對于入侵防御設備而言，有效的通訊阻斷方式作為抑制攻擊的有效方式，是不可或缺的。在有線網絡中，阻斷多數由串行接入網絡的網關設備來完成，阻斷的方法主要通過丟棄數據報文來實現。

在具體實現上，可以分為基于MAC地址的阻斷、基于 IP 地址的阻斷、基于端口的阻斷以及基于連接/應用的阻斷，或者是基于這幾種阻斷方式的組合。

由于這幾種阻斷實現方式的區(qū)別，在阻斷效果上也會有所差異。大體來說前兩者，即基于MAC和IP的阻斷，通常會阻斷用戶的所有網絡流量，較為嚴格；而后兩者，只是阻斷某個用戶的特定連接，該方式較為精確，可以更加靈活的滿足客戶的意圖。

此外，某些旁路接入的有線網絡設備，會采取另外一些阻斷方法，例如通過發(fā)送TCP Reset 報文來結束 TCP 連接，通過發(fā)送 ARP 欺騙報文來將數據報文重定向到某個不可達的目的，以及通過其他應用層控制報文來拆除連接，等等。

綜上，在有線網絡中，串行阻斷方式相對于旁路阻斷是一種更為有效、可靠的方式，而旁路阻斷則需要更多的學習、偽造、管理等較為復雜的過程，來保證阻斷的效果。但在另一方面，旁路阻斷相對于串行阻斷的優(yōu)勢在于，旁路阻斷對于現有網絡影響較小，在部署時，基本不需要修改網絡拓撲；在工作時，由于通常不作為業(yè)務轉發(fā)的樞紐，或不參與承載業(yè)務，所以造成單點故障的可能性大為降低，這點往往使其更受網絡管理人員的青睞。

延伸到無線網絡的阻斷方式，由于目前 WLAN 網絡通常為點對多點的架構，單純從無線鏈路上考慮，是很難串行進去額外的設備的，因此串行阻斷只能在有線網絡側考慮。但同時也面臨另一個問題，如果僅在有線側阻斷，此時，被阻斷的無線設備實際已經接入了無線網絡，在被阻斷點之前的網絡資源，理論上是都可以訪問的，這存在較大的安全隱患?；谏鲜鲈?，啟明星辰無線安全引擎采用自主研發(fā)的基于射頻的無線阻斷技術，滿足用戶精準識別、可靠阻斷的要求。

通過有線設備阻斷無線設備

通過射頻阻斷無線設備

射頻阻斷通常有兩種方式，一種是射頻干擾，通過長時間、大功率發(fā)送所在頻段的干擾信號，來干擾無線設備的接收。其工作原理，通俗的講，類似用高音喇叭對著人群播放，使得即使對面的人，也相互聽不清對方說的話。由于采用在物理層進行干擾，因此這種實現方式較簡單、可靠。

但同時信號干擾方式也有一個比較大的缺點，即干擾效果與干擾器發(fā)出信號的場強正相關，即干擾信號場強越大，干擾效果越好，反之，則達不到理想效果。

干擾器發(fā)出的信號場強需要遠大于被干擾設備的信號場強，才能達到較好的阻斷效果，但又不能違反國家電磁輻射相關規(guī)定，因此，通常干擾器的發(fā)射功率多≤1W，作用范圍從幾十平米至幾百平米不等。

另一種更為先進的阻斷方式，是利用無線鏈路層或更上層協(xié)議的實現機制，其優(yōu)勢在于采用更智能的方式，以更小的代價（更少的發(fā)射時間、更小的發(fā)射功率），來達到精確阻斷的目的。

因為采用了與干擾器不同的工作原理，精確阻斷設備可以用更低的發(fā)射功率來抑制無線設備的發(fā)射，從而達到與干擾器相同的工作效果，起到四兩撥千斤的作用。例如，阻斷同等面積區(qū)域內的無線設備，精確阻斷設備的發(fā)射功率只需干擾器的一半或更低，某些情況下，甚至只有干擾器發(fā)射功率的十分之一。

另一方面，即使采用了如此低的發(fā)射功率，精確阻斷設備也不總是處于發(fā)射狀態(tài)。當其所工作的區(qū)域內，并沒有出現需要阻斷的對象時，設備僅僅處于監(jiān)聽狀態(tài)，對外完全不發(fā)射任何射頻信號。而當需要被阻斷的對象一旦出現，阻斷設備及時開始有針對性的阻斷動作，由于抑制了被阻斷對象的發(fā)射功能，因此整個工作區(qū)域內的信號場強不會有明顯上升，甚至信號的總體場強會低于無線設備滿負荷工作時的狀態(tài)。

此外，精確阻斷設備允許所工作的區(qū)域內某些特定的無線設備可以使用，而其他無線設備被阻斷，該策略可以有用戶自由定義，這種智能的阻斷方式，更是傳統(tǒng)的射頻干擾器所望塵莫及的。

目前在無線上，較為常見的無線阻斷手段包括去認證泛洪，去關聯(lián)泛洪、認證泛洪、關聯(lián)泛洪、早期 EAP 泛洪、EAPOL 啟動泛洪、EAPOL退出泛洪、CTS泛洪、NAV 攻擊、FakeAP、AirJack、FataJack 等等。這些方法各有優(yōu)缺點，針對不同的無線設備，其表現也各有差異，因此需要靈活運用，并加以管理。

在認證/去認證阻斷過程中，阻斷設備通過有針對性的發(fā)送認證、關聯(lián)、去認證、去關聯(lián)等報文，干擾無線終端與 AP 之間的控制過程，從而使無線終端無法關聯(lián)成功，最終達到阻斷的目的。

認證關聯(lián)阻斷過程

在 AirJack 阻斷過程中，阻斷設備通過影響 AP 的時隙分配，使得某些終端始終無法獲得可用的時隙與 AP 通信，從而被阻斷。盡管此時無線終端表現為與AP 已經建立了連接，但卻無法進行通信。

 AirJack 阻斷過程

在 FakeAP 阻斷過程中，阻斷設備會扮演假冒 AP 的角色，將目標無線終端主動牽引至自己假冒的 AP 上，并同時起到無線蜜罐的作用。被阻斷的無線終端與阻斷設備假冒的 AP 成功的進行了無線連接，并開始發(fā)送數據，阻斷設備并不中轉這些數據，而是將其丟棄，從而達到阻斷的效果。

FakeAP 阻斷過程

綜合上述多種方法，啟明星辰無線安全引擎在充分研究的基礎上，經過長期實踐、積累，逐步形成一套阻斷知識庫，采用了靈活的阻斷管理策略，針對不同的無線設備，迅速的找到更為有效的阻斷方法，同時結合發(fā)現、學習、反饋等過程，動態(tài)調整該方法，從而達到可靠的阻斷效果。

阻斷知識庫及管理