In Kali puoi:
airmon-ng start wlan0
ifconfig mon0 down
macchanger -r mon0 (-r changes mac id to a random number)
ifconfig mon0 up
Questo attacco ad esempio: aireplay-ng -0 2 -a [ap mac #] -c [client mac #] mon0
Durante l'uso dello snort rileva l'attacco ma con il Mac falciato.
In wireshark focalizzato su mon0 puoi vedere l'origine e vederne un pacchetto --deauth sul client mac, ma come può rilevare un Mac contraffatto e vedere quello reale?