我有三个想法。它们都有各自的复杂性，你可以根据需要进行混合搭配。第一个可能是最简单的，但最不可靠（就其本身而言）。

1. 被动 MAC 检测

标准方法是跟踪从路由器请求 DHCP 地址的 MAC 地址。大多数路由器都提供“附加设备”样式的屏幕，可告诉您谁正在连接。

这不是自动的，但您可以（相当容易地）编写一些 Bash/Python 脚本来拉下路由器页面，解析出 MAC 地址并根据已知/允许的 MAC 地址列表进行检查。

这里的问题是没有任何东西是即时的。您依靠路由器来更新其页面，并且您必须频繁轮询它。有些路由器不喜欢这样。我有一个蹩脚的 Edimax 路由器，如果您在一分钟内加载超过 10 个页面，它就会崩溃（可悲！）所以这可能行不通。

MAC 地址也极易被伪造。macchanger例如，可以让您通过一个命令伪造您的 MAC 地址。我认为网络管理器也会允许您这样做。如果有人不想被发现，他们会监视网络流量并伪造其中一个有效（已知）设备。

2. 主动嗅探

这就是我们要开始行动的地方了。你需要在一个可以拦截往返于路由器的流量的地方（最好是离路由器很近的地方）放置一个备用的无线设备。

简而言之，你连接上网络airodump-ng，然后观察连接到你网络的人。应该可以编写此输出脚本，这样当新设备出现并开始使用你的网络时，你可以立即执行某物。

你的想法是在启动时运行它（以 root 身份）：

airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0

将 BSSID 替换为您的接入点的 BSSID。

这将写入一个可以定期解析的自动递增文件。上面的版本写入一个逗号分隔值文件，这是相当基本的，但如果您对 XML 感到满意（Python 可以使其变得非常简单），您可能希望查看netxmlairodump 的输出格式。

不管怎样，这都会定期向您提供有关哪些设备正在使用网络（以及它们发送了多少流量）的信息。它仍然像使用路由器的 ARP 表一样容易出错，但它是实时的。

当您处于混杂模式时，如果您的脚本确实拾取了它认为不应该在网络上的客户端，您可以使用它tcpdump来拖曳数据包并记录感兴趣的交换（HTTP 请求等）。这需要更多的编程，但可以做到。

3. 指纹识别nmap

另一种方法是使用 扫描客户端网络nmap。通常，您可能会认为这不会对您有太大帮助，如果有人阻止 ping，它可能不会显示出来。

我建议您将此方法与其他两种方法结合使用。1将为您提供 IP 地址，以便您可以直接使用 nmap。2不会为您提供 IP，但它会让您知道nmap在那个确切时刻应该找到多少个客户端。确保您的所有设备都可以 ping 通。

运行时nmap（例如sudo nmap -O 192.168.1.1/24），它会尝试查找主机，然后对其进行端口扫描以确定它们是什么。您的检查清单应包括您的每台设备应如何响应nmap。

如果您想更进一步，您可以在每台计算机上运行一个简单的服务器。只是一个接受连接然后断开连接的东西。简而言之：要nmap寻找的东西。如果它发现它打开了，那它很可能是您的计算机。

4. 更好地保护你的网络

如果你担心的话，你应该先这样做。使用 WPA2/AES。切勿使用 WEP（大约五分钟内就会破解）。

如果你是仍然担心有人可能会找到密钥（WPA2 需要很多数据量和破解计算时间），转向 RADIUS 模型。这是一个为每个用户设置一次性密钥的身份验证框架。不过设置起来很麻烦。

但是该做什么呢？

如果我对某些事情不满意，我可能会手动查看 airodump。如果我还是不满意，我会开始对我所看到的东西进行指纹识别。不过编写脚本有点困难（但绝非不可能）。

最简单的脚本是使用指纹进行路由器抓取nmap。简短又简单。

我的建议是Oli的1。

如果您的“攻击者”无需欺骗其 MAC 地址即可获得访问权限，他就会认为您无法监控您的 MAC 地址。

如有必要，使用您自己的 dhcpd 和事件来触发电子邮件。

我将不得不做一些研究，但如果是我的话，我会在连接到路由器的 Linux 机器上运行我自己的 dhcpd（或使用 openwrt），然后让它在 macaddress 请求不在白名单上的地址时给我发送电子邮件。

编辑：http://linux.die.net/man/5/dhcpd.conf拥有完成此任务所需的所有资源。只需创建一个事件来执行脚本，该脚本将检查白名单，如果 mac 地址不在白名单中，则让它向您发送电子邮件。另请参阅 http://ubuntuforums.org/showthread.php?t=1328967