Può usare il tuo ID WebGL (che non cambia mai, a meno che non si reinstalli MacOS) o qualche altra variabile. Prova a disabilitare le immagini, javascript (noscript, scriptsafe). Dai un'occhiata a
link . Disattiva flash e java anche tramite un componente aggiuntivo appropriato.
La risposta ovvia è che sta usando un cookie, ma presumo che tu abbia cancellato quelli. Prova a svuotare la connessione preliminare e a vedere quali cookie vengono aggiunti dopo l'accesso.
Non imparerai nulla di utile (per risolvere il tuo problema) eseguendo tcpdump o wireshark. Se lo esegui comunque, esegui un'acquisizione di 2-3 sequenze di accesso e crea filtri in un secondo momento. Non uso wirehark, quindi non posso aiutarli, ma un filtro pcap tcpdump può essere simile a questo (per catturare una sessione di captive portal HTTP):
%codice%,
dove en1 è la tua interfaccia wireless e 192.168.1.2 è l'IP del captive portal.