Saludos.
Hay varias formas que enumeraré a continuacion, pero en primer lugar, si en el essid te pone lenght -1 (hablando desde airodump-ng) lo tenémos difícol:
En el propio airodump-ng, cuando un cliente se conecta, suele decirte el nombre del essid.
Con kismet lo mismo, puedes dejarle monitorizando y hacer un ataque de desautentificación, que si se conecta el cliente, o manda muchos paquetes, terminarás viendo el essid
Por último, si no se da el caso del lenght -1, lo más útil suele ser usar el mdk3, en concreto el ataque p (ESSID bruteforce mode) Por el cual con fuerza bruta acabas averiguando el essid sin necesidad de clientes, básicamente se usaría así (como root):
mdk3 p -t mac:del:ap:a:atacar -f /ruta/al/diccionario (opcional) -b (modo fuerza bruta puro, usar en essid cortos)
ej:
mdk3 p -t 00:11:22:33:44:55 -f /root/dict.txt -b
Requiescat In Pain.