенты, которые не проходят проверку подлинности, сразу же разъединяются (и деаутентифицируются на уровне 802.11).
Таким образом, вы можете исключить фреймы EAPOL-Key, если вы действительно ищете клиентов, которые являются полноправными членами сети.