cuando tengo una death masiva es cierto que es inequívoco, pero lo que quiero es poder saber a través de un sistema alarmas, no solo death, sino también cuando me están suplantado el wireless para engañar a los usuarios y las tramas de gestión del standarg 802.11 que me interese segun las definiciones que establesca en la regla como MAC etc, con el snort-wireless, lo que no he podido es lograr instalar el IDS para wireless, y quiero saber si alguien a puede sugerirme como detectar.
Yo puse un servidor con la interfaces wireless en modo promiscuo y con wireshark le definí unos patrones, logro ver cuando es masiva, o es una death unicast, y ver si hay intrusos comparando la mac solicitante de death con la definida en mi regla de usuarios y wireless para el caso de la suplatanción de AP, pero el wireshark no envía alarma claro está, que yo sepa al menos.