实际上，您无法阻止坏人发送取消身份验证数据包。

相反，您应该专注于确保您对 deauth 攻击具有弹性。确保您的网络配置方式使 deauth 攻击不会使攻击者破坏您的网络。

为此，您需要确保您使用的是 WPA2。如果您使用的是预共享密钥（密码），请确保密码非常长且牢固。如果还没有，请立即更改！如果您不使用 WPA2，请立即修复！

坏人发送 deauth 数据包的主要原因是这有助于他们对您的密码执行字典攻击。如果坏人捕获了初始握手的副本，他们可以尝试对您的密码进行各种猜测并测试它们是否正确。发送 deauth 数据包会强制目标设备断开连接并重新连接，从而允许窃听者捕获初始握手的副本。因此，许多可能试图攻击您的无线网络的攻击者的标准做法是发送 deauth 数据包。如果您看到许多 deauth 数据包，这表明有人可能试图攻击您的无线网络并猜测您的密码。

一旦攻击者发送了一个 deauth 数据包并截获了初始握手，就会有一些工具和在线服务通过猜测许多可能性来自动尝试恢复密码短语的任务。（例如，参见CloudCracker以获取代表性示例。）

针对这种攻击的防御措施是确保您的密码足够长且强度高，以至于不可能被猜到。如果它还不是很长很结实，你需要马上改变它，因为在我们说话的时候可能有人试图猜测它。

（坏人可能会发送 deauth 数据包的另一个原因是令人烦恼。但是，大多数用户可能甚至不会注意到，这不是一个非常有效的烦恼。）

要了解更多信息，请参阅以下资源：

• deauthing 在 aireplay-ng 中是如何工作的？

• 有人可以通过蜜罐获取我的 WPA2 密码吗？

思科率先推出了一种检测这些攻击的方法，如果启用并且客户端设备支持这种攻击，甚至可以保护这种攻击（对 CCXv5 的最低支持）。思科功能称为“管理帧保护”，完整的详细信息可在思科网站上找到。

本质上，该过程将散列值添加到发送的所有管理帧。

此过程已通过2009 年发布的 IEEE 802.11w修正案标准化，并得到内核中大多数现代 Linux/BSD 发行版的支持。默认情况下，Windows 8 引入了 802.11w 支持（这确实在某些环境中引起了一些初始问题）。AFAIK，OS X 仍然缺乏 802.11w 支持。

作为参考，802.11w 在 802.11 标准的 802.11-2012 维护版本中汇总。

有人给了我一个赞成票，这让我想起了这个答案，并认为这是应该更新的。

Wi-Fi 联盟 (WFA) 已强制支持受保护的管理帧 (PMF)，以通过 802.11ac 或 Passpoint（又名 HotSpot2.0）认证。这极大地推动了对 802.11w 的支持，您甚至可以在当今的大多数消费类设备中找到它。

不幸的是，苹果似乎仍然是顽固分子。首先让我说，我很惊讶地发现，自 2014 年初以来，Apple 还没有通过 WFA 认证单一设备。我知道这对供应商来说是一个自愿的过程，但对于这样一家大型无线设备制造商来说，不参与认证过程对我来说似乎是个坏主意。

虽然 Apple 添加了 802.11w 支持，但仍然存在问题。也就是说，我在今年早些时候遇到了这篇文章，详细介绍了 Apple 连接到需要 802.11X 身份验证和 802.11w 的网络的问题。使用 PSK（可选或必需 802.11w）的网络似乎与可选 802.11w 的 802.1X 网络一样工作。

所以我们正在到达那里，但仍有一段路要走。

防止此类攻击的唯一方法是阻止攻击者发送将到达您的合法用户的无线传输的能力。这不是一个实用的解决方案，原因有几个（但如果你能说服你的工人坐在法拉第笼里，那就加分）。

这个博客页面在这里引用了一些相关的 WiFi 标准，最有针对性的：

取消身份验证不是请求；这是一个通知。任何一方均不得拒绝取消身份验证。

所以，不，没有真正的方法可以防止这种攻击。

当前的 802.11 标准定义了用于无线链路管理和控制的“帧”类型。IEEE 802.11w 是 IEEE 802.11 系列标准的受保护管理帧标准。TGw 正在努力改进 IEEE 802.11 媒体访问控制层。这样做的目的是通过提供管理帧的数据机密性、支持数据完整性、数据源真实性和重放保护的机制来提高安全性。

==> http://en.wikipedia.org/wiki/IEEE_802.11w-2009

看起来对 deauth 和重放的保护已经在 bsd/linux 内核中：

802.11w 标准在 Linux 和 BSD 中实现，作为 80211mac 驱动程序代码库的一部分，由多个无线驱动程序接口（即 ath9k）使用。在使用这些组合的最新内核和 Linux 操作系统中，该功能很容易启用。特别是 Openwrt 提供了一个简单的切换作为基本发行​​版的一部分。