Os APs não podem enviar quadros de dados (incluindo QoS-Data e todas as outras variantes do frame de dados) a clientes que não estão associados. Portanto, qualquer quadro de dados do FromDS para um endereço MAC unicast específico é um sinal de que esse ponto de acesso considera esse cliente como associado.
Por favor, note que em redes típicas, nem todos os clientes associados estão realmente "na rede" e são capazes de enviar / receber tráfego real. Isso ocorre porque os clientes se associam antes de fazer a autenticação WPA2, e a autenticação WPA2 é feita por meio de quadros de dados (especificamente quadros EAPOL-Key na camada Ethernet). Os clientes não podem enviar / receber nada além de quadros Chave EAPOL (novamente, são quadros de dados na camada 802.11) até que o handshake WPA2 seja concluído com êxito. Os clientes que falham na autenticação são imediatamente desassociados (e desestatizados na camada 802.11).
Então, você pode querer excluir os quadros de chave EAPOL se estiver realmente procurando clientes que sejam membros de pleno direito em uma rede.