|
一则来自吉林大学网络中心的紧急通知,让平时鲜有关注的瑞星2008防火墙软件站在了公众质疑的目光中.
9 V& e) x$ q$ P$ M/ q0 N用来防止网络遭受攻击的防火墙竟然让网络堵塞,事件究竟是真是假?这里面究竟是因为软件设计缺陷还是另有原因……# L- y0 ]/ }# o) I% N
B0 z& x9 @" `' f1 W, G0 \$ x( o; p1 Y$ m+ f
! Y: ~, i# A7 G2 M% D+ v4 G" g' S 紧急通知的背后
9 b2 }; n1 m- a1 `+ o1 P
! C6 W5 { x7 r- H4 j 11月12日,吉林大学网络中心在校内网上贴出了一则“关于谨慎使用瑞星2008防火墙软件的紧急通知.”通知上说,校内一些网段内充斥着大量的ARP广播包,严重影响网络运行,经过技术人员反复核查,确认“瑞星2008防火墙软件”有严重的设计问题……
+ v7 }/ i C* b; I' ?& m6 S+ u) c' F2 C; p# {% h5 ?8 F- h
“我记得那天是11月9号,我发现南校区有些IP段流量异常.然后我就看见我们的骨干路由器思科7609的负载突然不断攀升,直至80~90%,这在以前是没有过的,一旦冲到100%,整个校内网很有可能会面临瘫痪.”吉林大学网络中心技术南校区的网管符太东语气平静地在电话那头告诉记者事情的原委.
* y( U. s" I4 R. o# y* J" [; Y$ Y
/ h) Y2 ^0 c1 ^$ l# m 起草紧急通知的是吉林大学网络中心技术设备组的吴旗老师,他告诉记者,当符太东把事情告诉他的时候,第一反应就是服务器受到IP双向请求的广播风暴攻击了.后来通过反复验证,发现引发网络异常的不是广播风暴,而是瑞星防火墙.
3 T9 x, |8 D6 ~2 }- Q9 z# I. U! q0 H) U
吴旗说,当时发现整个宿舍的学生都是用的瑞星防火墙,在防火墙软件的ARP欺骗防御菜单里,有个学生在防护范围里选择了“防护局域网中的全部计算机”,问题就出在这.因为此时电脑不断发包去探测网内的每一台计算机,数量非常巨大,路由器开始经受不住.吴旗表示,“这完全是瑞星程序设计上的缺陷,它没有考虑到这一点.” 6 T6 Q3 M0 S# H; J" R: G6 V2 ]
( ]; `1 {. [( i( m& K5 Q% }; x
究竟是否为防火墙设计上的缺陷引发的这一问题?瑞星反病毒工程师史瑀对此表示了坚决的否认,他说:“这是因为吉林大学的网管对于ARP攻击和防范的原理不太清楚,当时肯定是校内网内有病毒或者人为攻击,触发了瑞星2008防火墙的反应,因为到目前为止,只有吉林大学出现了这样的情况,瑞星防护ARP的技术绝对是目前主流的.” " ~1 h1 Z, H2 n. g8 r+ h
: T; r6 j6 h9 j+ b0 N" x! B7 w
作为对公开信事件的回应,瑞星公司在第一时间发布了公开声明信,表明吉大网络堵塞一事与瑞星2008防火墙并无关联,同时,瑞星也表示,愿意动用自己的技术力量去帮助吉大解决这个问题. + k3 U1 R7 G% e' _9 N& X
4 X$ V, M" w/ M' o* [) r) @& ] 什么是ARP欺骗 1 a ~; \5 S' {7 g/ Z
; w* `, U# Z1 k. F* m+ J* e ARP是一种将IP地址转化成MAC地址的协议.网络中,当数据被送到一个IP地址后,就要通过这个协议来找到具体送到哪台计算机上(比如在企业网里共享上网的时候,各台机器的公网IP都是一样的).如果在ARP这层存在欺骗,比如黑客先将某台电脑弄死机,然后把自己伪装成那台电脑,那自然会埋下很深的安全隐患. $ Z: d) A& ]2 d4 B2 J& y0 V
2 n. ]1 [0 \: Y m8 t" ^' O1 F 独吉大一家还是事先就有先例 - I+ o. P! U K, r: `% |, B0 K
8 [- X$ e7 G v* H8 q" W 在国内IT新闻网站cnbeta.com上,诸多网友就吉大网络是否因为瑞星2008防火墙而堵塞发表了各种看法,跟帖数量达到了数百条,有的网友还举例证明此事早有先例,并非吉大一家独有,并在论点后面附上各校反映类似问题的网络链接,以证明此言并非虚构.
$ p1 H: @7 k5 t" f# V$ Y0 _
; p. _2 c) h. z$ L @: O 为了证明网友发言的真实性,记者照着他们留下的链接进去看了个究竟,发现确有其事,比如在中国科技大学网站里,有同学说“对于异常多的ARP请求,请禁用瑞星2008防火墙的ARP攻击防御功能.”中山大学的同学发帖说“当打开瑞星防火墙的ARP防护功能时,防火墙会以每秒1000个ARP包向外广播,询问同一个地址(不清楚为什么).”四川大学信息管理中心的网管向全校学生发布提示说,“装有该版本的主机在发现网上有ARP欺骗的时候会发送大量广播包, 致使正常网络出现中断,请暂停使用瑞星2008杀毒软件和防火墙.”
4 T9 a2 g. p" W& ~! l. | X& v2 H1 e6 f$ V; N$ B' n: g
防病毒专家谈ARP防范的技术 ) C5 c, E$ m( k. C
/ T6 Q1 M+ e8 l. e+ B- z/ i$ c
随后记者也走访了其他几家反病毒厂商,向它们的技术专家获得关于此次事件的专业评论. + l5 P' x" X4 K$ [! w: k6 j
. f: T1 f! V1 u. R; B 金山杀毒软件工程师李铁军说,“ARP防火墙最根本的解决办法是在交换机和客户端之间双向绑定端口,对网管来说,简直是体力活.”另外他还援引了一个论坛用户的精辟评论——“这个简直就是伤敌1000,自损1200的招数!” ; a, c4 x% f6 j( B3 G
* }# a2 x- X- l, W4 e
卡巴斯基反病毒公司的技术副总监戚豹表示,“从客观角度来说,瑞星很可能是采用较老的技术.”但戚豹也认为,吉大自身也有问题,在企业网等环境内用单机版杀毒软件,这是肯定不适用的,校方有义务告知学生. , ]. u* b5 C: o8 F* a/ B
& [' O, r* b' ^! Y5 k' } NOD32反病毒公司中国区负责人王小虎认为,有条件的一般是在交换机上做防护,没条件的是在单机进行静态MAC绑定.这两种是目前最有效的办法,但对于菜鸟用户来说确实复杂了一些.“在局域网内,所有机器都是平等并互相信任的,如果有台机器告诉你,他就是网关,其实对于个人用户来说根本分辨不了.哪个用户会记得自己网关的MAC呢?”
- V. t6 r0 d2 N% w: I3 a# l) Q
7 Z \5 u" X- s0 [. f 目前吉大网络拥塞事件已经尘埃落定,但是对于我们每个普通互联网用户来 说,都有被软件倒摆乌龙的可能.+ p( e4 a' ?/ P; A2 k* v. r
?3 Y# T$ v2 ?9 i1 E6 X% ~ {
% z* ~% [4 {& n6 q3 q) ^3 w2 _
; {2 ?( |6 c2 I- `7 s' u, j7 I
$ C- d. R: P- L8 B文章来源: 《家有电脑》周刊 ) O5 J1 [3 w$ `5 P0 s! |5 j* A
作者:徐建文 |
|