Contagem de pacotes por endereço mac na rede sem fio

Gostaria de saber quantos pacotes são transferidos para um determinado endereço MAC na minha rede sem fio, protegidos com WPA2. Eu não estou interessado em todo o conteúdo dos pacotes, eu só preciso de uma contagem.

Minha configuração é a seguinte: Eu tenho um laptop gerando tráfego e eu quero uma contagem de pacotes para aquele laptop, e eu tenho um segundo laptop (rodando Linux, CLI) monitorando a rede.

Eu tentei colocar a interface no laptop de monitoramento no modo monitor com airmon-ng: airmon-ng start wlan0 . Depois disso, posso capturar "alguns" pacotes com tshark -I -i mon0 -n -f "ether host 60:36:dd:15:be:d1" (com 60: 36: dd: 15: be: d1 o endereço MAC da placa de rede sem fio do meu laptop). No entanto, todos esses dados aparecem como "Dados de QoS". Em outro lugar eu li que pacotes criptografados (por exemplo, TCP / UDP) simplesmente deveriam aparecer como "Dados".

O estranho é que monitorar a rede com airodump-ng ( airodump-ng mon0 --bssid 25:c9:b1:2e:36:48 --channel 3 ) detecta o cliente AP que eu quero contar. Os contadores aumentam a cada vez que eu gero tráfego. Infelizmente, o tshark não detecta esses dados.

Minha pergunta: existe uma maneira que tshark possa exibir os pacotes criptografados (ou não criptografados - é minha rede, eu conheço a chave) com um certo destino de endereço MAC?