對于入侵防御設備而言,有效的通訊阻斷方式作為抑制攻擊的有效方式,是不可或缺的。在有線網絡中,阻斷多數由串行接入網絡的網關設備來完成,阻斷的方法主要通過丟棄數據報文來實現。
在具體實現上,可以分為基于MAC地址的阻斷、基于 IP 地址的阻斷、基于端口的阻斷以及基于連接/應用的阻斷,或者是基于這幾種阻斷方式的組合。
由于這幾種阻斷實現方式的區別,在阻斷效果上也會有所差異。大體來說前兩者,即基于MAC和IP的阻斷,通常會阻斷用戶的所有網絡流量,較為嚴格;而后兩者,只是阻斷某個用戶的特定連接,該方式較為精確,可以更加靈活的滿足客戶的意圖。
此外,某些旁路接入的有線網絡設備,會采取另外一些阻斷方法,例如通過發送TCP Reset 報文來結束 TCP 連接,通過發送 ARP 欺騙報文來將數據報文重定向到某個不可達的目的,以及通過其他應用層控制報文來拆除連接,等等。
綜上,在有線網絡中,串行阻斷方式相對于旁路阻斷是一種更為有效、可靠的方式,而旁路阻斷則需要更多的學習、偽造、管理等較為復雜的過程,來保證阻斷的效果。但在另一方面,旁路阻斷相對于串行阻斷的優勢在于,旁路阻斷對于現有網絡影響較小,在部署時,基本不需要修改網絡拓撲;在工作時,由于通常不作為業務轉發的樞紐,或不參與承載業務,所以造成單點故障的可能性大為降低,這點往往使其更受網絡管理人員的青睞。
延伸到無線網絡的阻斷方式,由于目前 WLAN 網絡通常為點對多點的架構,單純從無線鏈路上考慮,是很難串行進去額外的設備的,因此串行阻斷只能在有線網絡側考慮。但同時也面臨另一個問題,如果僅在有線側阻斷,此時,被阻斷的無線設備實際已經接入了無線網絡,在被阻斷點之前的網絡資源,理論上是都可以訪問的,這存在較大的安全隱患。基于上述原因,啟明星辰無線安全引擎采用自主研發的基于射頻的無線阻斷技術,滿足用戶精準識別、可靠阻斷的要求。
通過有線設備阻斷無線設備
通過射頻阻斷無線設備
射頻阻斷通常有兩種方式,一種是射頻干擾,通過長時間、大功率發送所在頻段的干擾信號,來干擾無線設備的接收。其工作原理,通俗的講,類似用高音喇叭對著人群播放,使得即使對面的人,也相互聽不清對方說的話。由于采用在物理層進行干擾,因此這種實現方式較簡單、可靠。
但同時信號干擾方式也有一個比較大的缺點,即干擾效果與干擾器發出信號的場強正相關,即干擾信號場強越大,干擾效果越好,反之,則達不到理想效果。
干擾器發出的信號場強需要遠大于被干擾設備的信號場強,才能達到較好的阻斷效果,但又不能違反國家電磁輻射相關規定,因此,通常干擾器的發射功率多≤1W,作用范圍從幾十平米至幾百平米不等。
另一種更為先進的阻斷方式,是利用無線鏈路層或更上層協議的實現機制,其優勢在于采用更智能的方式,以更小的代價(更少的發射時間、更小的發射功率),來達到精確阻斷的目的。
因為采用了與干擾器不同的工作原理,精確阻斷設備可以用更低的發射功率來抑制無線設備的發射,從而達到與干擾器相同的工作效果,起到四兩撥千斤的作用。例如,阻斷同等面積區域內的無線設備,精確阻斷設備的發射功率只需干擾器的一半或更低,某些情況下,甚至只有干擾器發射功率的十分之一。
另一方面,即使采用了如此低的發射功率,精確阻斷設備也不總是處于發射狀態。當其所工作的區域內,并沒有出現需要阻斷的對象時,設備僅僅處于監聽狀態,對外完全不發射任何射頻信號。而當需要被阻斷的對象一旦出現,阻斷設備及時開始有針對性的阻斷動作,由于抑制了被阻斷對象的發射功能,因此整個工作區域內的信號場強不會有明顯上升,甚至信號的總體場強會低于無線設備滿負荷工作時的狀態。
此外,精確阻斷設備允許所工作的區域內某些特定的無線設備可以使用,而其他無線設備被阻斷,該策略可以有用戶自由定義,這種智能的阻斷方式,更是傳統的射頻干擾器所望塵莫及的。
目前在無線上,較為常見的無線阻斷手段包括去認證泛洪,去關聯泛洪、認證泛洪、關聯泛洪、早期 EAP 泛洪、EAPOL 啟動泛洪、EAPOL退出泛洪、CTS泛洪、NAV 攻擊、FakeAP、AirJack、FataJack 等等。這些方法各有優缺點,針對不同的無線設備,其表現也各有差異,因此需要靈活運用,并加以管理。
在認證/去認證阻斷過程中,阻斷設備通過有針對性的發送認證、關聯、去認證、去關聯等報文,干擾無線終端與 AP 之間的控制過程,從而使無線終端無法關聯成功,最終達到阻斷的目的。
認證關聯阻斷過程
在 AirJack 阻斷過程中,阻斷設備通過影響 AP 的時隙分配,使得某些終端始終無法獲得可用的時隙與 AP 通信,從而被阻斷。盡管此時無線終端表現為與AP 已經建立了連接,但卻無法進行通信。
AirJack 阻斷過程
在 FakeAP 阻斷過程中,阻斷設備會扮演假冒 AP 的角色,將目標無線終端主動牽引至自己假冒的 AP 上,并同時起到無線蜜罐的作用。被阻斷的無線終端與阻斷設備假冒的 AP 成功的進行了無線連接,并開始發送數據,阻斷設備并不中轉這些數據,而是將其丟棄,從而達到阻斷的效果。
FakeAP 阻斷過程
綜合上述多種方法,啟明星辰無線安全引擎在充分研究的基礎上,經過長期實踐、積累,逐步形成一套阻斷知識庫,采用了靈活的阻斷管理策略,針對不同的無線設備,迅速的找到更為有效的阻斷方法,同時結合發現、學習、反饋等過程,動態調整該方法,從而達到可靠的阻斷效果。
阻斷知識庫及管理