《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 無(wú)線安全之基于射頻的精確阻斷技術(shù)
無(wú)線安全之基于射頻的精確阻斷技術(shù)
51CTO.com
曉憶
摘要: 對(duì)于入侵防御設(shè)備而言,,有效的通訊阻斷方式作為抑制攻擊的有效方式,是不可或缺的,。在有線網(wǎng)絡(luò)中,,阻斷多數(shù)由串行接入網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備來(lái)完成,阻斷的方法主要通過(guò)丟棄數(shù)據(jù)報(bào)文來(lái)實(shí)現(xiàn)。
Abstract:
Key words :

對(duì)于入侵防御設(shè)備而言,,有效的通訊阻斷方式作為抑制攻擊的有效方式,,是不可或缺的。在有線網(wǎng)絡(luò)中,,阻斷多數(shù)由串行接入網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備來(lái)完成,,阻斷的方法主要通過(guò)丟棄數(shù)據(jù)報(bào)文來(lái)實(shí)現(xiàn)。

在具體實(shí)現(xiàn)上,,可以分為基于MAC地址的阻斷,、基于 IP 地址的阻斷、基于端口的阻斷以及基于連接/應(yīng)用的阻斷,,或者是基于這幾種阻斷方式的組合,。

由于這幾種阻斷實(shí)現(xiàn)方式的區(qū)別,在阻斷效果上也會(huì)有所差異,。大體來(lái)說(shuō)前兩者,,即基于MAC和IP的阻斷,,通常會(huì)阻斷用戶的所有網(wǎng)絡(luò)流量,,較為嚴(yán)格;而后兩者,,只是阻斷某個(gè)用戶的特定連接,,該方式較為精確,可以更加靈活的滿足客戶的意圖,。

此外,,某些旁路接入的有線網(wǎng)絡(luò)設(shè)備,會(huì)采取另外一些阻斷方法,,例如通過(guò)發(fā)送TCP Reset 報(bào)文來(lái)結(jié)束 TCP 連接,,通過(guò)發(fā)送 ARP 欺騙報(bào)文來(lái)將數(shù)據(jù)報(bào)文重定向到某個(gè)不可達(dá)的目的,以及通過(guò)其他應(yīng)用層控制報(bào)文來(lái)拆除連接,,等等,。

綜上,在有線網(wǎng)絡(luò)中,,串行阻斷方式相對(duì)于旁路阻斷是一種更為有效,、可靠的方式,而旁路阻斷則需要更多的學(xué)習(xí),、偽造,、管理等較為復(fù)雜的過(guò)程,來(lái)保證阻斷的效果,。但在另一方面,,旁路阻斷相對(duì)于串行阻斷的優(yōu)勢(shì)在于,旁路阻斷對(duì)于現(xiàn)有網(wǎng)絡(luò)影響較小,在部署時(shí),,基本不需要修改網(wǎng)絡(luò)拓?fù)?;在工作時(shí),由于通常不作為業(yè)務(wù)轉(zhuǎn)發(fā)的樞紐,,或不參與承載業(yè)務(wù),,所以造成單點(diǎn)故障的可能性大為降低,這點(diǎn)往往使其更受網(wǎng)絡(luò)管理人員的青睞,。

延伸到無(wú)線網(wǎng)絡(luò)的阻斷方式,,由于目前 WLAN 網(wǎng)絡(luò)通常為點(diǎn)對(duì)多點(diǎn)的架構(gòu),單純從無(wú)線鏈路上考慮,,是很難串行進(jìn)去額外的設(shè)備的,,因此串行阻斷只能在有線網(wǎng)絡(luò)側(cè)考慮。但同時(shí)也面臨另一個(gè)問(wèn)題,,如果僅在有線側(cè)阻斷,,此時(shí),被阻斷的無(wú)線設(shè)備實(shí)際已經(jīng)接入了無(wú)線網(wǎng)絡(luò),,在被阻斷點(diǎn)之前的網(wǎng)絡(luò)資源,,理論上是都可以訪問(wèn)的,這存在較大的安全隱患,?;谏鲜鲈颍?a class="innerlink" href="http://wldgj.com/tags/啟明星辰" title="啟明星辰" target="_blank">啟明星辰無(wú)線安全引擎采用自主研發(fā)的基于射頻的無(wú)線阻斷技術(shù),,滿足用戶精準(zhǔn)識(shí)別,、可靠阻斷的要求。

無(wú)線安全之基于射頻的精確阻斷技術(shù)

通過(guò)有線設(shè)備阻斷無(wú)線設(shè)備

無(wú)線安全之基于射頻的精確阻斷技術(shù)

通過(guò)射頻阻斷無(wú)線設(shè)備

射頻阻斷通常有兩種方式,,一種是射頻干擾,,通過(guò)長(zhǎng)時(shí)間、大功率發(fā)送所在頻段的干擾信號(hào),,來(lái)干擾無(wú)線設(shè)備的接收,。其工作原理,通俗的講,,類似用高音喇叭對(duì)著人群播放,,使得即使對(duì)面的人,也相互聽不清對(duì)方說(shuō)的話,。由于采用在物理層進(jìn)行干擾,,因此這種實(shí)現(xiàn)方式較簡(jiǎn)單、可靠,。

但同時(shí)信號(hào)干擾方式也有一個(gè)比較大的缺點(diǎn),,即干擾效果與干擾器發(fā)出信號(hào)的場(chǎng)強(qiáng)正相關(guān),即干擾信號(hào)場(chǎng)強(qiáng)越大,干擾效果越好,,反之,,則達(dá)不到理想效果。

干擾器發(fā)出的信號(hào)場(chǎng)強(qiáng)需要遠(yuǎn)大于被干擾設(shè)備的信號(hào)場(chǎng)強(qiáng),,才能達(dá)到較好的阻斷效果,,但又不能違反國(guó)家電磁輻射相關(guān)規(guī)定,因此,,通常干擾器的發(fā)射功率多≤1W,,作用范圍從幾十平米至幾百平米不等。

另一種更為先進(jìn)的阻斷方式,,是利用無(wú)線鏈路層或更上層協(xié)議的實(shí)現(xiàn)機(jī)制,,其優(yōu)勢(shì)在于采用更智能的方式,以更小的代價(jià)(更少的發(fā)射時(shí)間,、更小的發(fā)射功率),,來(lái)達(dá)到精確阻斷的目的。

因?yàn)椴捎昧伺c干擾器不同的工作原理,,精確阻斷設(shè)備可以用更低的發(fā)射功率來(lái)抑制無(wú)線設(shè)備的發(fā)射,,從而達(dá)到與干擾器相同的工作效果,起到四兩撥千斤的作用,。例如,,阻斷同等面積區(qū)域內(nèi)的無(wú)線設(shè)備,精確阻斷設(shè)備的發(fā)射功率只需干擾器的一半或更低,,某些情況下,甚至只有干擾器發(fā)射功率的十分之一,。

另一方面,,即使采用了如此低的發(fā)射功率,精確阻斷設(shè)備也不總是處于發(fā)射狀態(tài),。當(dāng)其所工作的區(qū)域內(nèi),,并沒(méi)有出現(xiàn)需要阻斷的對(duì)象時(shí),設(shè)備僅僅處于監(jiān)聽狀態(tài),,對(duì)外完全不發(fā)射任何射頻信號(hào),。而當(dāng)需要被阻斷的對(duì)象一旦出現(xiàn),阻斷設(shè)備及時(shí)開始有針對(duì)性的阻斷動(dòng)作,,由于抑制了被阻斷對(duì)象的發(fā)射功能,,因此整個(gè)工作區(qū)域內(nèi)的信號(hào)場(chǎng)強(qiáng)不會(huì)有明顯上升,甚至信號(hào)的總體場(chǎng)強(qiáng)會(huì)低于無(wú)線設(shè)備滿負(fù)荷工作時(shí)的狀態(tài),。

此外,,精確阻斷設(shè)備允許所工作的區(qū)域內(nèi)某些特定的無(wú)線設(shè)備可以使用,而其他無(wú)線設(shè)備被阻斷,該策略可以有用戶自由定義,,這種智能的阻斷方式,,更是傳統(tǒng)的射頻干擾器所望塵莫及的。

目前在無(wú)線上,,較為常見的無(wú)線阻斷手段包括去認(rèn)證泛洪,,去關(guān)聯(lián)泛洪、認(rèn)證泛洪,、關(guān)聯(lián)泛洪,、早期 EAP 泛洪、EAPOL 啟動(dòng)泛洪,、EAPOL退出泛洪,、CTS泛洪、NAV 攻擊,、FakeAP,、AirJack、FataJack 等等,。這些方法各有優(yōu)缺點(diǎn),,針對(duì)不同的無(wú)線設(shè)備,其表現(xiàn)也各有差異,,因此需要靈活運(yùn)用,,并加以管理。

在認(rèn)證/去認(rèn)證阻斷過(guò)程中,,阻斷設(shè)備通過(guò)有針對(duì)性的發(fā)送認(rèn)證,、關(guān)聯(lián)、去認(rèn)證,、去關(guān)聯(lián)等報(bào)文,,干擾無(wú)線終端與 AP 之間的控制過(guò)程,從而使無(wú)線終端無(wú)法關(guān)聯(lián)成功,,最終達(dá)到阻斷的目的,。

無(wú)線安全之基于射頻的精確阻斷技術(shù)

認(rèn)證關(guān)聯(lián)阻斷過(guò)程

在 AirJack 阻斷過(guò)程中,阻斷設(shè)備通過(guò)影響 AP 的時(shí)隙分配,,使得某些終端始終無(wú)法獲得可用的時(shí)隙與 AP 通信,,從而被阻斷。盡管此時(shí)無(wú)線終端表現(xiàn)為與AP 已經(jīng)建立了連接,,但卻無(wú)法進(jìn)行通信,。

無(wú)線安全之基于射頻的精確阻斷技術(shù)

 AirJack 阻斷過(guò)程

在 FakeAP 阻斷過(guò)程中,阻斷設(shè)備會(huì)扮演假冒 AP 的角色,,將目標(biāo)無(wú)線終端主動(dòng)牽引至自己假冒的 AP 上,,并同時(shí)起到無(wú)線蜜罐的作用,。被阻斷的無(wú)線終端與阻斷設(shè)備假冒的 AP 成功的進(jìn)行了無(wú)線連接,并開始發(fā)送數(shù)據(jù),,阻斷設(shè)備并不中轉(zhuǎn)這些數(shù)據(jù),,而是將其丟棄,從而達(dá)到阻斷的效果,。

無(wú)線安全之基于射頻的精確阻斷技術(shù)

FakeAP 阻斷過(guò)程

綜合上述多種方法,,啟明星辰無(wú)線安全引擎在充分研究的基礎(chǔ)上,經(jīng)過(guò)長(zhǎng)期實(shí)踐,、積累,,逐步形成一套阻斷知識(shí)庫(kù),采用了靈活的阻斷管理策略,,針對(duì)不同的無(wú)線設(shè)備,,迅速的找到更為有效的阻斷方法,同時(shí)結(jié)合發(fā)現(xiàn),、學(xué)習(xí),、反饋等過(guò)程,動(dòng)態(tài)調(diào)整該方法,,從而達(dá)到可靠的阻斷效果,。

無(wú)線安全之基于射頻的精確阻斷技術(shù)

阻斷知識(shí)庫(kù)及管理

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。