對于入侵防御設(shè)備而言，有效的通訊阻斷方式作為抑制攻擊的有效方式，是不可或缺的。在有線網(wǎng)絡(luò)中，阻斷多數(shù)由串行接入網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備來完成，阻斷的方法主要通過丟棄數(shù)據(jù)報文來實現(xiàn)。

在具體實現(xiàn)上，可以分為基于MAC地址的阻斷、基于 IP 地址的阻斷、基于端口的阻斷以及基于連接/應(yīng)用的阻斷，或者是基于這幾種阻斷方式的組合。

由于這幾種阻斷實現(xiàn)方式的區(qū)別，在阻斷效果上也會有所差異。大體來說前兩者，即基于MAC和IP的阻斷，通常會阻斷用戶的所有網(wǎng)絡(luò)流量，較為嚴格；而后兩者，只是阻斷某個用戶的特定連接，該方式較為精確，可以更加靈活的滿足客戶的意圖。

此外，某些旁路接入的有線網(wǎng)絡(luò)設(shè)備，會采取另外一些阻斷方法，例如通過發(fā)送TCP Reset 報文來結(jié)束 TCP 連接，通過發(fā)送 ARP 欺騙報文來將數(shù)據(jù)報文重定向到某個不可達的目的，以及通過其他應(yīng)用層控制報文來拆除連接，等等。

綜上，在有線網(wǎng)絡(luò)中，串行阻斷方式相對于旁路阻斷是一種更為有效、可靠的方式，而旁路阻斷則需要更多的學(xué)習(xí)、偽造、管理等較為復(fù)雜的過程，來保證阻斷的效果。但在另一方面，旁路阻斷相對于串行阻斷的優(yōu)勢在于，旁路阻斷對于現(xiàn)有網(wǎng)絡(luò)影響較小，在部署時，基本不需要修改網(wǎng)絡(luò)拓撲；在工作時，由于通常不作為業(yè)務(wù)轉(zhuǎn)發(fā)的樞紐，或不參與承載業(yè)務(wù)，所以造成單點故障的可能性大為降低，這點往往使其更受網(wǎng)絡(luò)管理人員的青睞。

延伸到無線網(wǎng)絡(luò)的阻斷方式，由于目前 WLAN 網(wǎng)絡(luò)通常為點對多點的架構(gòu)，單純從無線鏈路上考慮，是很難串行進去額外的設(shè)備的，因此串行阻斷只能在有線網(wǎng)絡(luò)側(cè)考慮。但同時也面臨另一個問題，如果僅在有線側(cè)阻斷，此時，被阻斷的無線設(shè)備實際已經(jīng)接入了無線網(wǎng)絡(luò)，在被阻斷點之前的網(wǎng)絡(luò)資源，理論上是都可以訪問的，這存在較大的安全隱患。基于上述原因，啟明星辰無線安全引擎采用自主研發(fā)的基于射頻的無線阻斷技術(shù)，滿足用戶精準識別、可靠阻斷的要求。

通過有線設(shè)備阻斷無線設(shè)備

通過射頻阻斷無線設(shè)備

射頻阻斷通常有兩種方式，一種是射頻干擾，通過長時間、大功率發(fā)送所在頻段的干擾信號，來干擾無線設(shè)備的接收。其工作原理，通俗的講，類似用高音喇叭對著人群播放，使得即使對面的人，也相互聽不清對方說的話。由于采用在物理層進行干擾，因此這種實現(xiàn)方式較簡單、可靠。

但同時信號干擾方式也有一個比較大的缺點，即干擾效果與干擾器發(fā)出信號的場強正相關(guān)，即干擾信號場強越大，干擾效果越好，反之，則達不到理想效果。

干擾器發(fā)出的信號場強需要遠大于被干擾設(shè)備的信號場強，才能達到較好的阻斷效果，但又不能違反國家電磁輻射相關(guān)規(guī)定，因此，通常干擾器的發(fā)射功率多≤1W，作用范圍從幾十平米至幾百平米不等。

另一種更為先進的阻斷方式，是利用無線鏈路層或更上層協(xié)議的實現(xiàn)機制，其優(yōu)勢在于采用更智能的方式，以更小的代價（更少的發(fā)射時間、更小的發(fā)射功率），來達到精確阻斷的目的。

因為采用了與干擾器不同的工作原理，精確阻斷設(shè)備可以用更低的發(fā)射功率來抑制無線設(shè)備的發(fā)射，從而達到與干擾器相同的工作效果，起到四兩撥千斤的作用。例如，阻斷同等面積區(qū)域內(nèi)的無線設(shè)備，精確阻斷設(shè)備的發(fā)射功率只需干擾器的一半或更低，某些情況下，甚至只有干擾器發(fā)射功率的十分之一。

另一方面，即使采用了如此低的發(fā)射功率，精確阻斷設(shè)備也不總是處于發(fā)射狀態(tài)。當(dāng)其所工作的區(qū)域內(nèi)，并沒有出現(xiàn)需要阻斷的對象時，設(shè)備僅僅處于監(jiān)聽狀態(tài)，對外完全不發(fā)射任何射頻信號。而當(dāng)需要被阻斷的對象一旦出現(xiàn)，阻斷設(shè)備及時開始有針對性的阻斷動作，由于抑制了被阻斷對象的發(fā)射功能，因此整個工作區(qū)域內(nèi)的信號場強不會有明顯上升，甚至信號的總體場強會低于無線設(shè)備滿負荷工作時的狀態(tài)。

此外，精確阻斷設(shè)備允許所工作的區(qū)域內(nèi)某些特定的無線設(shè)備可以使用，而其他無線設(shè)備被阻斷，該策略可以有用戶自由定義，這種智能的阻斷方式，更是傳統(tǒng)的射頻干擾器所望塵莫及的。

目前在無線上，較為常見的無線阻斷手段包括去認證泛洪，去關(guān)聯(lián)泛洪、認證泛洪、關(guān)聯(lián)泛洪、早期 EAP 泛洪、EAPOL 啟動泛洪、EAPOL退出泛洪、CTS泛洪、NAV 攻擊、FakeAP、AirJack、FataJack 等等。這些方法各有優(yōu)缺點，針對不同的無線設(shè)備，其表現(xiàn)也各有差異，因此需要靈活運用，并加以管理。

在認證/去認證阻斷過程中，阻斷設(shè)備通過有針對性的發(fā)送認證、關(guān)聯(lián)、去認證、去關(guān)聯(lián)等報文，干擾無線終端與 AP 之間的控制過程，從而使無線終端無法關(guān)聯(lián)成功，最終達到阻斷的目的。

認證關(guān)聯(lián)阻斷過程

在 AirJack 阻斷過程中，阻斷設(shè)備通過影響 AP 的時隙分配，使得某些終端始終無法獲得可用的時隙與 AP 通信，從而被阻斷。盡管此時無線終端表現(xiàn)為與AP 已經(jīng)建立了連接，但卻無法進行通信。

 AirJack 阻斷過程

在 FakeAP 阻斷過程中，阻斷設(shè)備會扮演假冒 AP 的角色，將目標(biāo)無線終端主動牽引至自己假冒的 AP 上，并同時起到無線蜜罐的作用。被阻斷的無線終端與阻斷設(shè)備假冒的 AP 成功的進行了無線連接，并開始發(fā)送數(shù)據(jù)，阻斷設(shè)備并不中轉(zhuǎn)這些數(shù)據(jù)，而是將其丟棄，從而達到阻斷的效果。

FakeAP 阻斷過程

綜合上述多種方法，啟明星辰無線安全引擎在充分研究的基礎(chǔ)上，經(jīng)過長期實踐、積累，逐步形成一套阻斷知識庫，采用了靈活的阻斷管理策略，針對不同的無線設(shè)備，迅速的找到更為有效的阻斷方法，同時結(jié)合發(fā)現(xiàn)、學(xué)習(xí)、反饋等過程，動態(tài)調(diào)整該方法，從而達到可靠的阻斷效果。

阻斷知識庫及管理