要了解这个问题的答案，您需要了解一些无线术语。

所述服务集标识符或SSID是逻辑（即，人类可读的）由无线网络中使用的名称。

的基本服务集或BSS由一个单一的接入点（或虚拟接入点）和相关联的给AP（VAP）的任何站。AP提供服务的每个WLAN都会使用一个48位的地址作为BSS的BSSID，这与MAC地址非常相似（并且可能使用AP的MAC地址）。

的扩展服务集或ESS由连接到同一网络的一个或多个BSS的。

SSID 与 ESS 的关系实际上比 BSS 更相关，并且大多数客户端设备并不关心它们加入哪个特定的 BSS，而是希望加入 ESS。这在多个 AP 环境中非常有利，因为这允许站点选择更好的 AP 进行连接（而不是特定的 BSSID，它可能会因信号较弱/性能较低而离得更远）。

某些客户端（尤其是大多数基于 *nix 的客户端）实际上也允许您选择性地选择 BSSID。这可以更安全，因为它可以防止您的客户端连接到广播与您希望连接的网络相同的 SSID 的“流氓”接入点。

我的问题是，如果探测请求被定向到特定的 SSID，不应该包括目标地址吗？

不，SSID 探测通常是广播的。

探测请求是广播或单播检查以查看 SSID 是否在范围内。就像 NIC 一直在问“有人在吗？”或“鲍勃在吗？”。由于许多公司在同一 SSID 上部署多个 AP，因此广播 SSID 探测是有意义的。

切线：

请记住，如果您访问餐厅/酒店并使用您的手机连接到他们的免费 wifi，该 SSID 将被无限期缓存，您的手机将不断广播该 SSID 以检查 AP 现在是否可能在范围内。通过使用无线嗅探器，您可以通过观察他们手机的探测请求来发现很多关于一个人的习惯。